Friend's World - Мир Друзей
 

Вернуться   Friend's World - Мир Друзей > Безопасность > Антивирусы

Антивирусы Что это такое? Какой лучше? Какой выбрать?

НОВОСТИ

Домен http://friendsworld.ru продается

По всем вопросам обращаться к Citrovod +7 967 145-64-58

Старый 24.06.2008   #136
Администратор

 
Аватар для Rodos
 
Регистрация: 21.08.2005
Сообщений: 6,089
Поблагодарили: 2,055 раз
+
Rodos Ты очень много приносишь пользы; 13%Rodos Ты очень много приносишь пользы, 13%Rodos Ты очень много приносишь пользы, 13%
Отправить сообщение для Rodos с помощью ICQ

За большой вклад и помощь форуму и форумчанам!: За большой вклад и помощь форуму и форумчанам! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Ответ: Вирусная активность

"Лаборатория Касперского" предупреждает о появлении нового почтового червя

Компания "Лаборатория Касперского" предупреждает о появлении нового почтового червя, ворующего конфиденциальную пользовательскую информацию.

Вредоносная программа Lover.a распространяется в виде вложений в электронные письма и использует оригинальный механизм сокрытия своего присутствия в системе. Потенциальной жертве приходит сообщение с прикрепленным файлом to_my_love.scr, при запуске которого на экран выводится графическая демонстрация, напоминающая скринсейвер "Геометрический вальс". Картинка генерируется в реальном времени с использованием фрактальной геометрии. Однако, вместе с тем, незаметно для владельца ПК программа записывает все последовательности символов, которые пользователь вводит при работе с веб-браузерами, почтовыми клиентами и интернет-пейджерами.

После активации червь Lover.a инфицирует исполняемые файлы таких программ, как Opera, Firefox, Internet Explorer, The Bat, MSN Messenger, ICQ, QIP и некоторых других. Причем код инфекции для каждого из приложений разделяется на несколько частей, что существенно затрудняет его обнаружение. При запуске зараженного приложения программный код вируса занимает 4 кб памяти, в которой собирает свое тело, и далее создает в папке операционной системы Windows файл с именем ia*.cfg. В этот файл записывается вся информация, вводимая пользователем через клавиатуру. Впоследствии украденные данные отправляются злоумышленникам.

Анализ кода червя, проведенный специалистами "Лаборатории Касперского", позволяет предположить, что автор вредоносной программы является русскоговорящим. Компания "Лаборатория Касперского" уже добавила процедуры обнаружения Lover.a в свои антивирусные базы данных. Вместе с тем, эксперты в очередной раз советуют пользователям Сети не открывать вложения в электронные письма, полученные из неизвестных источников.
Rodos вне форума   Ответить с цитированием
Поблагодарили:
Старый 17.07.2008   #137
Администратор

 
Аватар для Rodos
 
Регистрация: 21.08.2005
Сообщений: 6,089
Поблагодарили: 2,055 раз
+
Rodos Ты очень много приносишь пользы; 13%Rodos Ты очень много приносишь пользы, 13%Rodos Ты очень много приносишь пользы, 13%
Отправить сообщение для Rodos с помощью ICQ

За большой вклад и помощь форуму и форумчанам!: За большой вклад и помощь форуму и форумчанам! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Ответ: Вирусная активность

"Лаборатория Касперского" обнаружила червя, заражающего аудиофайлы

Вирус Worm.Win32.GetCodec.a конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу. Маркер активируется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу. На этой страничке пользователю предлагается скачать и установить некий файл, выдаваемый за кодек. Если пользователь одобряет установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник получает контроль над атакованным ПК. Причём файл, находящийся на подложной странице, обладает электронной цифровой подписью компании Inter Technologies и определяется выдавшим ЭЦП ресурсом http://www.usertrust.com как доверенный. Стоит отметить, что до этого случая формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом.

По словам вирусных аналитиков "Лаборатории Касперского", особенностью данного червя является заражение чистых аудиофайлов. Аналитики отмечают, что вирус подобного рода повышает вероятность успешной атаки, поскольку пользователи обычно с большим доверием относятся к собственным медиафайлам и не связывают их с опасностью заражения.

"Лаборатория Касперского" сообщила, что сразу после обнаружения червя Worm.Win32.GetCodec.a его сигнатуры были добавлены в антивирусные базы компании.
Rodos вне форума   Ответить с цитированием
Старый 28.07.2008   #138
Администратор

 
Аватар для Rodos
 
Регистрация: 21.08.2005
Сообщений: 6,089
Поблагодарили: 2,055 раз
+
Rodos Ты очень много приносишь пользы; 13%Rodos Ты очень много приносишь пользы, 13%Rodos Ты очень много приносишь пользы, 13%
Отправить сообщение для Rodos с помощью ICQ

За большой вклад и помощь форуму и форумчанам!: За большой вклад и помощь форуму и форумчанам! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Ответ: Вирусная активность

Сообщение не о вирусах, но тоже гадость:

Спамеры рассылают мусорные письма от имени администрации сети "Одноклассники.ru"

С конца прошлой недели многие пользователи Рунета получают мусорные письма, якобы исходящие от имени администрации популярной социальной сети "Одноклассники.ru".

Как сообщает CNews со ссылкой на информацию, предоставленную "Лабораторией Касперского", спамерская рассылка началась 24 июля. Пользователям, в том числе и тем, которые не зарегистрированы на сайте "Одноклассники.ru", приходят послания, имитирующие стандартное письмо социальной сети о получении нового сообщения. Причем с целью повышения достоверности в приветственную фразу фальшивых писем включена первая половина электронного адреса получателя.

Для просмотра нового сообщения, якобы пришедшего от другого пользователя "Одноклассники.ru", потенциальной жертве предлагается перейти на страницу www.odnoklassnlkl.com. Однако после нажатия на указанную ссылку получатель мусорного письма перенаправляется на различные вредоносные сайты, с которых производится попытка заражения компьютера троянской программой. После этого пользователь пересылается на настоящий сайт "Одноклассники.ru".

"Лаборатория Касперского" оценивает масштаб спамерской рассылки как "широкий". При этом специалисты подчеркивают, что сам сайт Odnoklassniki.ru непосредственного отношения к рассылке, похоже, не имеет. Злоумышленники, согласно предварительным оценкам, не смогли получить доступ к адресам подписчиков социальной сети и отправляли письма по адресам, включенным в спамерские базы данных. Выявить виновников атаки, по словам специалистов, крайне тяжело.

"Одноклассники.ru" является одним из самых популярных ресурсов Рунета. Проект был запущен в начале марта 2006 года и на сегодняшний день насчитывает более 18 миллионов зарегистрированных пользователей.
Rodos вне форума   Ответить с цитированием
Поблагодарили:
Старый 08.08.2008   #139
Администратор

 
Аватар для Rodos
 
Регистрация: 21.08.2005
Сообщений: 6,089
Поблагодарили: 2,055 раз
+
Rodos Ты очень много приносишь пользы; 13%Rodos Ты очень много приносишь пользы, 13%Rodos Ты очень много приносишь пользы, 13%
Отправить сообщение для Rodos с помощью ICQ

За большой вклад и помощь форуму и форумчанам!: За большой вклад и помощь форуму и форумчанам! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Ответ: Вирусная активность

Поддельные инсталляторы Flash Player получили широкое распространение

Компания Adobe предупредила пользователей об опасности, которая может поджидать их при переходе по ссылкам на Flash Player, которые часто даются на многих сайтах социальных сетей. Компания обращает внимание пользователей на то, что часто такие ссылки ведут вовсе не на сайт Adobe, а на ресурсы, распространяющие вредоносный код. Именно поэтому компания рекомендует пользователям игнорировать такие ссылки и загружать плеер только с официального сайта.
Flash Player, который распространяется через сайт Adobe, имеет цифровую подпись и проверяется операционной системой во время установки. Пользователи могут проверить, является ли скачанная ими программа настоящей, еще и таким способом: щелкнуть правой кнопкой мыши по файлу инсталляции, выбрать пункт Properties и перейти на вкладку Digital Signatures. На ней должно быть указано Adobe Systems, Incorporated.
Rodos вне форума   Ответить с цитированием
Старый 15.08.2008   #140
Администратор

 
Аватар для Rodos
 
Регистрация: 21.08.2005
Сообщений: 6,089
Поблагодарили: 2,055 раз
+
Rodos Ты очень много приносишь пользы; 13%Rodos Ты очень много приносишь пользы, 13%Rodos Ты очень много приносишь пользы, 13%
Отправить сообщение для Rodos с помощью ICQ

За большой вклад и помощь форуму и форумчанам!: За большой вклад и помощь форуму и форумчанам! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Ответ: Вирусная активность

"Доктор Веб" выпустил утилиту восстановления файлов после атаки трояна-вымогателя


Компания "Доктор Веб" предупреждает о появлении новой троянской программы Encoder.19, которая после проникновения на машину жертвы шифрует пользовательские файлы.

Троян Encoder.19 по принципу работы аналогичен вредоносной программе Gpcode, обнаруженной "Лабораторией Касперского" в начале лета. После попадания на машину Encoder.19 сканирует все несъемные накопители и шифрует файлы с расширениями .jpg, .psd, .cdr, .mov, .doc, .xls, .ppt, .rar, .zip, .mp3, .pdf и многими другими. То есть, владелец инфицированного компьютера фактически лишается доступа ко всей своей информации, в том числе к фотографиям, документам, фильмам, музыке и архивам. После выполнения операций шифрования троян Encoder.19 оставляет на жестком диске файл crypted.txt, в котором предлагает пользователю заплатить за дешифратор 10 долларов.

Впрочем, эксперты по вопросам компьютерной безопасности традиционно не рекомендуют пользователям, чьи компьютеры пострадали от трояна, платить шантажистам. Компания "Доктор Веб" для восстановления зашифрованных файлов предлагает воспользоваться специально разработанной бесплатной утилитой te19decrypt.exe, загрузить которую можно отсюда.

В процессе работы утилита te19decrypt.exe создает рядом с закодированными файлами их расшифрованные версии без окончания .crypt. При этом компания "Доктор Веб" подчеркивает, что зашифрованные файлы удалять не следует, поскольку не исключена возможность некорректной расшифровки.
Rodos вне форума   Ответить с цитированием
Старый 12.09.2008   #141
Администратор

 
Аватар для Rodos
 
Регистрация: 21.08.2005
Сообщений: 6,089
Поблагодарили: 2,055 раз
+
Rodos Ты очень много приносишь пользы; 13%Rodos Ты очень много приносишь пользы, 13%Rodos Ты очень много приносишь пользы, 13%
Отправить сообщение для Rodos с помощью ICQ

За большой вклад и помощь форуму и форумчанам!: За большой вклад и помощь форуму и форумчанам! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Ответ: Вирусная активность

Троян-вымогатель станет распространяться быстрее

В интернете распространилась новая модификация известного в РуНете троянца-вымогателя - Trojan.Encoder.21, которая по действию не отличается от Trojan.Encoder.20, о котором сообщалось ранее.
У Trojan.Encoder.21 есть несколько особенностей, отличающих его от предшественников. В частности, новая модификация троянца в файле crypted.txt требует переводить деньги (89$) только с помощью определённой платёжной системы, указанной автором вируса, и не использовать такие системы как PAYPAL и наличные деньги. Для распространения Trojan.Encoder.21 использует сайты, которые известны как активные дистрибьюторы троянцев. Прежние модификации применяли для этого одноразовые ссылки или ссылки с коротким временем работы. Данная особенность Trojan.Encoder.21 может резко увеличить темпы его распространения.

Компания «Доктор Веб» рекомендует пользователям не поддерживать авторов данного вируса и не перечислять им денежные средства. В случае симптомов, похожих на последствия работы Trojan.Encoder, необходимо скачать бесплатную утилиту, которая позволит расшифровать данные.
Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.
Rodos вне форума   Ответить с цитированием
Старый 28.10.2008   #142
Администратор

 
Аватар для Rodos
 
Регистрация: 21.08.2005
Сообщений: 6,089
Поблагодарили: 2,055 раз
+
Rodos Ты очень много приносишь пользы; 13%Rodos Ты очень много приносишь пользы, 13%Rodos Ты очень много приносишь пользы, 13%
Отправить сообщение для Rodos с помощью ICQ

За большой вклад и помощь форуму и форумчанам!: За большой вклад и помощь форуму и форумчанам! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Ответ: Вирусная активность

Компания «Доктор Веб» предупреждает о вирусной эпидемии

Компания «Доктор Веб» предупреждает о резком росте количества мусорных писем, содержащих в качестве вложений вредоносные программы Trojan.Packed.1198 и Trojan.PWS.Panda.31.

Потенциально опасные сообщения распространяются под видом писем, якобы содержащих видеоролик с участием известной актрисы Анджелины Джоли. На самом же деле в прикрепленном архиве с именем anjelina_video.exe спрятан установщик вредоносной программы. При попытке открытия файла троян проверяет, не инсталлированы ли на компьютере жертвы определенные фальшивые антивирусы, и в случае их обнаружения завершает работу. Если же никаких признаков лжеантивирусов обнаружить не удается, троян загружает на машину ряд вредоносных компонентов, уничтожает свой исходный файл и перезагружает систему.

После заражения ПК троян изменяет настройки зон безопасности Windows, отключает встроенный брандмауэр, удаляет из реестра данные расширений Internet Explorer и устанавливает в качестве поискового движка Google. После этого на экран выводится сообщение о том, что компьютер инфицирован, а его владельцу предлагается скачать антивирус. Причем вредоносные файлы загружаются еще до вывода уведомления о заражении системы.

В течение последних дней, по данным сервера статистики компании «Доктор Веб», в пиковые часы более половины всех инфицированных писем содержали троянскую программу Trojan.Packed.1198. С 25 октября в практически идентичных письмах началась рассылка вредоносной программы Trojan.PWS.Panda.31. Специалисты настоятельно рекомендуют пользователям не открывать вложения в сообщения, полученные с неизвестных или сомнительных адресов.
Rodos вне форума   Ответить с цитированием
Старый 28.10.2008   #143
Администратор

 
Аватар для Rodos
 
Регистрация: 21.08.2005
Сообщений: 6,089
Поблагодарили: 2,055 раз
+
Rodos Ты очень много приносишь пользы; 13%Rodos Ты очень много приносишь пользы, 13%Rodos Ты очень много приносишь пользы, 13%
Отправить сообщение для Rodos с помощью ICQ

За большой вклад и помощь форуму и форумчанам!: За большой вклад и помощь форуму и форумчанам! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Ответ: Вирусная активность

Новый червь использует уязвимость в службе Windows Server

Спустя всего лишь сутки после выхода внеочередного патча от Microsoft в интернете появился новый червь Gimmiv, который использует закрываемую им уязвимость. Уязвимость касается службы Server, а именно того, как она обрабатывает запросы RPC (remote procedure call).

Недоброжелатель может отправить специально созданный запрос, из-за чего на удаленном компьютере без разрешения пользователя может быть запущен вредоносный код.
Gimmiv особенно опасен для компьютеров, которые объединены в локальную сеть. После загрузки на один из таких ПК червь сканирует все остальные компьютеры локальной сети и, если находит такие, где уязвимость не закрыта, устанавливается на них тоже. После этого происходит загрузка программы, предназначенной для кражи паролей.

Исходный код червя Gimmiv уже в пятницу появился на одном их хакерских сайтов, поэтому, скорее всего, количество атак, выполняемых с его помощью, в ближайшие дни возрастет.
Rodos вне форума   Ответить с цитированием
3 благодарностей:
Старый 01.11.2008   #144
Администратор

 
Аватар для Rodos
 
Регистрация: 21.08.2005
Сообщений: 6,089
Поблагодарили: 2,055 раз
+
Rodos Ты очень много приносишь пользы; 13%Rodos Ты очень много приносишь пользы, 13%Rodos Ты очень много приносишь пользы, 13%
Отправить сообщение для Rodos с помощью ICQ

За большой вклад и помощь форуму и форумчанам!: За большой вклад и помощь форуму и форумчанам! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Ответ: Вирусная активность

Составлен список самых «страшных» вредоносных программ

Компания PandaLabs в честь Хэллоуина представила список десяти вредоносных программ, способных нанести серьезный урон пользовательским данным и причинить немало неприятностей.
Открывает десятку вирус Tixcet.A. Маскируясь под файл Microsoft Word, этот червь пытается удалить файлы с определенными расширениями, такими как .DOC, .MP3, .MOV, .ZIP, .JPG и др. Так что под праздники можно запросто остаться без коллекции песен и фотографий.

Далее следует вредоносная программа Antivirus2008pro, выдающая себя за бесплатный антивирус. Многие пользователи покупаются на обман, однако вскоре Antivirus2008pro начинает выдавать сообщения о ложных заражениях, пытаясь вынудить владельца ПК заплатить за «лекарство».

Вирус Goldun.TB маскируется под почтовое приложение, сообщающее, что интернет- обслуживание жертвы будет приостановлено. Попав на компьютер, он крадет пароли и информацию об онлайновых платежах.

Далее идут несколько троянов. Первый из них, Baker.LGC, пытается проникнуть на компьютер, прикрываясь лживой историей о несчастном случае с участием Фернандо Алонсо, испанского гонщика Формулы 1. Второй троян, Turkojan.I, владеет одной из самых привлекательных маскировок: он выдает себя за новый эпизод «Симпсонов». А вот троянская программа Banbra.FXT генерирует почтовое сообщение от имени бразильского федерального министерства, а затем очищает банковские счета поверивших в розыгрыш пользователей.

Червь AutoKitty.A, также попавший в список, вносит многочисленные модификации в системный реестр Windows, мешающие компьютеру корректно выполнять свою работу. Троян PHilto.A под маской видео о Пэрис Хилтон устанавливает на компьютер модули, демонстрирующие рекламу, а вредоносная программа MeteorBot.A под видом супермена крадет информацию о компьютере. Наконец в десятку вошел троян PGPCoder.E, пытающийся зашифровать все пользовательские данные.
Rodos вне форума   Ответить с цитированием
2 благодарностей:
Старый 07.11.2008   #145
Администратор

 
Аватар для Rodos
 
Регистрация: 21.08.2005
Сообщений: 6,089
Поблагодарили: 2,055 раз
+
Rodos Ты очень много приносишь пользы; 13%Rodos Ты очень много приносишь пользы, 13%Rodos Ты очень много приносишь пользы, 13%
Отправить сообщение для Rodos с помощью ICQ

За большой вклад и помощь форуму и форумчанам!: За большой вклад и помощь форуму и форумчанам! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Ответ: Вирусная активность

В дополнение к посту #143:

Появились новые эксплойты для дыр в Windows

Компания Panda Security предупреждает о появлении новых вредоносных программ, эксплуатирующих недавно устраненную уязвимость в операционных системах Windows различных версий.
Речь идет о дыре, описание которой содержится в бюллетене безопасности Microsoft MS08-067. Проблема связана с тем, что при обработке сформированных специальным образом запросов удаленного вызова процедур (Remote Procedure Call) в службе Server программных платформ Microsoft возникает ошибка, позволяющая злоумышленникам захватить полный контроль над компьютером жертвы. Брешь присутствует во всех версиях Windows.

По сообщению Panda Security, вредоносные программы, эксплуатирующие данную уязвимость, распространяются как посредством электронной почты, так и через Интернет — даже с легальных веб-страниц. В качестве примера эксперты приводят трояна Gimmiv.A, позволяющего завладевать полным контролем над зараженной системой. После проникновения на компьютер троян собирает конфиденциальные данные, в том числе пароли, логины, информацию об установленных патчах и учетных записях, а затем отправляет сведения на удаленный сервер.

Компания Panda Security настоятельно рекомендует пользователям ОС Windows не отмахиваться от установки всех выходящих патчей. Скачать их можно через службы Windows Update, Microsoft Update, встроенные в Windows средства обновления и сайт корпорации Microsoft.
Rodos вне форума   Ответить с цитированием
2 благодарностей:
Старый 06.12.2008   #146
Администратор

 
Аватар для Rodos
 
Регистрация: 21.08.2005
Сообщений: 6,089
Поблагодарили: 2,055 раз
+
Rodos Ты очень много приносишь пользы; 13%Rodos Ты очень много приносишь пользы, 13%Rodos Ты очень много приносишь пользы, 13%
Отправить сообщение для Rodos с помощью ICQ

За большой вклад и помощь форуму и форумчанам!: За большой вклад и помощь форуму и форумчанам! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Ответ: Вирусная активность

Новый троян маскируется под расширение для Firefox

Компания BitDefender предупреждает о появлении вредоносной программы, маскирующейся под расширение для браузера Firefox.
Новый троян получил название ChromeInject. После проникновения на компьютер жертвы вредоносная программа записывается в папку дополнений Firefox и регистрируется в системных файлах под видом Greasemonkey — достаточно широко распространенного расширения для этого интернет-обозревателя. ChromeInject активируется при каждом запуске браузера и следит за действиями пользователя. Если владелец инфицированного ПК заходит на сайт банка или платежной системы, троян перехватывает логины и пароли и пересылает похищенную информацию на расположенный в России сервер.

Компания BitDefender подчеркивает, что вредоносная программа способна идентифицировать более ста различных ресурсов, через которые могут осуществляться финансовые транзакции. В их число входят сайты Barclays, Wachovia, Bank of America, PayPal и пр. Троян может проникать на компьютер жертвы как через дыры в ПО, так и под видом «полезных» утилит.

Важно отметить, что Mozilla регулярно проверяет свое хранилище расширений для браузера Firefox на предмет наличия потенциально нежелательных программ. Признаков присутствия в этом репозитории трояна ChromeInject пока обнаружено не было.

Скачивайте и устанавливайте расширения только с офсайта Mozilla!
Rodos вне форума   Ответить с цитированием
Старый 13.12.2008   #147
Администратор

 
Аватар для Rodos
 
Регистрация: 21.08.2005
Сообщений: 6,089
Поблагодарили: 2,055 раз
+
Rodos Ты очень много приносишь пользы; 13%Rodos Ты очень много приносишь пользы, 13%Rodos Ты очень много приносишь пользы, 13%
Отправить сообщение для Rodos с помощью ICQ

За большой вклад и помощь форуму и форумчанам!: За большой вклад и помощь форуму и форумчанам! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Ответ: Вирусная активность

Новый троян блокирует доступ к файлам

Компания «Доктор Веб» предупреждает о появлении нового трояна Locker.8, который после проникновения в компьютер блокирует доступ к пользовательским данным.
Вредоносная программа Locker.8 распространяется в виде файла размером около 2 Мб, упакованного при помощи ASPack. Сразу после активации троян демонстрирует изображение генератора серийных номеров Creative Suite 4, который не имеет к его функционалу никакого отношения. Это, как отмечает «Доктор Веб», позволяет предположить, что Locker.8 может распространяться под видом утилиты для взлома продуктов Adobe Systems.
После запуска Locker.8 переименовывает файлы и папки, находящиеся во всех разделах, кроме системного, таким образом, что их новые названия не соответствуют стандартным правилам именования директорий в системе Windows. Содержимое файлов и папок при этом не изменяется. Кроме того, троян блокирует доступ к директории «Мои документы» и ярлыкам на рабочем столе.

Далее вредоносная программа создает на жестком диске свои копии под именем answer.exe. При запуске этого файла отображается сообщение с предложением обратиться к авторам Locker.8 за получением инструкций по разблокировке.


Компания «Доктор Веб» настоятельно не рекомендует жертвам вредоносной программы идти на поводу у киберпреступников. Для разблокировки файлов можно воспользоваться специальной утилитой, разработанной специалистами «Доктора Веба» -
Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.
Rodos вне форума   Ответить с цитированием
2 благодарностей:
Старый 17.01.2009   #148
Администратор

 
Аватар для Rodos
 
Регистрация: 21.08.2005
Сообщений: 6,089
Поблагодарили: 2,055 раз
+
Rodos Ты очень много приносишь пользы; 13%Rodos Ты очень много приносишь пользы, 13%Rodos Ты очень много приносишь пользы, 13%
Отправить сообщение для Rodos с помощью ICQ

За большой вклад и помощь форуму и форумчанам!: За большой вклад и помощь форуму и форумчанам! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Ответ: Вирусная активность

Сетевой червь Win32.HLLW.Shadow.based использует уязвимости Windows

Компания «Доктор Веб» информирует о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based, который использует несколько альтернативных методов распространения, один из которых — уязвимости операционной системы Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ. Сетевой червь Win32.HLLW.Shadow.based, некоторые образцы которого также могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555, использует для своего распространения сразу несколько способов. Прежде всего — съёмные носители и сетевые диски посредством встроенного в Windows механизма автозапуска. В этом случае имя вредоносного файла является случайным и содержится в папке вида RECYCLERS-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же структуру папок использует Корзина Windows для хранения удалённых файлов, что позволяет вирусу оставаться незаметным для пользователя.
Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.

Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.

После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится, и если это процесс rundll32.exe, то внедряет свой код в системные процессы svchost.exe и explorer.exe. Затем вирус открывает в Проводнике текущую папку и прекращает свою работу.

Если Win32.HLLW.Shadow.based определяет, что он находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, а также в реестр для обеспечения автозапуска после перезагрузки компьютера и останавливает работу службы обновления Windows. Далее в системе устанавливается собственная реализация HTTP-сервера, с помощью которого начинается распространение вируса по сети.

Если вирус определяет, что он находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.

В состав Win32.HLLW.Shadow.based входит драйвер, который изменяет в памяти системный файл tcpip.sys с целью увеличения стандартного ограничения системы на количество одновременных сетевых подключений.

Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет.

Для лечения системы от Win32.HLLW.Shadow.based и профилактики заражения рекомендуется установить патчи, указанные в следующих информационных бюллетенях Microsoft: MS08-067, MS08-068, MS09-001. Также необходимо отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети. Лечение системы можно произвести при помощи бесплатной утилиты Dr.Web CureIt!.

* * *

Особенности и лечение червя Win32.HLLW.Shadow.based

Специалисты «Доктор Веб» недавно опубликовании информацию о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based, который использует несколько альтернативных методов распространения, один из которых — уязвимости операционной системы Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до бета-версии Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.

Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет.

Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений выглядит так: для начала нужно установить патчи, указанные в следующих информационных бюллетенях Microsoft:

* MS08-067;
* MS08-068;
* MS09-001.

Затем нужно отключить компьютер от локальной сети и от интернета. Если компьютеры подсоединены к локальной сети, то вылеченный ПК необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети. В самом конце необходимо скачать текущую версию утилиты Dr.Web CureIt! и просканировать все диски.
Rodos вне форума   Ответить с цитированием
2 благодарностей:
Старый 30.01.2009   #149
Администратор

 
Аватар для Rodos
 
Регистрация: 21.08.2005
Сообщений: 6,089
Поблагодарили: 2,055 раз
+
Rodos Ты очень много приносишь пользы; 13%Rodos Ты очень много приносишь пользы, 13%Rodos Ты очень много приносишь пользы, 13%
Отправить сообщение для Rodos с помощью ICQ

За большой вклад и помощь форуму и форумчанам!: За большой вклад и помощь форуму и форумчанам! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Ответ: Вирусная активность

«Доктор Веб»: вирусописатели подготовились к Дню Святого Валентина

Компания «Доктор Веб» информирует пользователей о массовой рассылке сообщений, эксплуатирующих тему грядущего Дня Святого Валентина. В сообщениях содержится ссылка на сайт, с которого происходит загрузка вредоносной программы, определяемой антивирусом Dr.Web как Trojan.Spambot.4266, а также известной под именем Waledac.


На специально подготовленном сайте, ссылку на который получает пользователь, отображаются сердечки, символизирующие День Святого Валентина. При этом сайт построен так, что подталкивает пользователя к нажатию на картинку, после чего начинается загрузка вредоносного файла.

Цель данного троянца — создание очередной бот-сети из заражённых компьютеров, которую затем можно использовать для любых целей злоумышленников. Файл, загружаемый с вредоносного сайта, периодически обновляется.

Компания «Доктор Веб» в период до 14 февраля рекомендует интернет-пользователям быть бдительными и тщательно проверять происхождение присылаемых «валентинок».
Rodos вне форума   Ответить с цитированием
3 благодарностей:
Старый 13.02.2009   #150
ВЫП

 
Аватар для hornet
 
Регистрация: 15.12.2005
Сообщений: 619
Поблагодарили: 203 раз
hornet Ты очень много приносишь пользы; 19%hornet Ты очень много приносишь пользы, 19%hornet Ты очень много приносишь пользы, 19%
Отправить сообщение для hornet с помощью ICQ

5 лет на форуме!: Пять лет форуму
По умолчанию Ответ: Вирусная активность

Microsoft сообщила об обнаружении вредоносного ПО инфицирующего веб-серверы

В антивирусном подразделении корпорации Microsoft сообщили об обнаружении ранее неизвестного семейства злонамеренных кодов, которые быстро распространяются и в отличие от большинства существующих вирусов они ориентированы на инфицирование веб-серверов, чтобы в последствии предложить посетителям этих веб-серверов ссылки на другое вредоносное ПО. Microsoft сообщает, что сейчас известно несколько модификаций кода Virut или Virux. В зависимости от конкретной разновидности кода, разработка хакеров инфицирует различные исполняемые на веб-серверах файлы, в том числе CGI-, PHP- и ASP-файлы. Распространяется вирус в составе широкой гаммы серверных драйверов, а также офлайновыми методами - при помощи USB-носителей. На всех-инфицированных серверах появляются вкладки iFrame, которые ведут на сайты с клиентским вредоносным программным обеспечением. "Такой вариант распространения вируса довольно сложен, но если вредоносный код попадает в цель, то можно не сомневаться, что его жертвами могут стать сотни или даже тысячи посетителей зараженного веб-сервера", - соглашаются с Microsoft в антивирусной компании Trend Micro. Все зараженные серверы отправляют своих посетителей через скрытых iFrame на сайт zief.pl , где на пользователей обрушивается масса вредоносных программ и эксплоитов. Один из предлагаемых тут образцов вредоносного софта инфицирует файлы explorer.exe и winlogon.exe в операционных системах Windows. Данный вирус также использует разнообразные полиморфные трюки, чтобы скрыться от антивирусных сканеров


Интересно ?! Xочешь помочь форуму, нажми на баннер вверху страницы !


Получил приток адреналина в кровь и отток углекислого газа в штаны ...

hornet вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Часовой пояс GMT +4, время: 04:27.
Работает на vBulletin® версия 3.8.5.
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Перевод: zCarot
Kопирование разрешено при размещении активной ссылки на источник: http://www.friendsworld.ru

vbsupport.org
aRuma бесплатная регистрация в каталогах тендерный кредит
Доставка грузов