Размер бот-сети BackDoor.Flashback.39 изменился незначительно
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — продолжает отслеживать состояние крупнейшей на 20 апреля бот-сети, состоящей из компьютеров под управлением Mac OS X. Бот-сеть была обнаружена экспертами «Доктор Веб» 4 апреля 2012 г.
На сегодняшний день, по данным «Доктор Веб», в сети BackDoor.Flashback.39 зарегистрировано 817 879 бота, из них ежесуточно активность проявляют в среднем 550 тыс. инфицированных машин. Так, на 16 апреля в бот-сети BackDoor.Flashback.39 было зафиксировано 717 004 уникальных IP-адресов и 595 816 уникальных UUID инфицированных Apple-совместимых компьютеров. 17 апреля статистика продемонстрировала 714 483 уникальных IP и 582 405 уникальных UUID. При этом ежедневно в ботнете BackDoor.Flashback.39 появляются новые инфицированные компьютеры, не зарегистрированные в сети ранее, говорится в сообщении «Доктор Веб».
Однако в последнее время в отрытых источниках стали появляться публикации, рассказывающие о сокращении численности бот-нета BackDoor.Flashback.39. Как правило, такие материалы основываются на анализе статистики перехваченных управляющих серверов этой сети. Специалисты «Доктор Веб» провели специальное исследование, ставящее своей целью выяснить причины подобного расхождения статистических данных.
Троян BackDoor.Flashback.39 использует сложный алгоритм подбора доменных имен своих управляющих серверов: имена основной части доменов генерируются на основе встроенных в ресурсы вредоносной программы конфигурационных данных, другая часть создается в зависимости от текущей даты. Троян осуществляет последовательный опрос командных центров в соответствии с заложенными в него приоритетами. Основные домены командных серверов BackDoor.Flashback.39 были зарегистрированы компанией «Доктор Веб» еще в начале апреля, и к ним составляющие сеть боты обращаются в первую очередь. 16 апреля были зарегистрированы дополнительные домены, имена которых генерируются на основе даты. Поскольку данные домены используются всеми подверсиями ботнета BackDoor.Flashback.39, регистрация дополнительных доменов управляющих серверов позволила более точно подсчитать размер вредоносной сети.
Однако следом за серверами, принадлежащими «Доктор Веб», трояны обращаются с соответствующим запросом к принадлежащему неизвестным лицам командному центру 74.207.249.7, устанавливающему связь с ботами, но не закрывающему TCP-соединение. Это приводит к тому, что боты переходят в режим ожидания ответа сервера и, как следствие, не опрашивают остальные командные центры, многие из которых были специально зарегистрированы специалистами по информационной безопасности. Как пояснили в «Доктор Веб», это и является причиной появления противоречивой статистики от разных антивирусных компаний. С одной стороны, Symantec и «Лаборатория Касперского» заявляли о значительном уменьшении числа ботов, с другой — данные «Доктор Веб» неизменно указывали на существенно большее число инфицированных компьютеров при очень слабой тенденции к их уменьшению.
На иллюстрации ниже предлагается пример TCP-соединения с командным центром, вызывающего «зависание» ботов BackDoor.Flashback.39: «Доктор Веб» вновь предупреждает пользователей Mac OS X об опасности заражения вредоносной программой BackDoor.Flashback.39, призывает установить обновления Java и проверить компьютеры на наличие заражения, для чего можно воспользоваться ресурсами сайта drweb.com/flashback. Удалить троян можно с помощью бесплатной программы Dr.Web для Mac OS X Light.
SMS-вирус атаковал сотни тысяч абонентов по всей России
В России зафиксирована массовая рассылка SMS-сообщений, содержащих ссылку, при открытии которой в телефон загружается вирус. По данным Роскомнадзора, рассылка затронула несколько сотен тысяч абонентов в разных регионах страны.
Роскомнадзор сообщил о массовой спам-рассылке вредоносных SMS. При получении такого сообщения абонент на экране мобильного устройства видит текст-предложение «Качай ПОДАРОК: СБОРНИК MP3-ПЕСЕН», а при открытии ссылки, указанной в сообщении, в телефон загружается вирус, способный красть различную информацию с устройства.
По словам представителя Роскомнадзора Михаила Воробьева сообщения об этой спам-рассылке поступили в ситуационный центр его ведомства от представителей одного из операторов «большой тройки». Об этом сразу же были проинформированы все операторы мобильной связи, добавляет Воробьев.
Источник, близкий к МТС, рассказал CNews, что первоначально информация об этой рассылке поступила от службы мониторинга сетей именно этого оператора. В пресс-службе МТС при этом заявляют, что массовой спам-рассылки в их сетях не зафиксировано.
«У нас действует система фильтрации спам-рассылок, которая по множеству параметров позволяет отслеживать мошеннические рассылки и оперативно их блокировать», - говорит представитель МТС Валерия Кузьменко. Она также добавила, что информация обо всех номерах, уличенных в незаконных схемах, передается для проведения расследования в МВД, что позволяет активно бороться со злоумышленниками.
В «Вымпелкоме» (работает под брендом «Билайн»), заявили CNews, что в их сети была зафиксирована попытка рассылки, но жалоб от абонентов не поступало. «Действительно, наш центр мониторинга зафиксировал попытку массовой рассылки вредоносных SMS с номеров, принадлежащих одному из контент-провайдеров. Сразу же по выявлении попыток рассылки провайдеру было направлено требование принять срочные меры и выключить эту рассылку», - говорит представитель оператора Анна Айбашева.
В «Мегафоне» говорят, что их абоненты не жаловались на данную рассылку. «У нас налажены процедуры оперативной проверки всех поступающих к нам обращений и выявления различного рода рассылок вредоносного ПО», - говорит представитель оператора Юлия Дорохина.
По данным Роскомнадзора, рассылка затронула несколько сотен тысяч абонентов в разных регионах России. По словам Михаила Воробьева, она осуществлялась с нескольких коротких номеров, для блокирования которых операторы сейчас предпринимают меры.
Стоит отметить, что массовая рассылка вирусосодержащих SMS-сообщений случается не впервые. Так, в конце марта 2012 г. Роскомнадзор сообщал, что ей подверглись абоненты Уральского региона. Тогда злоумышленники разослали свыше 100 тыс. SMS со ссылкой на вредоносное ПО, запуск которого приводил к снятию денежных средств со счетов абонентов.
«Русские» хакеры заработали в 2011 г. около $4,5 млрд
Российская компания Group-IB, специализирующаяся на расследовании ИТ-инцидентов и нарушений информационной безопасности, объявила результаты очередного исследования, посвященного состоянию «русского» рынка компьютерных преступлений. По оценкам аналитиков компании, за 2011 г. «русские» хакеры, находясь территориально в различных регионах и совершая свои атаки по всему миру, заработали около $4,5 млрд — эта сумма включает в себя и доходы российского сегмента.
Анализ активности компьютерных преступников в 2011 г., проведенный аналитиками CERT-GIB, позволяет оценивать рынок киберпреступности в России в $2,3 млрд, что говорит о практически двукратном увеличении прошлогодних показателей. Между тем, финансовые показатели мирового рынка компьютерной преступности в 2011 г. эксперты Group-IB оценивают в $12,5 млрд.
Group-IB: оценка рынка киберпреступности России по основным направлениям
Как отмечается в отчете компании, 2011 г. стал годом бурного роста мошенничества в системах интернет-банкинга. По мнению экспертов Group-IB, в основном этот рост обусловлен улучшением функциональности вредоносных программ, ориентированных на банковские системы, и формированием еще более устойчивых преступных групп. В результате в декабре 2011 г. крупнейшая «банковская» бот-сеть насчитывала около 2 млн компьютеров. Самыми крупными банковскими бот-сетями, которые успешно работали против российских банков, стали бот-сети, построенные на следующих вредоносных программах (расположены в порядке убывания в размере бот-сети): Carberp, Hodprot, Shiz, Lurk, Spy.Ranbyus и Qhost.
Усиление мер защиты со стороны производителей систем ДБО и банков привело к тому, что для совершения успешного хищения злоумышленники начали активно экспериментировать со средствами удаленного доступа для проведения мошеннических операций прямо с компьютеров жертв. Наиболее успешными стали именно те преступные группы, в чьих руках оказался наиболее стабильный и удобный инструмент удаленного доступа. В целом для удаленного доступа злоумышленники использовали такие средства, как TeamViewer, Hamachi, Mipko. Однако наибольшее распространение получил троян, который предоставлял доступ по протоколу Microsoft Remote Desktop.
С осени 2011 г. киберпреступниками стали активно использоваться функциональные возможности автоматической подмены реквизитов платежного поручения в момент подписания документа и его отправки, а также полностью автоматизированного процесса формирования и отправки мошеннического платежного поручения вредоносной программой, которые позволяют избежать необходимости удаленного подключения либо копирования информации с пользовательского компьютера для обхода средств защиты (виртуальные клавиатуры, PIN-коды, VPN-туннели, сетевая фильтрация). На текущий момент среди всех вредоносных программ, которые используются против клиентов российских банков, такой функциональностью обладает только «банковская» троянская программа Carberp, сообщили в Group-IB.
В 2010 г. жертвами хищений в системах интернет-банкинга были в основном юридические лица, тогда как 2011 г. стал годом всплеска хищений у физических лиц. Для данного вида хищений злоумышленники активно использовали техники веб-инжектов, а также троянские программы, перенаправляющие пользователя на фишинговый ресурс. В результате только за последний квартал 2011 г. жертвами таких троянских программ стали десятки тысяч физических лиц, а общая сумма похищенных у них средств составила $73,5 млн, отмечается в отчете Group-IB.
Примечательно, что банковский фишинг большого распространения в прошлом году не получил. После ликвидации в Москве в первом квартале 2011 г. группы фишеров, использование такого рода атак практически не встречалось. Однако в конце лета эту же схему опробовала другая группа, которой удалось добиться неплохих результатов на преступном поприще. В результате ее деятельности ежедневно появляются как минимум 1–2 фишинговых ресурса, нацеленных на клиентов нескольких крупнейших банков.
Начиная с конца 2010 г. количество DDoS-атак на банки после хищений больших сумм резко сократилось. Эта же тенденция продолжилась и в 2011 г. Она связана с тем, что проведение DDoS-атак стало служить сигналом для служб безопасности банков о совершенных хищениях. В результате мошеннические операции быстро обнаруживались и блокировались, пояснили в Group-IB.
Новой тенденцией в 2011 г. стали атаки по протоколу HTTPS, в предыдущие годы встречавшиеся достаточно редко. При проведении данного вида атак для достижения результата (отказ в обслуживании) необходим минимум ресурсов. При этом оборудование для фильтрации и отражения подобного вида атак имеет высокую стоимость и поэтому редко встречается в наличии у хостеров и интернет-провайдеров, отметили в компании.
В целом специалисты Group-IB выделяют следующие общие тенденции развития рынка компьютерных преступлений в 2011 г.: консолидация участников рынка — выражается в формировании ряда крупных киберпреступных группировок, функционирующих на постоянной основе, в итоге происходит отход от традиционной модели, которая основывалась на принципах дезорганизации, в пользу создания организованных групп с централизованной системой управления; укрепление взаимосвязей между основными группировками — заключается во взаимовыгодном обмене скомпрометированными данными, предоставлении бот-сетей, схем обналичивании, таким образом, возникают инциденты, в которых были задействованы сразу несколько киберпреступных групп, что создает определенные трудности при расследовании; проникновение на рынок участников с низким уровнем технического образования — компьютерные преступления перестают быть уделом «технарей», так как требуют, в первую очередь, не специальных знаний, а капиталовложений; рост и расширение внутреннего рынка (охватывает так называемые услуги Cybercrime to Cybercrime (С2C), предоставляемые на платной основе специализированными группами хакеров) — помимо традиционного роста объемов рынка, 2011 г. характеризуется становлением нового направления — ИТ-аутсорсинг.
Кроме того, в Group-IB также отмечают проникновение на рынок киберпреступности традиционных организованных преступных группировок, которые пытаются взять под свой контроль не только обналичивание похищенных денежных средств, но и весь процесс хищения. По мнению специалистов Group-IB, подобная тенденция ведет к слиянию двух преступных миров и последующему перераспределению ресурсов из традиционных сфер контроля мафии (проституция, наркоторговля, незаконный оборот оружия и пр.) в пользу компьютерных преступлений. В условиях несовершенства существующего законодательства это, в первую очередь, грозит взрывным ростом атак на финансовый сектор экономики, считают в компании.
Следствием вышеобозначенных тенденций является следующий факт: рынок киберпреступности в России переживает период динамического перехода от количественного состояния к качественному, что ведет к отходу от хаотической модели развития мира киберпреступности, заключили в Group-IB.
Отметим, что отчет был подготовлен аналитиками центра реагирования CERT-GIB и специалистами лаборатории компьютерной криминалистики компании Group-IB.
Apple на 10 лет позади Microsoft по безопасности - Евгений Касперский
Выступая в рамках конференции Info Security 2012, основатель и глава российской компании «Лаборатория Касперского» Евгений Касперский заявил, что Apple на много лет отстает от Microsoft в плане информационной безопасности, и что инженерам из Купертино еще предстоит проделать большую работу в этом направлении.
«Я думаю, они [Apple] на 10 позади Microsoft в плане безопасности», - заявил Касперский, предупредив о грядущих переменах. «Кибер-преступники осознали, что Mac является весьма интересной платформой..., - сказал он. - Добро пожаловать в мир Microsoft, Mac. Мир, полный вредоносных программ».
Касперский сослался на недавние сообщения о масштабной эпидемии трояна Flashback, который, по информации The Next Web, заразил около 650 тыс. компьютеров Apple. Однако чаще системы Mac содержат вредоносные приложения, предназначенные для Windows. По данным исследования компании Sophos, такой код фигурирует на 20% всех Mac по сравнению с 2,7% компьютерами, которые заражены вирусами, написанными непосредственно для платформы Macintosh.
«Скоро Apple поймет, что у них те же проблемы, что и у Microsoft 10-12 лет назад, - заключил Касперский - Это вынудит сократить циклы выпуска обновлений и выделить инвестиции на разработку средств дополнительной защиты».
Согласно глобальному отчету Microsoft Security Intelligence Report volume 12 (SIRv12) за период с июля по декабрь 2011 г., червь Conficker по-прежнему является одной из крупнейших проблем для специалистов по информационной безопасности.
За последние 2,5 года червь Conficker был выявлен на устройствах по всему миру примерно 220 млн раз. В четвертом квартале 2011 г. Conficker был обнаружен на 1,7 млн систем по всему миру, отмечается в отчете Microsoft. В 92% случаев причиной заражения стали слабые или украденные пароли, а 8% устройств были заражены через уязвимости в программных решениях, для которых уже давно выпущены соответствующие обновления.
«Conficker является одной из крупнейших проблем информационной безопасности, с которой сталкиваются компании по всему миру, однако в наших силах справиться с ней, — считает Тим Райнс (Tim Rains), директор подразделения Trustworthy Computing, Microsoft. — Критически важно, чтобы компании уделяли необходимое внимание основам обеспечения безопасности, чтобы защититься от наиболее распространенных угроз».
В отчете Microsoft также обращает внимание на тот факт, что многие из угроз, часто определяемые как «целенаправленные устойчивые угрозы» (Advanced Persistent Threats, APT), на самом деле не являются более сложными и продвинутыми по сравнению с другими типами атак. В большинстве случаев они используют стандартные пути проникновения в информационные системы компаний, например, через уязвимости, для которых уже выпущены соответствующие апдейты. Успешность подобного рода атак объясняется экстремальной целенаправленностью, проектным подходом и изобилием задействованных ресурсов, пояснили в корпорации.
«Когда киберугрозы называют “продвинутыми”, это зачастую вводит в заблуждение и отвлекает внимание от решения базовых проблем безопасности. В свою очередь, это провоцирует рост числа угроз, проникающих через системы, — подчеркнул Тим Райнс. — Большинство атак не используют новые суперпродвинутые техники или технологии. Чаще всего они просто используют слабые или украденные пароли, уязвимости, для которых уже выпущены апдейты, и социальную инженерию».
Примечательно, что в операционных системах количество уязвимостей сокращается год от года, однако увеличивается в приложениях. Так, во втором полугодии 2011 г. количество уязвимостей в приложениях увеличилось почти на 18%, говорится в отчете Microsoft.
Во второй половине года количество эксплойтов, которые используют HTML или JavaScript для проникновения в систему, значительно увеличилось за счет возникновения JS/Blacole. Это семейство эксплойтов используется так называемым набором эксплойтов Blackhole для передачи вредоносных программ через зараженные веб-страницы. Специалистами Microsoft также отмечен рост эксплойтов, нацеленных на уязвимости Adobe Reader.
Между тем, количество фишинговых сайтов, которые направлены на финансовые институты, составляет 70,4% от общего количество активных фишинговых сайтов, обнаруженных с августа по декабрь 2011 г.
Самым широко распространенным в 2011 г. вредоносным ПО стали инструменты, которые создают ключи для пиратских версий ПО. По данным корпорации, Keygen, который является потенциально нежелательным ПО, ответственен за более чем 12,6 млн заражений. Данный вид распространения зловредного ПО является самым часто используемым в четвертом квартале 2011 г., при это количество заражений продолжает увеличиваться и в 2012 г.
По версии Microsoft, наиболее распространенными семействами вредоносного ПО в отчетном периоде стали: Win32/Keygen, JS/Pornpop, Win32/Autorun, Win32/Hotbar, Win323/Sality, Win32/Conficker, Win32/OpenCandy, Win32/Zwangi, Win32/ClickPotato, Win32/ShopperReports.
Отметим, что в подготовленном Microsoft отчете представлена информация о текущей ситуации и трендах в области информационной безопасности, а также об эксплойтах, уязвимостях и вредоносном ПО, полученная на основе глубокого анализа данных, собранных с 600 млн систем по всему миру, свыше 280 млн эккаунтов Hotmail и миллиардов страниц в Bing.
Троян для Android маскируется под антивирусные программы
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщила о том, что злоумышленники стали использовать в целях распространения вредоносных программ для мобильных устройств на базе Android новый метод социальной инженерии. Под видом антивирусной программы пользователь может загрузить с созданного вирусописателями сайта трояна Android.SmsSend.
Android.SmsSend представляет собой наиболее распространенное семейство вредоносных программ для ОС Android. Эти приложения оправляют платные SMS-сообщения на один или несколько премиум-номеров без ведома пользователя.
Чаще всего Android.SmsSend можно загрузить под видом обновления популярных приложений, таких как мобильные браузеры или программы-проигрыватели различных медиафайлов. Однако в последнее время вирусописатели все чаще стали применять иную схему.
С помощью различных систем отображения рекламы пользователю демонстрируется сообщение с предложением срочной проверки мобильного устройства на вирусы. Нажав на это рекламное сообщение, пользователь попадает на сайт, якобы сканирующий мобильное устройство. Этот сайт заимствует одну из иконок Dr.Web Security Space версии 7.0 и внешнее оформление программы. Однако сымитировав пользовательский интерфейс, злоумышленники ошиблись в деталях: фальшивый «антивирус» находит на мобильном устройстве несуществующие угрозы, например, вредоносную программу Trojan.Carberp.60, относящуюся к категории банковских троянов для Windows, мобильной версии которого в настоящее время не существует. Если пользователь соглашается «обезвредить» угрозу, на его устройство скачивается троян семейства Android.SmsSend.
[highslide]http://filearchive.cnews.ru/img/cnews/2012/04/27/smssend3.jpg[/highslide] Фальшивый «антивирус» находит на мобильном устройстве несуществующие угрозы
Бета-версия Dr.Web 7.0 для Android включает новый компонент, получивший название Cloud Checker. Данный модуль использует в своей работе так называемую «облачную технологию» и предназначен для проверки ссылок, открываемых пользователем в браузере. Созданный злоумышленниками сайт, копирующий своим оформлением интерфейс Dr.Web, успешно блокируется модулем Cloud Checker, однако «Доктор Веб» все же призывает пользователей проявлять бдительность и не загружать какие-либо приложения с подозрительных сайтов.
Дата: Понедельник, 14.05.2012, 01:44 | Сообщение # 27
со-Админ
Wilde Jagd
Сообщений: 3420
Отсутствует
«Злостный Flash-плеер» для Android охотится на российских пользователей
Серия троянов, замаскированных под популярные Android-приложения и ориентированных на русскоязычных пользователей, пополнилась еще одним экземпляром: фальшивым Flash-плеером, который рассылает SMS-сообщения на платные номера.
Специалисты разработчика антивирусов Trend Micro обнаружили троян, замаскированный под приложение Flash Player для ОС Android. Страница в интернете, где его предлагается скачать, содержит русскоязычный текст и располагается на российских доменах, отмечают в компании. Пример такого сайта находится по адресу www.flashplayerandroid-apk.ru.
Страница содержит описание приложения и ссылку с расширением apk., который в Trend Micro идентифицируют как троян Androidos_Boxer.A. Он известен тем, что без разрешения пользователя способен отправлять SMS-сообщения на платные номера, что влечет за собой непредвиденные списания средств с мобильного счета.
Специалисты антивирусного разработчика говорят, что по тому же IP-адресу, что у одного из сайтов с этим трояном, хостятся еще несколько доменов. «Судя только лишь по названиям их адресов, похоже, что ОС Android – любимая мишень злоумышленников, стоящих за этой схемой», - констатирует аналитик Trend Micro Карла Агрегадо (Karla Agregado) в блоге компании.
Злоумышленники применяют тактику социальной инженерии, используя популярность ряда приложений для доставки вредоносного ПО на устройства пользователей, отмечают в Trend Micro. Поддельный Flash-плеер – не первый подобный случай.
Так, менее месяца назад в интернете были обнаружены сайты, предлагающие скачать вредоносное ПО под видом приложения для обмена фотографиями Instagram и игру Angry Birds Space. В обоих случаях компрометирующие веб-страницы также содержали русскоязычный текст. Ссылки с них вели на троян, идентифицированный Trend Micro как Androidos_SMSBoxer.A, который требует отправить SMS-сообщение на платный номер, чтобы активировать приложение.
[highslide]http://filearchive.cnews.ru/img/cnews/2012/05/11/android.JPG[/highslide] Под видом Flash-плеера для ОС Android пользователям предлагают скачать трояна
В марте были обнаружены сайты, также ориентированные на российских пользователей, со ссылками на троян под видом обновления развлекательного сервиса Google Play. Действие замаскированного в данном случае вредоносного ПО - Androidos_SMSboxer.ab - заключается в том, что он способен не только рассылать SMS-сообщения на платные номера, но и инициировать закачку других вредоносных файлов на устройство пользователя.
Стоит отметить, что в 2011 г. на долю ОС Android пришлось 59% всего вредоносного ПО для мобильных устройств. Такие данные приводила «Лаборатория Касперского». При этом значительная его часть содержалась в приложениях, доступных для скачивания в официальном магазине интернет-приложений для этой платформы.
Россия поднялась на шестое место в мире по уровню вредоносной активности в Сети
Согласно ежегодному отчету корпорации Symantec об интернет-угрозах (Internet Security Threat Report, Volume 17), Россия заняла шестое место в мире по уровню вредоносной активности в интеренете. При этом Россия находится на третьем месте в мире по количеству спам-зомби, а Москва занимает 11 место в мире по числу ботов (вредоносных программ, автоматически выполняющих действия вместо людей, зачастую без их согласия).
За 2011 г. Россия совершила два существенных скачка в мировых рейтингах стран с наибольшим количеством спама и сетевых атак. В 2010 г. страна занимала 6 строчку в рейтинге по количеству спама, а в 2011 г. поднялась на 3 позицию и по-прежнему занимает первое место среди стран региона EMEA, включающего страны Европы, Ближнего Востока и Африки, говорится в отчете Symantec.
За год Россия также поднялась с 8 на 5 строчку рейтинга по количеству сетевых атак. В 2011 г. наметилась тенденция к планомерному росту количества атак вредоносным кодом, а также фишинг-сайтов. Кроме этого, прослеживается рост и по количеству активных ботов в сети — каждый сотый бот в мире имеет московскую прописку (11 место в мире). Следом за Москвой по количеству ботов идут такие города, как Санкт-Петербург, Тверь, Воронеж и Нижний Новгород.
[highslide]http://filearchive.cnews.ru/img/cnews/2012/05/14/symantec1.jpg[/highslide] Топ-20 российских городов по количеству ботов
Из общей тенденции к увеличению числа угроз выбиваются только веб-атаки. По данным Symantec, тут Россия показала хороший результат и упала в рейтинге с 7 на 8 строку. Тем не менее, на фоне других, российский пользователь выглядят привлекательной мишенью для киберпреступников — так, в мировом рейтинге стран по вредоносной активности в 2011 г. Россия поднялась с 10 на 6 место. Лидерами рейтинга являются США, Китай и Индия.
[highslide]http://filearchive.cnews.ru/img/cnews/2012/05/14/symantec.jpg[/highslide] Лидеры рейтинга стран-источников вредоносной активности в интеренете по итогам 2011 г.
Кроме того, Россия занимает 9 место в мире по числу веб-атакам (по сравнению с 10 местом в прошлом году), а также сохранила 7 место в мире по числу веб-атак, сообщили в Symantec.
Отчет Symantec об интернет-угрозах основывается на эмпирических данных, собранных глобальной аналитической сетью Symantec Global Intelligence Network, исследованиях и активном мониторинге коммуникаций хакеров.
ElcomSoft обнаружила очередной способ извлечения данных, хранящихся в iPhone и iPad
Компания ElcomSoft обнаружила очередной способ извлечения данных, хранящихся в мобильных устройствах под управлением системы Apple iOS. Новый способ извлечения данных появился в последней версии продукта Elcomsoft Phone Password Breaker, открыв доступ к резервным копиям пользовательской информации через онлайновый сервис. Для получения доступа должны быть известны пользовательский идентификатор Apple ID и соответствующий пароль. Доступ к самому устройству при этом не требуется, а данные поступают непосредственно на компьютер следователя. Поддерживаются компьютеры под управлением ОС Windows. При использовании одного и того же идентификатора для регистрации нескольких устройств информация может быть извлечена из всех зарегистрированных устройств.
«Пользователи телефонов iPhone и планшетов iPad могут даже не подозревать, что их информация стала доступной спецслужбам», комментирует Андрей Малышев, технический директор компании ElcomSoft. «Новый метод извлечения информации не требует физического доступа к телефону. Не нужен перебор паролей, не нужна расшифровка. Достаточно знать идентификатор пользователя и его пароль, и доступ к данным из хранилища становится доступным в режиме, близком к реальному времени.»
«Есть ряд технологических ограничений», - говорит Дмитрий Скляров, ведущий разработчик компании. «Необходимо знать Apple ID и пароль пользователя, что само по себе немало. Кроме того, должен выполняться целый ряд условий. Пользователь телефона должен включить в устройстве синхронизацию с сервисом iCloud, а сама синхронизация должна время от времени проводиться. Положительная сторона – нет необходимости конфисковывать телефон, компьютер пользователя. Подозреваемый может даже не заметить, что за ним ведётся наблюдение.»
Принцип работы сводится к следующему. Пользователям мобильных устройств, работающих под управлением системы Apple iOS, доступно несколько способов резервного копирования информации. В резервную копию попадает такая важная для следственных органов информация как история звонков, фотографии и видеоролики, снятые с помощью встроенной в устройство камеры, адресные книги и переписка. Данные из телефона или планшета, как правило, сохраняются в файл на компьютере пользователя во время каждой синхронизации.
Elcomsoft Phone Password Breaker предоставляет доступ к информации из резервных копий методом восстановления пароля и расшифровки файлов. Альтернативой «офлайновому» резервному копированию стал новый сервис Apple iCloud. Компания анонсировала iCloud в июне 2011 г. Новая услуга бесплатна для владельцев устройств iPhone и iPad. Пользователям бесплатно предоставляется хранилище объёмом до 5 Гб. При использовании нового сервиса для создания резервной копии информации, хранящейся в телефоне, больше нет необходимости физически подключать телефон к компьютеру. Достаточно просто оказаться в зоне действия «домашней» сети Wi-Fi, и устройство автоматически создаст резервную копию данных в «облачном» сервисе. Первоначальная синхронизация может занять длительное время из-за большого объёма передаваемых данных, но все последующие копии создаются очень быстро: передаются только те данные, которые были изменены с момента предыдущей синхронизации. По данным из разных источников, на февраль 2012 г. число зарегистрированных пользователей iCloud достигло 125 млн.
Независимо от того, локально или в «облаке» хранятся пользовательские данные, резервные копии содержат огромное количество информации, представляющей интерес для следственных органов, спецслужб и криминалистов. Резервные копии содержат информацию о принятых и совершённых звонках, письмах, записках, текстовых сообщениях, а также фотографии и видеоролики, закладки браузера, данные учётных записей и информацию из различных установленных приложений.
Возможность доступа к пользовательской информации через онлайновый сервис iCloud представляет интерес для криминалистов и специлужб. Особенности хранения и синхронизации информации в «облачном» сервисе позволяют отслеживать информацию о новых звонках, снимках, записях и переписке пользователя с минимальной задержкой. Поскольку физический доступ к мобильному устройству или компьютеру пользователя не требуется, пользователь мобильного устройства может даже не подозревать о том, что за ним ведётся слежка.
Информация, хранящаяся в резервных копиях, созданных на компьютере пользователя, часто защищается паролем. Доступ к данным, хранящимся в «облачном» сервисе iCloud, также защищён: для доступа к информации требуется ввести идентификатор пользователя (Apple ID) и соответствующий ему пароль. Идентификатор пользователя и пароль доступа к iCloud сохраняются в том числе и в резервных копиях, создаваемых на компьютере пользователя. Таким образом после однократного извлечения информации из такой резервной копии создаётся возможность постоянно отслеживать изменения в пользовательских данных в режиме онлайн. Отслеживание можно производить в течение длительного периода времени вплоть до смены пользователем пароля от Apple iCloud.
Дата: Понедельник, 12.11.2012, 10:44 | Сообщение # 30
со-Админ
Wilde Jagd
Сообщений: 3420
Отсутствует
Обзор вирусной активности за октябрь 2012: атака троянов-шифровальщиков и вредоносный спам в Skype
Компания «Доктор Веб» опубликовала обзор вирусной активности за октябрь. В первой половине месяца был замечен резкий всплеск активности троянов-шифровальщиков — от пользователей поступало значительное число запросов на лечение файлов, подвергшихся воздействию данных вредоносных программ. Также в октябре наметилась активизация почтовых рассылок, содержащих вредоносные вложения: по каналам электронной почты активно распространялся троян Trojan.Necurs.97, а в начале месяца злоумышленники организовали массовую вредоносную рассылку с использованием Skype, рассказали CNews в компании.
Среди угроз, детектированных в октябре с использованием лечащей утилиты Dr.Web CureIt!, лидирует Trojan.Mayachok различных модификаций, при этом на дисках чаще всего обнаруживаются файлы трояна BackDoor.IRC.NgrBot.42, которые он передает. На втором месте по частоте обнаружений значатся файлы, содержащие уязвимость Java Runtime Environment (JRE) Exploit.CVE2012-1723.13, на третьем месте расположился троян Trojan.Mayachok.17994. А вот абсолютный лидер летней вирусной статистики, Trojan.Mayachok.1, сместился уже на четвертую позицию. Помимо прочего, среди часто встречающихся на компьютерах пользователей угроз в «Доктор Веб» отметили многочисленные модификации троянов семейства Trojan.SMSSend, а также вредоносные программы Win32.HLLP.Neshta (файловый вирус, известный еще с 2005 г.), Trojan.Mayachok.17986, полиморфный файловый инфектор Win32.Sector.22, бэкдоры BackDoor.IRC.NgrBot.146 и BackDoor.Butirat.201.
В целом десятка наиболее популярных вредоносных программ, обнаруженных на инфицированных компьютерах с использованием лечащей утилиты Dr.Web CureIt!, выглядит следующим образом:
Специалисты «Доктор Веб» продолжают отслеживать статистику изменения численности наиболее активных на сегодняшний день бот-сетей. Так, размер известной бот-сети Backdoor.Flashback.39, которую составляют инфицированные компьютеры под управлением Mac OS X, в течение месяца сократился незначительно: по данным на 30 октября популяция этого трояна составляет более 105 730 инфицированных «маков», в то время как на 30 сентября число зараженных «макинтошей» не превышало 109 372.
В свою очередь, бот-сеть Win32.Rmnet.12 в начале октября преодолела по числу зараженных ПК 5-миллионную отметку, а к концу месяца достигла размера в 5,5 млн инфицированных рабочих станций, побив по темпам прироста сентябрьский рекорд. Файловый вирус Win32.Rmnet.12 наиболее широко распространен в странах Юго-Восточной Азии, однако зафиксированы случаи заражения и на территории России — всего в нашей стране насчитывается 132 445 машин, инфицированных файловым вирусом Win32.Rmnet.12, что составляет 2,39% от общей численности ботнета, сообщили в «Доктор Веб». При этом максимальное количество экземпляров Win32.Rmnet.12 по статистике обнаружилось в Москве (18,9% от общего числа заражений по России), на втором месте — Хабаровск с показателем 13,2%, почетное третье место занимает Санкт-Петербург (8,9%), далее следуют Ростов-на-Дону (5,2%), Владивосток (3,4%) и Иркутск (2,9%).
Численность ботнета Win32.Rmnet.16 также понемногу продолжает увеличиваться. Общая численность сети на 30 октября 2012 г. составила 254 838 инфицированных ПК, что на 16 373 компьютера больше по сравнению с показателями на начало месяца.
В октябре 2012 г. был отмечен рост числа рассылок вредоносных программ с использованием различных средств коммуникации: так, начало месяца ознаменовалось массовым распространением сообщений с использованием программы Skype. Рассылаемые злоумышленниками послания содержали короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки на компьютер жертвы начиналась загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляла вредоносная программа, добавленная в базы Dr.Web под именем Trojan.Spamlink.1.
Во второй половине октября активизировались злоумышленники, использующие в своих целях электронную почту. Поступавшие пользователям письма рассылались от имени интернет-магазина Amazon.com, корпорации Microsoft, почтовой службы FedEx, также были замечены массовые рассылки якобы от имени платежной системы PayPal с сообщением о переводе средств, и нескольких авиакомпаний с предложением подтвердить бронирование авиабилета. В большинстве случаев подобное сообщение содержало ссылку на веб-страницу, включающую сценарий, при выполнении которого посетитель переадресовывался на другой веб-сайт. В свою очередь, этот сайт передавал браузеру файл, содержащий сценарий на языке JavaScript, при выполнении которого на компьютер пользователя загружались две вредоносные программы: троян-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97.
Наконец, в последних числах октября кибермошенники организовали массовую SMS-рассылку якобы от имени компании «Доктор Веб», в сообщениях которой пытались вынудить пользователей «отписаться» от некоей информационной услуги, а на самом деле — заставить их подключиться к псевдоподписке с абонентской платой. Принадлежащие злоумышленникам веб-сайты были незамедлительно добавлены специалистами Dr.Web в базы нерекомендуемых ресурсов.
С точки зрения угроз для мобильной платформы Android октябрь 2012 г. прошел относительно спокойно. В течение месяца вирусные базы D.Web пополнились записями для нескольких вредоносных программ семейства Android.SmsSend. Эти трояны представляют опасность тем, что в процессе своей работы выполняют отправку дорогостоящих SMS-сообщений и подписывают владельцев мобильных устройств на различные контент-услуги, за пользование которыми взимается определенная денежная сумма.
Также в базы была добавлена запись для трояна Android.FakeLookout.1.origin, распространявшегося в каталоге Google Play под видом некоего программного обновления. Эта вредоносная программа имела возможность красть пользовательские SMS-сообщения, а также различные файлы, находящиеся на карте памяти, и отправлять их на удаленный сервер. Несмотря на потенциальную опасность раскрытия частной информации, троян не является серьезной угрозой для пользователей Android, т.к. на момент удаления из каталога его успели установить не более 50 человек, отметили в «Доктор Веб».
Ко всему прочему, в октябре была обнаружена новая модификация вредоносной программы семейства Android.Gongfu, внесенная в вирусные базы под именем Android.Gongfu.10.origin.
Одной из наиболее интересных вредоносных программ, обнаруженных в октябре, в антивирусной лаборатории «Доктор Веб» называют троян Trojan.GBPBoot.1. С точки зрения реализуемых данной вредоносной программой функций, Trojan.GBPBoot.1 довольно примитивен: он способен загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы. Этим его деструктивный функционал исчерпывается. Однако интересна эта вредоносная программа, прежде всего, тем, что имеет возможность противодействовать попыткам ее удаления, а именно — способность восстанавливать себя в защищаемой системе. В антивирусном ПО Dr.Web реализованы механизмы поиска и лечения данной угрозы.
В начале октября специалистами «Доктор Веб» было зафиксировано распространение вредоносной программы Trojan.Proxy.23012, предназначенной для массовой рассылки спама. Кроме того, в октябре активно распространялся (с использованием ресурсов пиринговой сети) троян-загрузчик Trojan.PWS.Panda.2395.
В целом в октябрьский рейтинг топ-20 вредоносных программ, обнаруженных в почтовом трафике, вошли:
