Friend's World - Мир Друзей
 

Вернуться   Friend's World - Мир Друзей > Безопасность > Антивирусы

Антивирусы Что это такое? Какой лучше? Какой выбрать?

НОВОСТИ

Домен http://friendsworld.ru продается

По всем вопросам обращаться к Citrovod +7 967 145-64-58

Старый 16.08.2005   #16
Brutal Death Moder

 
Аватар для nEtVIL
 
Регистрация: 12.06.2005
Сообщений: 1,458
Поблагодарили: 236 раз
nEtVIL Ты очень много приносишь пользы; 50%nEtVIL Ты очень много приносишь пользы, 50%nEtVIL Ты очень много приносишь пользы, 50%
Отправить сообщение для nEtVIL с помощью ICQ

Антивирус: Гроза всех вирусов и троянов! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Re: Внимание! Вирус!

Антивирусная компания F-Secure сообщает об обнаружение нового интернет-червя Zotob.A. Появившейся "червь" является клоном известного ранее интернет-червя Mytob, отличительной же особенностью нового "червя" является способ проникновения на удаленый компьютер, в данном случае применяется недавно закрытая уязвимость в службе Plug and Play (MS05-039).

Инсталляция:

При запуске W32.Zotob.A выполняет следующие действия:

1. Создает следующий флаг для того, чтобы только одна копия червя выполнялась на скомпрометированном компьютере: B-O-T-Z-O-R

2. Копирует себя как %System%\botzor.exe.

3. Добавляет значение:
"WINDOWS SYSTEM" = "botzor.exe"

в подключи реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices

4. Изменяет значение: "Start" = "4" в ключе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\SharedAccess

чтобы отключить Shared Access сервис в Windows 2000/XP.

5. Добавляет следующие записи в хост файл:

.... Made By .... Greetz to good friend [REMOVED] in the next 24hours

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

Распространение:

W32.Zotob.A не заражает компьютеры под управлением Windows 95/98/Me/NT4. Несмотря на это, они могут использоваться для заражения других уязвимых компьютеров.

1. Генерирует случайный IP адрес из текущего IP адреса. Червь оставляет первые два октета IP адреса системы и изменяет случайным образом последние два октета. Например, если IP адрес системы 192.168.0.1, червь попытается заразить IP адреса, начиная с 192.168.x.x.

2. Пытается распространиться на компьютеры со случайными IP адресами, открывая бекдор на 8888 TCP порту на удаленном компьютере. Червь пытается эксплуатировать уязвимость в Microsoft Windows Plug and Play сервисе, описанную в Microsoft Security Bulletin MS05-039.

3. Копирует следующий файл в скомпрометированный компьютер и выполняет FTP скрипт, содержащийся в нем:

%System%\2pac.txt

4. Загружает и выполняет копию червя с предварительно созданного FTP сервера на зараженном компьютере:

%System%\haha.exe

Удаленное администрирование:

1. Соединяется с IRC сервером на домене http://Miabl0.*****.net/ (адрес изменен) по 8080 TCP порту. Что дает удаленный неавторизованный доступ.

2. Открывает FTP сервер по 33333 TCP порту .


&
Граница на замке

nEtVIL вне форума   Ответить с цитированием
Старый 01.09.2005   #17
Brutal Death Moder

 
Аватар для nEtVIL
 
Регистрация: 12.06.2005
Сообщений: 1,458
Поблагодарили: 236 раз
nEtVIL Ты очень много приносишь пользы; 50%nEtVIL Ты очень много приносишь пользы, 50%nEtVIL Ты очень много приносишь пользы, 50%
Отправить сообщение для nEtVIL с помощью ICQ

Антивирус: Гроза всех вирусов и троянов! - Issue reason: 5 лет на форуме!: Пять лет форуму
Arrow Обзор вирусной активности, август 2005

Обзор вирусной активности, август 2005

Место ---------------------- (%)

1. Net-Worm.Win32.Mytob.c 16,28
2. Email-Worm.Win32.NetSky.q 11,38
3. Email-Worm.Win32.Zafi.b 8,49
4. Email-Worm.Win32.Zafi.d 5,98
5. Net-Worm.Win32.Mytob.bk 4,45
6. Email-Worm.Win32.NetSky.b 3,79
7. Email-Worm.Win32.NetSky.aa 3,51
8. Email-Worm.Win32.LovGate.w 3,38
9. Net-Worm.Win32.Mytob.be 3,37
10. Net-Worm.Win32.Mytob.bi 2,72
11. Net-Worm.Win32.Mytob.q 2,60
12. Net-Worm.Win32.Mytob.t 2,22
13. Net-Worm.Win32.Mytob.h 2,04
14. Net-Worm.Win32.Mytob.u 1,68
15. Email-Worm.Win32.NetSky.t 1,52
16. Net-Worm.Win32.Mytob.au 1,51
17. Net-Worm.Win32.Mytob.bt 1,25
18. Net-Worm.Win32.Mytob.r 1,17
19. Net-Worm.Win32.Mytob.a 1,15
20. Net-Worm.Win32.Mytob.bw 1,15
другие вредоносные программы 20,36

Как вы видите большинство мест занимают различные модификации червя Net-Worm.Win32.Mytob, который для своего распространения использует старую уязвимость MS04-011 (2004 г). Поэтому рекомендую поставить заплатки на Windows кто еще это не сделал:

Установите соответствующее исправление:
Microsoft Windows 2000 SP 1-4
Microsoft Windows XP SP 0-1
Microsoft Windows Server 2003


&
Граница на замке

nEtVIL вне форума   Ответить с цитированием
Старый 22.09.2005   #18
Brutal Death Moder

 
Аватар для nEtVIL
 
Регистрация: 12.06.2005
Сообщений: 1,458
Поблагодарили: 236 раз
nEtVIL Ты очень много приносишь пользы; 50%nEtVIL Ты очень много приносишь пользы, 50%nEtVIL Ты очень много приносишь пользы, 50%
Отправить сообщение для nEtVIL с помощью ICQ

Антивирус: Гроза всех вирусов и троянов! - Issue reason: 5 лет на форуме!: Пять лет форуму
Exclamation Re: Вирусная активность

Worm.Win32.Eyeveg.m

Второй день на территории России мы регистрируем массовые спам-рассылки писем со ссылками, по которым находится червь Worm.Win32.Eyeveg.

Убедительно просим пользователей не открывать эти ссылки. Письма распространяются с различными заголовками (song, photo и др.). В этом случае ссылка, указанная в теле письма, имеет вид:


http://www.xxxxxxxxx.org/song.zip

http://www.xxxxxxxxxxxxx.com/photo.zip

Имя архива соответствет заголовку письма.

В поле получателя письма содержится строка: "undisclosed-recipients:". Письмо может содержать вложенный файл нулевого размера.

Детектирование червя уже добавлено в антивирусные обновления Антивируса Касперского.


&
Граница на замке

nEtVIL вне форума   Ответить с цитированием
Старый 26.09.2005   #19
Brutal Death Moder

 
Аватар для nEtVIL
 
Регистрация: 12.06.2005
Сообщений: 1,458
Поблагодарили: 236 раз
nEtVIL Ты очень много приносишь пользы; 50%nEtVIL Ты очень много приносишь пользы, 50%nEtVIL Ты очень много приносишь пользы, 50%
Отправить сообщение для nEtVIL с помощью ICQ

Антивирус: Гроза всех вирусов и троянов! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Re: Вирусная активность

Виртуальные открытки "подсаживают" троян

Специалисты компании Sophos предупреждает о возможности заражения вирусом Dloader-UT Trojan через виртуальные открытки. За минувшие несколько дней было зафискировано несколько случаев подобных атак.

Заражение происходит примерно так: пользователю приходит сообщение с предложением перейти по ссылке, чтобы получить виртуальную открытку от "тайного поклонника". В итоге вместе с веб-страницей загружается и Dloader-UT Trojan. "На самом деле это никакой не тайный поклонник, а хакер, проявляющий к вам нездоровый интерес. Людям надо быть очень внимательными, когда они хотят кликнуть на ссылку в незапрошенном сообщении", - говорят консультанты Sophos.

Специалисты Sophos отмечают, что сейчас все больше создателей троянов и шпионского софта используют спамерские сообщения для распространения вредоносных программ на максимальное число компьютеров.

compulenta.ru


&
Граница на замке

nEtVIL вне форума   Ответить с цитированием
Старый 30.09.2005   #20
Brutal Death Moder

 
Аватар для nEtVIL
 
Регистрация: 12.06.2005
Сообщений: 1,458
Поблагодарили: 236 раз
nEtVIL Ты очень много приносишь пользы; 50%nEtVIL Ты очень много приносишь пользы, 50%nEtVIL Ты очень много приносишь пользы, 50%
Отправить сообщение для nEtVIL с помощью ICQ

Антивирус: Гроза всех вирусов и троянов! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Re: Вирусная активность

Обзор вирусной активности, сентябрь 2005

Место ------------------------- (%)
1. Email-Worm.Win32.Zafi.d ------ 17,17
2. Net-Worm.Win32.Mytob.c ----- 16,69
3. Email-Worm.Win32.Zafi.b ------ 11,35
4. Email-Worm.Win32.LovGate.w --- 6,64
5. Email-Worm.Win32.NetSky.b --- 4,32
6. Net-Worm.Win32.Mytob.q ----- 3,86
7. Net-Worm.Win32.Mytob.bk ------ 3,10
8. Email-Worm.Win32.NetSky.q ---- 2,99
9. Net-Worm.Win32.Mytob.t ----- 2,53
10. Net-Worm.Win32.Mytob.u ---- 2,50
11. Net-Worm.Win32.Mytob.r ---- 2,02
12. Email-Worm.Win32.NetSky.aa -- 1,59
13. Net-Worm.Win32.Mytob.a ---- 1,56
14. Email-Worm.Win32.NetSky.x --- 1,46
15. Net-Worm.Win32.Mytob.y ---- 1,35
16. Email-Worm.Win32.LovGate.ae -- 0,97
17. Net-Worm.Win32.Mytob.be ---- 0,85
18. Email-Worm.Win32.NetSky.t ---- 0,80
19. Net-Worm.Win32.Mytob.bi ---- 0,79
20. Net-Worm.Win32.Mytob.x ---- 0,77
Прочие вредоносные программы -- 16,69


&
Граница на замке

nEtVIL вне форума   Ответить с цитированием
Старый 01.11.2005   #21
Brutal Death Moder

 
Аватар для nEtVIL
 
Регистрация: 12.06.2005
Сообщений: 1,458
Поблагодарили: 236 раз
nEtVIL Ты очень много приносишь пользы; 50%nEtVIL Ты очень много приносишь пользы, 50%nEtVIL Ты очень много приносишь пользы, 50%
Отправить сообщение для nEtVIL с помощью ICQ

Антивирус: Гроза всех вирусов и троянов! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Re: Вирусная активность

Обзор вирусной активности, октябрь 2005

Место ---------------------------- (%)
1. Net-Worm.Win32.Mytob.c ------ 14,56
2. Email-Worm.Win32.Doombot.b -- 10,27
3. Email-Worm.Win32.Zafi.d ------- 7,92
4. Net-Worm.Win32.Mytob.bi ------ 6,80
5. Email-Worm.Win32.LovGate.w --- 5,27
6. Email-Worm.Win32.NetSky.q ---- 3,66
7. Email-Worm.Win32.Doombot.d --- 3,27
8. Email-Worm.Win32.NetSky.b ---- 3,08
9. Net-Worm.Win32.Mytob.bk ----- 3,03
10. Net-Worm.Win32.Mytob.t ----- 2,51
11. Net-Worm.Win32.Mytob.y ----- 2,35
12. Net-Worm.Win32.Mytob.be ---- 2,22
13. Net-Worm.Win32.Mytob.q ----- 2,10
14. Net-Worm.Win32.Mytob.u ----- 2,08
15. Email-Worm.Win32.Zafi.b ------ 1,59
16. Email-Worm.Win32.Fanbot.f --- 1,46
17. Email-Worm.Win32.Bagle.dx --- 1,24
18. Trojan-Spy.HTML.Bayfraud.hn - 1,22
19. Net-Worm.Win32.Mytob.r ----- 1,20
20. Email-Worm.Win32.NetSky.aa - 1,16
Остальные вредоносные программы - 23,01

Как вы видите большинство мест занимают различные модификации червя Net-Worm.Win32.Mytob, который для своего распространения использует старую уязвимость MS04-011 (2004 г). Поэтому рекомендую поставить заплатки на Windows кто еще это не сделал:

Установите соответствующее исправление из сообщения № 16


&
Граница на замке

nEtVIL вне форума   Ответить с цитированием
Старый 02.11.2005   #22
Brutal Death Moder

 
Аватар для nEtVIL
 
Регистрация: 12.06.2005
Сообщений: 1,458
Поблагодарили: 236 раз
nEtVIL Ты очень много приносишь пользы; 50%nEtVIL Ты очень много приносишь пользы, 50%nEtVIL Ты очень много приносишь пользы, 50%
Отправить сообщение для nEtVIL с помощью ICQ

Антивирус: Гроза всех вирусов и троянов! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Re: Вирусная активность

Email-Worm.Win32.Bagle.eb

Статус : средняя опасность

«Лаборатория Касперского» предупреждает о появлении в интернете новой версии червя Bagle — Email-Worm.Win32.Bagle.eb.
Данная версия червя неспособна распространяться самостоятельно и была разослана при помощи спам-рассылки.

Тело червя находится во вложенном в письмо zip-архиве (может называться business.zip, sms_text.zip, info_prices.zip или иначе; размер — 7 КБ). Внутри архива содержится исполняемый файл text5546.exe размером 9675 байт (MD5 checksum: 4a68d23367d8aaf9fe9217f7f9f98bf1). Этот исполняемый файл является троянским загрузчиком, скачивающим из интернета и запускающим на пораженном компьютере другую версию Bagle — Bagle.eh.

На данный момент антивирусная лаборатория компании фиксирует множественные обращения от пользователей по всему миру, связанные с получением ими данной версии Bagle. За последние сутки «Лаборатория Касперского» обнаружила уже семь новых версий Bagle. Весьма вероятно, что это число продолжит увеличиваться в ближайшие часы.

Процедуры обнаружения и удаления этой версии Bagle были выпущены срочным обновлением баз данных Антивируса Касперского около часа тому назад.

VirusList.com


&
Граница на замке

nEtVIL вне форума   Ответить с цитированием
Старый 07.11.2005   #23
Brutal Death Moder

 
Аватар для nEtVIL
 
Регистрация: 12.06.2005
Сообщений: 1,458
Поблагодарили: 236 раз
nEtVIL Ты очень много приносишь пользы; 50%nEtVIL Ты очень много приносишь пользы, 50%nEtVIL Ты очень много приносишь пользы, 50%
Отправить сообщение для nEtVIL с помощью ICQ

Антивирус: Гроза всех вирусов и троянов! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Re: Вирусная активность

Trojan-PSW.Win32.LdPinch.xh

Статус : информационный

«Лаборатория Касперского» предупреждает о появлении в Рунете новой троянской программы Trojan-PSW.Win32.LdPinch.xh, которая распространяется через интернет-пейджеры в виде сообщения со ссылкой на RAR-архив размером 26 КБ:

Цитата:
Самый интересный ролик из всех что я видел :)
<ссылка>

В архиве находится исполняемый файл, являющийся троянским дроппером, содержащим саму вредоносную программу LdPinch.xh. После запуска дроппер выбрасывает из себя троянца и запускает его. Кроме того, именно дроппер содержит механизмы рассылки сообщения на все контакты контакт-листа установленного на зараженном компьютере интернет-пейджера.

Если вы скачали и запустили находившуюся в архиве программу, вам необходимо срочно сменить все свои пароли — в частности, на доступ к почте и к аккаунтам интернет-пейджеров.

Детектирование вредоносной программы уже добавлено в антивирусные базы и выпущено в составе последних обновлений для Антивируса Касперского.


&
Граница на замке

nEtVIL вне форума   Ответить с цитированием
Старый 08.11.2005   #24
Brutal Death Moder

 
Аватар для nEtVIL
 
Регистрация: 12.06.2005
Сообщений: 1,458
Поблагодарили: 236 раз
nEtVIL Ты очень много приносишь пользы; 50%nEtVIL Ты очень много приносишь пользы, 50%nEtVIL Ты очень много приносишь пользы, 50%
Отправить сообщение для nEtVIL с помощью ICQ

Антивирус: Гроза всех вирусов и троянов! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Re: Вирусная активность

Вернем данные. За вознаграждение

Аналитики Лаборатории Касперского отмечают рост количества вредоносных программ, с помощью которых злоумышленники в дальнейшем вымогают деньги у пользователей.

В качестве примера такого ПО можно привести Virus.Win32.GPCode, а также Trojan.Win32.Krotten, детектирование очередной модификации которого было добавлено в наши антивирусные обновления сегодня под именем Trojan.Win32.Krotten.n.

Trojan.Win32.Krotten использует такой же подход для вымогательства, который использовался в GPCode, - испортить данные пользователя и предложить восстановить их за определенное вознаграждение. Отличие состоит лишь в том, что GPCode шифровал данные на диске, а Krotten портит системный реестр. В случае с Krotten злоумышленники предлагают восстановить данные за денежный эквивалент около 5 USD, что отчетливо видно на нижеприведенном рисунке:



Приведенный текст косвенно свидетельствует об украинском происхождении данной вредоносной программы.

Детектирование Trojan.Win32.Krotten.n уже добавлено в антивирусные базы. Восстановление реестра возможно с помощью бесплатной утилиты, которую можно взять здесь.

В заключение хотелось бы еще раз напомнить пользователям - не стоит запускать неизвестные вложения, если Вы действительно не ожидали его получить. Кроме того, ни в коем случае нельзя переводить деньги злоумышленнику, так как это станет для него стимулом создать новую версию троянской программы и опять "собрать дань".

Viruslist.com


&
Граница на замке

nEtVIL вне форума   Ответить с цитированием
Старый 01.12.2005   #25
Brutal Death Moder

 
Аватар для nEtVIL
 
Регистрация: 12.06.2005
Сообщений: 1,458
Поблагодарили: 236 раз
nEtVIL Ты очень много приносишь пользы; 50%nEtVIL Ты очень много приносишь пользы, 50%nEtVIL Ты очень много приносишь пользы, 50%
Отправить сообщение для nEtVIL с помощью ICQ

Антивирус: Гроза всех вирусов и троянов! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Re: Вирусная активность

Обзор вирусной активности, ноябрь 2005

Место ---------------------------- (%)
1. Net-Worm.Win32.Mytob.c ......... 18,25
2. Email-Worm.Win32.Doombot.b ..... 8,11
3. Email-Worm.Win32.Zafi.d ........... 7,61
4. Net-Worm.Win32.Mytob.bi ......... 6,03
5. Email-Worm.Win32.LovGate.w .... 6,02
6. Email-Worm.Win32.NetSky.q ...... 4,15
7. Email-Worm.Win32.NetSky.b ...... 3,73
8. Net-Worm.Win32.Mytob.t .......... 3,17
9. Net-Worm.Win32.Mytob.bk ........ 2,50
10. Net-Worm.Win32.Mytob.u ........ 2,36
11. Net-Worm.Win32.Mytob.h ........ 2,16
12. Net-Worm.Win32.Mytob.q ........ 2,15
13. Email-Worm.Win32.Sober.y ...... 1,99
14. Net-Worm.Win32.Mytob.bt ...... 1,79
15. Net-Worm.Win32.Mytob.y ....... 1,69
16. Email-Worm.Win32.Doombot.g .. 1,52
17. Email-Worm.Win32.Bagle.dx ..... 1,50
18. Email-Worm.Win32.Zafi.b ........ 1,40
19. Email-Worm.Win32.NetSky.y .... 1,12
20. Email-Worm.Win32.Doombot.d .. 1,09
Остальные вредоносные программы . 21,66

Как вы видите большинство мест занимают различные модификации червя Net-Worm.Win32.Mytob, который для своего распространения использует старую уязвимость MS04-011 (2004 г). Поэтому рекомендую поставить заплатки на Windows кто еще это не сделал:

Установите соответствующее исправление из сообщения № 16

Остальные места занимаю различные черви которые распространяются через зараженные вложения в электронных письмах. Будьте осторожны с письмами от незнакомых людей (особенно если в этих письмах содержится прикрепленный файл)


&
Граница на замке

nEtVIL вне форума   Ответить с цитированием
Старый 29.12.2005   #26
Brutal Death Moder

 
Аватар для nEtVIL
 
Регистрация: 12.06.2005
Сообщений: 1,458
Поблагодарили: 236 раз
nEtVIL Ты очень много приносишь пользы; 50%nEtVIL Ты очень много приносишь пользы, 50%nEtVIL Ты очень много приносишь пользы, 50%
Отправить сообщение для nEtVIL с помощью ICQ

Антивирус: Гроза всех вирусов и троянов! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Re: Вирусная активность

Критическая уязвимость в Windows Meta File

Статус : средняя опасность

«Лаборатория Касперского» повышает уровень угрозы до «Желтого» в связи с обнаружением в интернете нескольких троянских программ, использующих новую уязвимость в процессе обработки Windows Meta File (WMF). Данная уязвимость имеет статус критической, и для ее исправления еще не существует патча.

Уязвимости подвержены операционные системы Windows XP c SP2, а также Windows XP SP1 and Microsoft Windows Server 2003 SP0/SP1.

Уязвимость работает в браузере Internet Explorer, а также может быть исполнена в браузере Firefox (при некоторых дополнительных условиях).

Обнаруженные нами троянские программы, использующие данную уязвимость, являются Trojan-Downloader'ами и загружают на атакованный компьютер других троянцев. В настоящий момент загрузка происходит с сайтов: unionseek.com и iframeurl.biz. В ближайшее время не исключено появление новых модификаций аналогичных троянских программ.

"Лаборатория Касперского" уже выпустила необходимые обновления антивирусных баз.

Мы рекомендуем всем пользователям интернета НЕ открывать файлы с расширением *.wmf и установить уровень безопасности «High» в браузере Internet Explorer.

VirusList.com


&
Граница на замке

nEtVIL вне форума   Ответить с цитированием
Старый 03.01.2006   #27
Brutal Death Moder

 
Аватар для nEtVIL
 
Регистрация: 12.06.2005
Сообщений: 1,458
Поблагодарили: 236 раз
nEtVIL Ты очень много приносишь пользы; 50%nEtVIL Ты очень много приносишь пользы, 50%nEtVIL Ты очень много приносишь пользы, 50%
Отправить сообщение для nEtVIL с помощью ICQ

Антивирус: Гроза всех вирусов и троянов! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Re: Вирусная активность

Обзор вирусной активности, декабрь 2005

Место ------------------------------ (%)
1. Email-Worm.Win32.Zafi.d ........... 29,17
2. Net-Worm.Win32.Mytob.c .......... 17,30
3. Email-Worm.Win32.LovGate.w ...... 6,07
4. Email-Worm.Win32.Sober.y .......... 4,92
5. Email-Worm.Win32.Zafi.b ............ 3,73
6. Email-Worm.Win32.NetSky.b ........ 3,58
7. Email-Worm.Win32.NetSky.q ........ 2,75
8. Net-Worm.Win32.Mytob.t ............ 2,29
9. Net-Worm.Win32.Mytob.u ........... 2,28
10. Net-Worm.Win32.Mytob.q ......... 1,79
11. Net-Worm.Win32.Mytob.bk ........ 1,54
12. Net-Worm.Win32.Mytob.h ......... 1,45
13. Trojan-Spy.HTML.Bayfraud.hn .... 1,36
14. Email-Worm.Win32.LovGate.ae ... 1,35
15. Email-Worm.Win32.NetSky.y ...... 1,00
16. Net-Worm.Win32.Mytob.w ......... 0,96
17. Net-Worm.Win32.Mytob.a ......... 0,96
18. Email-Worm.Win32.Bagle.dx ....... 0,83
19. Net-Worm.Win32.Mytob.y ......... 0,81
20. Net-Worm.Win32.Mytob.x ......... 0,79
Остальные вредоносные программы 15,07

Email-Worm.Win32.Zafi.d в декабре оказался достаточно активным (почти 30% от всего вирусного трафика). Этот червь распространяется в виде вложений в электронные письма. Темы зараженных писем:
Код:
- boldog karacsony... 
- Buon Natale! 
- Christmas - Kartki! 
- Christmas Kort! 
- Christmas pohlednice 
- Christmas postikorti! 
- Christmas Postkort! 
- Christmas Vykort! 
- ecard.ru 
- Feliz Navidad! 
- Joyeux Noel! 
- Merry Christmas! 
- Prettige Kerstdagen! 
- Weihnachten card.
Также червь размножается через файлообменные сети. Имя зараженного файла:
Код:
- ICQ 2005a new!.exe 
- winamp 5.7 new!.exe
Червь активно противодействует антивирусам и файрволлам выгружая их из памяти и заменяя их файлы своими копиями. Так что если у вас вдруг перестал работать антивирус и файрволл, то стоит забить тревогу.

Так же остаются активными различные модификации червя Net-Worm.Win32.Mytob, который для своего распространения использует старую уязвимость MS04-011 (2004 г). Поэтому рекомендую поставить заплатки на Windows кто еще это не сделал (смотрите сообщение № 16)


&
Граница на замке

nEtVIL вне форума   Ответить с цитированием
Старый 12.01.2006   #28
Brutal Death Moder

 
Аватар для nEtVIL
 
Регистрация: 12.06.2005
Сообщений: 1,458
Поблагодарили: 236 раз
nEtVIL Ты очень много приносишь пользы; 50%nEtVIL Ты очень много приносишь пользы, 50%nEtVIL Ты очень много приносишь пользы, 50%
Отправить сообщение для nEtVIL с помощью ICQ

Антивирус: Гроза всех вирусов и троянов! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Re: Вирусная активность

Уязвимость обработчика WMF

Вы наверняка уже слышали об атаках через уязвимость в обработчике файлов формата WMF.

Сейчас опасные WMF-файлы встречаются на десятках веб-сайтов. Вдобавок к эксплойту уязвимости в WMF, эти сайты распространяют так называемые «антишпионские приложения» (за них пользователям нужно платить) и прочие, уже известные вредоносные программы (вроде Trojan-Spy.Win32.Small.ee).

Так, на первый взгляд, использование «железной» Data Execution Protection, доступной владельцам XP SP2 и процессоров с поддержкой NX-bit (AMD) или XD-bit (Intel), предотвращает срабатывание эксплойта.

Мы проверили это предположение на платформах AMD и Intel и, как оказалось, HW DEP действительно останавливает атаку на Internet Explorer и Windows Explorer. Однако даже включенный для всех приложений HW DEP не смог остановить срабатывание эксплойта в программах для просмотра изображений Irfanview и XnView. Дело в том, что Irfanview и XnView упакованы ASPack, а Windows отключает HW DEP для упакованных ASPack исполняемых файлов.

Таким образом, несмотря на то, что HW DEP помогает отразить атаки в отдельных случаях, на роль полноценной защиты она не годится.

Еще одной опасной особенностью новой уязвимости является ее независимость от действующих в системе NTFS-прав.

Некоторые пользователи предпочитают работать под ограниченным пользовательским эккаунтом (он включает в себя ограничение прав на работу с файлами в файловой системе NTFS). Таким образом они стараются защититься от вредоносных программ, большинство которых неработоспособно вне эккаунта администратора. В случае с WMF-уязвимостью это не помогает.

Атакующие прекрасно осведомлены об этой особенности WMF-уязвимости, и скачиваемая через уязвимость вредоносная программа будет запускаться из папки, из которой для текущего пользователя разрешен запуск приложений.

Наше тестирование также показало, что хоть Windows 2000 и не уязвима по умолчанию, она является уязвимой потенциально. Если в системе Windows 2000 установлен просматриватель изображений формата WMF, то есть внушительная вероятность, что подобная система также окажется уязвимой.

Причина заключается в том, что просматриватели картинок типа Irfanview и XnView используют для показа WMF-изображений уязвимые системные файлы, из-за чего эксплойт успешно срабатывает на Windows 2000 с SP4 и всеми последующими патчами.

Есть и небольшая ложка меда: Internet Explorer должен как минимум один раз спросить вас, хотите вы открыть или же сохранить WMF-файл вместо того, чтобы сразу открывать его по умолчанию.

WinXP Pro64 bit edition тоже уязвима. Однако весь shell-код эксплойта написан для IA32-процессоров и работать под WinXP 64-bit он не будет. Для этого в эксплойт необходимо добавить код для x64-процессоров. Но поскольку число пользователей WinXP Pro64 bit edition не слишком велико, то вряд ли злоумышленники станут это делать.

Мы добавили в антивирусные базы эвристический детекшен для опасных WMF-файлов, содержащих новую уязвимость — подобные подозрительные файлы будут детектироваться как Exploit.Win32.IMG-WMF.

kaspersky.ru


&
Граница на замке

nEtVIL вне форума   Ответить с цитированием
Старый 26.01.2006   #29
Brutal Death Moder

 
Аватар для nEtVIL
 
Регистрация: 12.06.2005
Сообщений: 1,458
Поблагодарили: 236 раз
nEtVIL Ты очень много приносишь пользы; 50%nEtVIL Ты очень много приносишь пользы, 50%nEtVIL Ты очень много приносишь пользы, 50%
Отправить сообщение для nEtVIL с помощью ICQ

Антивирус: Гроза всех вирусов и троянов! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Re: Вирусная активность

Опасайтесь Email-Worm.Win32.Nyxem.e

Этот червь обладает опасной функцией, которая 3-го числа каждого месяца уничтожает файлы определенных форматов.

Судя по имеющимся у специалистов Лаборатория Касперского данным, вспышка более-менее локализована: сообщения идут в основном из США и Германии, а в России, после изначального всплеска в понедельник, ситуация нормализовалась.

Учитывая, что этой версией червя на данный момент заражено более миллиона компьютеров, то некоторых пользователей 3 февраля ожидают неприятные сюрпризы. Если у вас нет антивирусной программы, то вы можете воспользоваться бесплатными онлайновыми сканерами и проверить свои диски на заражение Nyxem.e, прежде чем будет слишком поздно.


&
Граница на замке

nEtVIL вне форума   Ответить с цитированием
Старый 27.01.2006   #30
Brutal Death Moder

 
Аватар для nEtVIL
 
Регистрация: 12.06.2005
Сообщений: 1,458
Поблагодарили: 236 раз
nEtVIL Ты очень много приносишь пользы; 50%nEtVIL Ты очень много приносишь пользы, 50%nEtVIL Ты очень много приносишь пользы, 50%
Отправить сообщение для nEtVIL с помощью ICQ

Антивирус: Гроза всех вирусов и троянов! - Issue reason: 5 лет на форуме!: Пять лет форуму
По умолчанию Re: Вирусная активность

Virus.Win32.GPCode.ac

Статус : средняя опасность

Новая версия Virus.Win32.GPCode спровоцировала большое число заражений среди российских пользователей. Версия с индексом .ac была обнаружена в российском интернете утром 26 января и стремительно распространяется.

Эта программа шифрует данные на зараженном компьютере и создает текстовый файл readme.txt с сообщением вида:


=============================

Some files are coded by RSA method.

To buy decoder mail: xxxxxxxx

with subject: RSA xxxxxxxxxxxxxx

=============================

Детектирование этой версии вредоносной программы было добавлено в базы данных Антивируса Касперского вчера. Для защиты компьютеров пользователям Антивируса Касперского рекомендуется скачать и установить последнюю версию антивирусных баз.

VirusList.com


&
Граница на замке

nEtVIL вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Часовой пояс GMT +4, время: 15:29.
Работает на vBulletin® версия 3.8.5.
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Перевод: zCarot
Kопирование разрешено при размещении активной ссылки на источник: http://www.friendsworld.ru

vbsupport.org
aRuma бесплатная регистрация в каталогах тендерный кредит
Доставка грузов