Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — сообщили о распространении нового трояна-блокировщика из семейства Trojan.Winlock — Trojan.Winlock.7372. От других винлоков этот троян отличается тем, что не содержит в себе каких-либо текстов или графических изображений — он загружает их на инфицированный компьютер по Сети, рассказали CNews в компании. В качестве основной цели Trojan.Winlock.7372 избрал зарубежных пользователей.

«Первые трояны-винлоки, ориентированные на зарубежных пользователей, получили распространение осенью 2011 г., а до этого данная схема криминального заработка была успешно “обкатана” злоумышленниками в России, — отметили в «Доктор Веб». — Эта вредоносная программа распространяется с использованием семейства троянов, известных как BackDoor.Umbra, и также рассчитана на распространение среди жителей зарубежья, хотя имеются основания предполагать, что разработали ее наши соотечественники».

Исходя из внутреннего строения, Trojan.Winlock.7372 ничем не напоминает других представителей троянов-вымогателей. Прежде всего, потому что, как уже упоминалось выше, не содержит в себе каких-либо изображений, текстовых ресурсов или иных компонентов, которые обычно демонстрируются подобными вредоносными приложениями на экране компьютера при блокировке Windows. Все необходимые элементы Trojan.Winlock.7372 загружает с удаленного сервера, а препятствующий работе системы экран представляет собой обычную веб-страницу, пояснили специалисты компании.

Запустившись на инфицируемом компьютере, Trojan.Winlock.7372 прописывает самого себя в ветвь системного реестра, отвечающую за автоматический запуск программ, после чего запускает бесконечный цикл поиска и остановки процессов целого ряда приложений и системных утилит. Среди них — диспетчер задач, блокнот, редактор реестра, командная строка, настройка системы, браузеры Microsoft Internet Explorer, Google Chrome, Firefox, Opera, приложения ProcessHacker, Process Monitor и некоторые другие. С применением редко используемой методики троян отключает запущенный на зараженном компьютере брандмауэр. Затем Trojan.Winlock.7372 создает невидимое полноэкранное окно, в которое загружает с принадлежащего злоумышленникам сайта веб-страницу с требованием оплатить разблокировку операционной системы.

Злоумышленники требуют у жертвы плату в размере $200, при этом подтверждающий оплату код передается на сервер вирусописателей по сети. В случае обращения к управляющему серверу в окне браузера демонстрируется предложение ввести логин и пароль для авторизации в системе управления сетью данных троянов, с помощью которой злоумышленники могут следить за распространением Trojan.Winlock.7372 и менять его настройки.

Сигнатура данной угрозы добавлена в вирусные базы, поэтому она не представляет серьезной опасности для пользователей антивирусного ПО Dr.Web.

CNews

22.11.12, Чт, 17:19, Мск

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — провели анализ одного из плагинов, устанавливаемых на инфицированный компьютер трояном Trojan.Gapz.1. Как рассказали CNews в компании, результаты исследования показывают, что за плагином скрывается троян-блокировщик, способный перехватывать изображение с подключенной к зараженному ПК веб-камеры.

Как и в случае с трояном Trojan.Winlock.7372, данный блокировщик, добавленный в вирусные базы под именем Trojan.Winlock.7384, не хранит в себе графических изображений и текстов: вместо этого троян использует для формирования содержимого блокирующего Windows окна файл в формате XML, получаемый с удаленного управляющего сервера.

Запустившись на зараженной машине, Trojan.Winlock.7384 расшифровывает собственный конфигурационный файл, в котором описано, с какими странами и платежными системами работает троян.

По данным «Доктор Веб», в основном, это ваучерные системы Ukash, Moneypack и Paysafecard. Затем на основании аппаратной конфигурации ПК вредоносная программа генерирует уникальный идентификационный номер и отправляет его на удаленный командный сервер вместе с другой информацией об инфицированном компьютере. В ответ Trojan.Winlock.7384 получает WHOIS-информацию об IP-адресе зараженного ПК, в которой, среди прочего, обозначено местоположение жертвы. Получив указанные сведения, троян сверяет эти данные с хранящимся в своем конфигурационном файле списком стран и блокирует компьютер только в том случае, если инфицированная машина располагается в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии или США. Выполнив такую проверку, Trojan.Winlock.7384 отправляет новый запрос и получает в ответ подтверждение регистрации бота на управляющем сервере. Наконец, в качестве ответа на последний запрос с командного центра загружается несколько XML-файлов, на основе которых формируется изображение и текст блокирующего окна на соответствующем языке.

По мнению специалистов «Доктор Веб», примечательной особенностью данной версии винлока является то, что Trojan.Winlock.7384 способен перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать его в блокирующем систему окне с целью запугивания пользователя. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, упоминается, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.

Для разблокировки компьютера троян требует ввести код ваучера платежной системы — этот код обычно размещается на чеке, выдаваемом платежным терминалом при внесении какой-либо суммы. Введенный жертвой код передается на принадлежащий злоумышленникам управляющий сервер и проверяется на подлинность. В случае подтверждения факта оплаты управляющий центр отправляет трояну команду на разблокировку компьютера. Сумма, которую требуют заплатить за эту услугу злоумышленники, составляет 100 евро (или $150).

«Изучение угроз, поступающих в антивирусную лабораторию компании “Доктор Веб” в последнее время, показывает, что злоумышленники понемногу отказываются от создания “традиционных” винлоков с использованием стандартных “конструкторов”, прибегая к разработке все более сложных троянов-блокировщиков с разнообразным функционалом», — отметили в компании.

CNews

23.11.12, Пт, 18:23, Мск

По данным «Лаборатории Касперского», доля спама в почтовом трафике в октябре 2012 г. уменьшилась по сравнению с сентябрем на 4,5% и составила в среднем 68%. Таким образом, на данный момент этот показатель стал самым низким с начала года. Однако опасность спама при этом осталась достаточно высокой: доля писем с вредоносными вложениями в октябре составила 3,25%, что всего лишь на 0,15% меньше, чем в предыдущем месяце, сообщили CNews в компании.

Самыми актуальными темами рекламных спам-рассылок в октябре стали выборы президента США, а также осенние и зимние праздники. Так, Новый год и Рождество стали поводом для многочисленных рекламных сообщений, в которых пользователям предлагалось приобрести сладости, сувениры, билеты на новогодние экскурсии и представления и многое другое. При этом подобные товары «рекламировались» с учётом особенностей местного рынка. Не менее активно для продвижения различных продуктов и услуг спамеры использовали и тему популярного в США и Европе праздника Хеллоуин (Halloween).

Выборы президента США стали ещё одной «удочкой», на которую злоумышленники пытались поймать интернет-пользователей. Целью сообщений, эксплуатирующих эту тему, как правило, было заманить пользователей на мошеннический или вредоносный сайт или добиться от них ввода адреса своей электронной почты в специальную форму. По информации «Лаборатории Касперского», ухищрения для этого использовались самые разные: например, в самый разгар предвыборной кампании спамеры предлагали пользователям высказать своё предположение о том, кто станет следующим президентом США, и стать в ответ обладателем подарочной карты Visa на $250.

Среди стран-источников спама, распространяемого по всему миру, как и в сентябре, лидируют Китай (30,7%) и США (27,3%). Из этих двух стран рассылается около 58% всей мусорной почты, отмечается в отчете компании. В пятерку лидеров также вошли страны, уже давно привлекающие спамеров слабой защищенностью компьютеров: Индия (5,8%), Вьетнам (4,3%) и Бразилия (2,6%).

[highslide]http://filearchive.cnews.ru/img/cnews/2012/11/23/spamreport_oct2012_pic1.jpg[/highslide]
Страны – источники спама, октябрь 2012 г.

В Рунете ситуация выглядит иначе:

[highslide]http://filearchive.cnews.ru/img/cnews/2012/11/23/spamreport_oct2012_pic2.jpg[/highslide]
Страны-источники спама в Рунете

Большая часть спама приходит в российский регион из Индии (16,9%) и Вьетнама (15,7%). В этом месяце количество спама из Вьетнама и Индии почти сравнялось. Спам из Китая (8,2%) в Рунете лишь на третьем месте. В октябре уменьшилась (-2,4%) доля спама, приходящего в Рунет из США, и эта страна сместилась с пятой на девятую позицию (2,3%).

Доля фишинговых писем в почтовом потоке по сравнению с сентябрем не изменилась и составила 0,03%. После летнего затишья увеличилась доля фишинговых атак на финансовые и платежные организации (+2,85%), существенно выросла доля атак на онлайн-магазины и интернет-аукционы (+5,42%). «В случае успеха подобных атак злоумышленник сможет добраться до персональных данных пользователя, дающих доступ к его аккаунтам в системах оналайн-банкинга и платежных системах, и завладеть его деньгами», — отметили в «Лаборатории Касперского».

В то же время, доля атак на социальные сети уменьшилась на 10,23%, вследствие чего социальные сети сместились с первой строки рейтинга на четвертую, уступив даже поисковикам.

По словам специалистов компании, в рейтинге срабатываний почтового антивируса второй месяц наблюдаются серьезные колебания. Лидером по количеству срабатываний, как и в сентябре, остается Германия (-1,25%). Однако, начиная со второй строчки, рейтинг сильно изменился. Так, снова в топе появились США (+5,82%), лишь немного отстающие от Германии. Великобритания (+4,2%) тоже вернула свои позиции и заняла третью строчку рейтинга. Испания (-3,94%), занимавшая в сентябре вторую позицию, не попала даже в десятку. Россия сместилась с третьей на четвертую позицию, хотя ее доля практически не изменилась (+0,26%).

[highslide]http://filearchive.cnews.ru/img/cnews/2012/11/23/spamreport_oct2012_pic3.jpg[/highslide]
Распределение срабатываний почтового антивируса по странам

Что касается рейтинга топ-10 самых распространенных в почте вредоносных программ в октабре, то на первом месте с большим отрывом оказался Trojan-Spy.Win32.Zbot.fsfe — модификация известной шпионской программы ZueS/Zbot, предназначенной для кражи данных клиентов различных платежных онлайн-сервисов.

«Надо признать, что хотя Zbot давно не появлялся в топ-10 вредоносных вложений в почте, нельзя сказать, что киберпреступники про него забыли. Мы часто видим вредоносный спам, не содержащий вложений, но содержащий ссылку на вредоносный ресурс, — рассказали специалисты «Лаборатории Касперского». — Если эксплойтам, находящимся на этом ресурсе, удается найти уязвимость в программном обеспечении пользователя, то на его компьютер загружается и запускается исполняемый вредоносный файл-загрузчик, который, в свою очередь, часто подгружает на зараженную машину именно программу семейства Zbot».

Шесть строчек в топе занимают различные модификации Trojan-Ransom.Win32.PornoAsset. Суммарно доля этого семейства составила 55,2% от всех распространенных в почте вредоносных программ. Это так называемые «блокеры» — программы-вымогатели, блокирующие операционную систему и требующие заплатить деньги за разблокировку. Впервые представители этого семейства попали в топ-10 в сентябре, тогда в рейтинге присутствовало четыре модификации PornoAsset.

Ни лидер прошлого месяца Backdoor.Win32.Androm.kv, ни предыдущий лидер рейтинга Trojan-Spy.HTML.Fraud.gen даже не вошли в топ-10. Примечательно, что цель Trojan-Spy.HTML.Fraud.gen и нынешнего лидера рейтинга Trojan-Spy.Win32.Zbot.fsfe одинаковая — кража аккаунтов пользователей к системам онлайн-банков и платежным системам. «Возможно, злоумышленники просто чередуют свои “инструменты”, чтобы добраться до денег пользователей», — полагают в компании.

В целом октябрьская десятка вредоносных программ, обнаруженных в почте, выглядит следующим образом:

[highslide]http://filearchive.cnews.ru/img/cnews/2012/11/23/spamreport_oct2012_pic4.jpg[/highslide]
Топ-10 вредоносных программ, распространенных в почте в октябре

«Доля спама в октябре сократилась, но он не стал безопаснее. Мы наблюдали большое количество вредоносных программ и фишинговых писем, ориентированных на кражу денежных средств пользователей. По-видимому, накануне Нового года и Рождества эта тенденция сохранится. Пользователям следует быть особенно осторожными при оплате покупок в Сети, вводе конфиденциальных данных в интернете, не стоит проходить по ссылкам в спамовых письмах и открывать вложения от неизвестных отправителей. И, разумеется, необходимо своевременно обновлять программное обеспечение и пользоваться антивирусной защитой», — посоветовала Дарья Гудкова, руководитель отдела контентных аналитиков «Лаборатории Касперского».

CNews

текст: Георгий Орлов /Infox.ru
опубликовано 28 ноя ‘12 23:41

Эксперты по вопросам цифровой безопасности обнаружили на принтерах Samsung и некоторых принтерах Dell, произведенных Samsung, критическую уязвимость, благодаря которой злоумышленник может получить удаленный доступ к аппарату.

Выступившие с докладом инженеры заявили, что у этих принтеров имеются «вшитые» на аппаратном уровне последовательности протокола SNMP (Simple Network Management Protocol). Эти последовательности оставляют полный доступ к чтению/записи данных на устройстве. Причем принтер остается в активном состоянии с полностью открытым доступом даже в том случае, когда сам пользователь принудительно отключил машину от сетевого протокола.

Таким образом, злоумышленник может без процедуры аутентификации относительно просто получить привилегии администратора на устройстве. Он может вносить любые изменения в конфигурацию принтера, а также любую связанную с ним информацию, с материалами, которые отправляются на печать, а также с личными данными пользователя. При необходимости хакер может выполнить на ресурсах принтера любой совместимый код. Отмечается, что компания Samsung уже осведомлена о данной уязвимости и уже опубликовала официальное заявление, что все фирменные принтеры, выпущенные после 31 октября текущего года, уже не подвержены этой уязвимости. Что же касается более ранних моделей, то в обозримом будущем производитель выпустит обновление ПО для принтеров, благодаря которому уязвимость будет полностью закрыта.

До выхода официального обновления ПО эксперты группы US-CERT рекомендуют владельцам потенциально уязвимых принтеров изменить политику работы своих компьютеров в сети, разрешив подключения только с доверенных ресурсов и сетей. Это не позволит злоумышленникам воспользоваться данной брешью в системе безопасности. Уязвимость обнаружил эксперт по имени Нил Смит (Neil Smith), который уведомил о своем открытии представителей Samsung и, как сообщает CNET, заявил, что «работать с корейской компанией по данному вопросу было непросто».

29.11.12, Чт, 15:54, Мск

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщил о массовой рассылке вредоносных сообщений через популярные мессенджеры (работающие по протоколу ICQ), установленные на смартфонах.

Как рассказали CNews в «Доктор Веб», на протяжении последних нескольких дней пользователи мобильных версий популярных программ для обмена мгновенными сообщениями (таких как ICQ for mobile, Slick, Trillian и др.) стали получать сообщения от неизвестных абонентов, содержащих короткую гиперссылку. При попытке перейти по такой ссылке происходит перенаправление пользователя на принадлежащий злоумышленникам интернет-ресурс, с которого загружается вредоносная программа Java.SMSSend.866.

«Это приложение демонстрирует на экране мобильного телефона предложение просмотреть фотографию и, в случае нажатия пользователем кнопки “ОК”, отправляет платное SMS-сообщение, стоимость которого составляет от 144 до 177 рублей, в зависимости от того, услугами какого мобильного оператора пользуется жертва», — пояснили в «Доктор Веб».

По словам специалистов компании, мошенническая схема не является новой, а сам троян Java.SMSSend.866 известен антивирусному ПО Dr.Web с октября 2012 г.

Специалисты «Доктор Веб» рекомендуют пользователям мобильных устройств проявлять бдительность и не переходить по ссылкам, полученным в сообщениях от незнакомых абонентов. Были отмечены факты получения подобных сообщений и пользователями ПК, на компьютерах которых установлены программы QIP и ICQ. Однако для настольных операционных систем троян Java.SMSSend.866 не представляет никакой угрозы, отметили в компании.

CNews

19.12.12, Ср, 21:00, Мск

Корпорация Symantec опубликовала прогноз тенденций в мире кибербезопасности на 2013 г. Согласно данным экспертов корпорации, в 2013 г. атаки станут агрессивнее и будут проводиться не только с целью заработка или шпионажа, но и с целью демонстрации силы атакующих. Кроме того, увеличится количество угроз для пользователей мобильных и облачных технологий, а также для аудитории социальных сетей.

Начиная с 2013 г, конфликты между государствами, организациями и отдельными лицами в значительной степени перейдут в киберпространство, считают в Symantec. «Правительства, как и различные организованные группы лиц, продолжат использовать кибератаки, чтобы повредить или уничтожить конфиденциальную информацию или финансовые ресурсы своих противников, — рассказали CNews в компании. — В 2013 году мы станем свидетелями виртуального “потрясания оружием”, когда правительства, организации или даже группы лиц будут использовать кибератаки с целью продемонстрировать свою мощь или заявить о себе».

Эксперты Symantec ожидают также роста числа направленных атак, целью которых является отдельное лицо или неправительственная организация, отстаивающая, например, определенные политические взгляды или являющаяся представителем меньшинства в том или ином конфликте.

По данным компании, на смену лжеантивирусам приходят еще более жесткие типы угроз — ransomware (от англ. ransom – выкуп), или программы-вымогатели, довольно популярные в России. «Несмотря на то, что такая “бизнес-модель” уже использовалась и ранее, она страдала теми же недостатками, что и настоящее похищение: отсутствовал удобный способ забирать деньги. Но благодаря развитию систем онлайн-платежей злоумышленники решили эту проблему, — подчеркнули в Symantec. — Блокираторы выйдут за рамки простого вымогательства и будут направлены на устрашение, то есть кибербуллинг (кибернападение с целью нанесения психологического вреда)».

Только за последние девять месяцев число приложений, включающих в себя наиболее агрессивные типы madware-программ (mobile advertising software — мобильное рекламное ПО), увеличилось на 210%, отмечается в отчете компании. Данные о местонахождении и характеристиках устройства могут быть законным образом приобретены агрегаторами интернет-рекламы, чтобы предоставлять более релевантную рекламу. Эксперты Symantec ожидают увидеть рост использования программ такого типа в связи с желанием компаний увеличивать доходы за счет мобильной рекламы. Сюда входит также более агрессивный и потенциально вредоносный метод монетизации «бесплатных» мобильных приложений.

Специалисты ИБ отмечают, что пользователи с большим доверием относятся к социальным сетям, начиная от обмена личными данными и заканчивая покупкой игровой валюты и виртуальных подарков друзьям. По мере того как с целью повышения уровня монетизации социальные сети дают пользователям возможность дарить друг другу настоящие подарки, рост денежного оборота в социальных сетях дает злоумышленникам новые возможности для осуществления атак.

Эксперты ИБ Symantec ожидают роста числа атак, направленных на кражу платежных данных в соцсетях и обман пользователей с целью заставить их сообщить эти и другие данные поддельным соцсетям. Сюда могут входить фальшивые извещения о подарках и электронные письма, требующие от пользователя указать свой домашний адрес и иную личную информацию.

«Злоумышленники пойдут туда же, куда пользователи, и на данный момент — это облачные и мобильные технологии. Именно облачные и мобильные платформы станут целью злоумышленников в 2013 году. Стремительный рост числа вредоносных программ для ОС Android в 2012 году подкрепляет этот прогноз», — подчеркнули в компании.

Кроме того, включение в корпоративные сети незащищенных устройств, собирающих информацию, которая после этого оседает на других облачных носителях, значительно повышает риск утечки или целенаправленного захвата данных, считают в Symantec. Установка пользователями всё новых приложений, в конечном счете, неизбежно приводит к заражению.

Как известно, сегодня вредоносные мобильные программы отправляют платные SMS-сообщения, и вырученные средства достаются злоумышленникам. В 2013 г. можно будет наблюдать дальнейшее развитие мобильных технологий, что создаст новые возможности для киберпреступников, полагают эксперты компании.

Набирающая популярность технология электронных кошельков eWallet неизбежно станет еще одной платформой, которую злоумышленники попытаются использовать в своих целях. А по мере повсеместного внедрения технологий мобильных платежей, мобильные устройства станут представлять еще большую ценность, прогнозируют в компании. По аналогии с угрозой Firesheep для перехвата чужих Wi-Fi-сессий, стоит ожидать появления программ, которые будут перехватывать платежную информацию пользователей. Некоторые платежные системы широко популярны среди технически неискушенных пользователей и могут иметь уязвимости, потенциально ведущие к краже информации, подчеркнули в Symantec.

CNews

20.12.12, Чт, 15:16, Мск

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщила о распространении нового представителя семейства вредоносных программ Trojan.BrowseBan. Этот троян блокирует доступ на некоторые веб-сайты, мошенническим путем вынуждая пользователя оформить платную подписку на различные услуги.

Как сообщили CNews в «Доктор Веб», при запуске троян Trojan.BrowseBan.480 проверяет, какие браузеры установлены на компьютере пользователя, а затем сохраняет на диск модули, в которых реализован его вредоносный функционал. Для браузера Microsoft Internet Explorer модуль реализован в виде файла динамической библиотеки, для Mozilla Firefox, Opera и Google Chrome — специального плагина, для функционирования которого троян изменяет пользовательские настройки программы.

В результате, при попытке открытия определенных сайтов в окне браузера троян модифицирует отображаемую веб-страницу, и на экране компьютера демонстрируется окно, в котором пользователю предлагается ввести номер мобильного телефона, а затем — код, полученный в ответном SMS-сообщении. Таким образом, жертва соглашается с условиями подписки, согласно которым со счета ее мобильного телефона регулярно будет списываться определенная сумма.

С недавних пор операторы «большой тройки» при подключении абонента к платным сервисам стали использовать специальные веб-страницы с информацией об условиях предоставляемых услуг и их стоимости. Поэтому для осуществления подписки Trojan.BrowseBan.480 использует официальные сервисы мобильных операторов МТС (moipodpiski.ssl.mts.ru) и «Билайн» (signup.beeline.ru), однако вредоносный скрипт скрывает «лишнюю» информацию, вследствие чего жертва видит лишь диалоговое окно, содержащее форму для ввода номера мобильного телефона. Например, вот так должна выглядеть страница оформления подписки, демонстрируемая оператором мобильной связи:



А вот что видит пользователь компьютера, инфицированного Trojan.BrowseBan.480:



Примечательно, что злоумышленники не поленились разработать уникальный дизайн окна для различных сайтов, которые может посетить жертва: среди них — страницы социальных сетей «ВКонтакте», «Одноклассники», «Мой мир», Facebook, популярные поисковые системы, почтовые службы «Яндекс.Почта», Gmail, Mail.ru, а также другие популярные ресурсы. Подписку осуществляет контент-провайдер «Пластик Медиа», а оплата взимается якобы за доступ к службе анонимайзера 4anonimz.ru. Однако в силу того, что троян скрывает подробную информацию о подписке, жертва об этом даже не догадывается, подчеркнули в «Доктор Веб».

Согласно заявлению компании, пользователям продуктов Dr.Web этот троян не угрожает — соответствующая сигнатура уже добавлена в вирусные базы.

CNews

24.12.12, Пн, 16:01, Мск, Текст: Евгений Смирнов

Главной проблемой мобильной безопасности в 2012 г. стали сами мобильные устройства и их пользователи, недостаточно внимания уделяющие паролям и безопасному хранению данных. К такому выводу пришли эксперты из международной организации CIO Council. В своем ежегодном отчете они отметили, что компании вводят мобильные устройства в корпоративную среду, но при этом не уделяют внимание решению таких важных проблем, как создание стандартов безопасности и сохранение корпоративных данных.

Как считают CIO Council, "виноваты" в этом не только корпорации, но и сами мобильные устройства: их возможностей просто недостаточно для того, чтобы обеспечить адекватную защиту данных. Так, в отчете говорится, что мобильным устройствам недостает надежных систем шифрования данных, идентификации пользователя и очистки устройства от нежелательной информации. Систем, которые есть сейчас, по мнению исследователей просто недостаточно для того, чтобы адекватно справляться с угрозами безопасности.

В качестве еще одной проблемы, актуальной по итогам 2012 г., CIO Council отметили быструю смену не только товарной линейки, но и самих производителей мобильных устройств. Обилие конфликтующих платформ, устройств и провайдеров не позволяет установить четкие стандарты безопасности, которые могли бы помочь ИТ-службам в их работе.

"Руководители бизнеса не готовы тратить деньги на системы мобильной безопасности. К этому добавляются еще две проблемы. Первая – это объективная сложность обеспечения адекватной работы системы защиты с огромным и постоянно расширяющимся "зоопарком" различных устройств. Не менее важна психологическая неготовность людей предоставлять свое личное устройство для установки на него каких-либо неизвестных систем – на фоне того, что возможность принудить их к этому юридическими средствами вряд ли реальна. Вполне можно предположить, что пострадавшие от вирусов пользователи, потерявшие всю информацию со своих любимых устройств не будут повторно искушать судьбу и выложат некоторую сумму для покупки мобильного антивируса. Но пока крайне трудно сказать, как скоро этот рынок вырастет до серьезных размеров", – отметил Андрей Конусов, генеральный директор компании "Аванпост".

В то же время компания Lookout, крупный провайдер систем мобильной безопасности, прогнозирует, что в 2013 г. главной проблемой для пользователей станет кража и утеря мобильных устройств. По подсчетам компании, за прошедший год в США было украдено мобильных устройств и ценных данных приблизительно на $30 млрд. Никаких свидетельств в пользу того, что рост этой суммы может приостановиться, компании найти не удалось.

Хакерские атаки по-прежнему будут оставаться крупной угрозой для мобильных устройств, хотя и пойдут на спад в развитых странах. По прогнозам компании, около 13 млн пользователей Android могут столкнуться в начале 2013 г. с вирусами и другими вредоносными программами. Особенно высок риск хакерских атак, по мнению Lookout, в России, Китае и Саудовской Аравии.

Однако рынок безопасности тоже не стоит на месте и уже в новом году можно будет увидеть новые, более надежные системы. "Относительно новым направлением в защите мобильных ресурсов является необычное применение "облачных" технологий, а именно вывод доверенного прикладного процесса в область функционирования гипервизора, то есть за пределы "досягаемости" пользователя и ОС как мобильного устройства, так и виртуальной платформы (PaaS). Такой подход, обеспечиваемый также всеми известными методами защиты, может обеспечить полноценную реализацию эшелонированной "обороны" мобильного клиента, особенно если он будет поддержан на стороне центрального объекта. Эта технология не за горами, в следующем году точно стартует", – пояснил Валерий Андреев, заместитель директора по науке и развитию компании ИВК.

Тренд введения в корпоративную среду различных мобильных устройств сотрудников получил название Bring Your Own Device (BYOD) и развивается в мире с 2009 года. Согласно опросам, обеспечение безопасности корпоративной информации на устройствах менеджеров, является одной из основных "головных болей" ИТ-директоров. "На рынке существует решение Blackberry Enterprise Service (BES), которое позволяет максимально эффективно контролировать смартфоны сотрудников и информацию на них. Однако его ограничением является поддержка устройств только на ОС BlackBerry, а сотрудники хотят использовать разные девайсы, – рассказывает Евгения Григорьева, руководитель департамента по продуктам мобильной связи бизнес-сегмента компании "ВымпелКом". – Поэтому мы прогнозируем, что в 2013 г. в России начнут набирать популярность решения категории Mobile Device Management (MDM). Они позволяют обеспечить безопасность корпоративной информации устройств на разных ОС (в первую очередь Android и iOS), при этом не затрагивая личную информацию человека".

CNews

24.12.12, Пн, 20:29, Мск

Корпорация Symantec сообщила о новой интеллектуальной вредоносной программе, созданной злоумышленниками для хищения информации.

Согласно предположениям компании, он был создан программистами из Италии как инструмент для ведения частных расследований или шпионажа, включая запись аудио и хищение информации из адресных книг.

В настоящее время эксперты изучают обнаруженные угрозы OSX.Crisis и W32.Crisis — высокоинтеллектуальный вирус-шпион, одновременно использующий множество векторов заражения и схем кражи информации.

Как рассказали CNews в Symantec, угроза нацелена на компьютеры под управлением операционных систем Windows и Mac OS, а также мобильные устройства под управлением Windows Mobile. Помимо этого, она способна проникать и в виртуальные машины в тех случаях, когда они присутствуют на компьютере.

[highslide]http://filearchive.cnews.ru/img/cnews/2012/12/24/crisis1a.jpg[/highslide]
Схема работы Crisis

Эксперты Symantec полагают, что это первый вирус, способный инфицировать гостевые виртуальные машины после заражения их хоста.

[highslide]http://filearchive.cnews.ru/img/cnews/2012/12/24/crisis2a.jpg[/highslide]
Функционал Crisis по краже информации

Из функций хищения информации в компании особенно выделяют хищение информации из социальных сетей Twitter и Facebook, а также писем веб-сервиса GMail.

CNews

26.12.12, Ср, 16:59, Мск

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщила о появлении новой вредоносной программы, инфицирующей мобильные Android-устройства. Троян Android.DDoS.1.origin способен осуществлять DDoS-атаки на различные интернет-ресурсы, а также отправлять SMS-сообщения по команде злоумышленников.

Как рассказали CNews представители «Доктор Веб», будучи установленным на мобильном Android-устройстве, троян Android.DDoS.1.origin создает значок приложения, аналогичный иконке каталога Google Play. Если обманутый пользователь решит запустить эту подделку, будет открыто оригинальное приложение, что значительно снижает риск возникновения каких-либо подозрений.

После запуска троян пытается связаться с удаленным сервером и в случае успеха передает на него номер мобильного телефона жертвы, после чего ждет дальнейших команд, которые отправляются злоумышленниками с помощью SMS. Среди поддерживаемых директив присутствует атака на заданный сервер, а также отправка SMS-сообщений. Если от трояна требуется выполнение атаки на веб-ресурс, то в поступающем от киберпреступников сообщении указывается параметр вида [сервер:порт]. При получении такой команды Android.DDoS.1.origin начинает отправлять на указанный адрес сетевые пакеты.

Если же от вредоносной программы требуется отправка SMS, то в поступающей команде содержится текст сообщения и номер, на который его необходимо отправить. Действие трояна может снизить производительность зараженного мобильного Android-устройства, а также повлиять на благосостояние его владельца, поскольку доступ в интернет и отправка SMS-сообщений продолжают оставаться платными услугами. Кроме того, потенциальная отправка сообщений на премиум-номера может еще больше сказаться на финансовом положении пользователя-жертвы, подчеркнули в «Доктор Веб».

«Механизм распространения трояна еще остается до конца не выясненным, однако наиболее вероятными являются методы социальной инженерии с использованием образа официального Android-приложения от корпорации Google», — полагают в компании.

По словам экспертов компании, код Android.DDoS.1.origin заметно обфусцирован, запутан. Принимая во внимание возможность трояна выполнять атаку на любые веб-ресурсы, а также способность отправлять различные SMS-сообщения на любые номера, в том числе номера контент-провайдеров, можно предположить, что данная вредоносная программа может быть использована ее авторами не только напрямую, но также и для осуществления противоправных действий по заказу третьих лиц (например, для выполнения атаки на сайт конкурентов, продвижения продуктов путем рассылки SMS-сообщений или подписки пользователей на платные услуги при помощи отправки SMS на короткие номера).

Специалисты «Доктор Веб» продолжают изучение угрозы Android.DDoS.1.origin. Все пользователи антивирусных продуктов Dr.Web для Android защищены от этого трояна.

CNews