Согласно теории эволюции, одними из первых биологических организмов, появившихся на нашей планете, были вирусы. Компьютерные вирусы, получившие свое название благодаря способности самостоятельно распространяться по электронным сетям и, размножаясь, наносить вред вычислительным системам, также возникли на заре развития компьютерных технологий.

И если проследить историю зарождения белковых вирусов с большой долей достоверности сейчас уже не представляется возможным, ответить на вопрос, кто именно и зачем придумал компьютерные вирусы, относительно несложно. Как говорится, история не забывает своих героев. Вполне естественно, что многомиллионная армия пользователей персональных компьютеров должна помнить тех людей, благодаря которым появилось на свет такое известное сегодня каждому школьнику понятие, как компьютерный вирус. Автором идеи, благодаря которой значительно позже возникла технология создания программных вирусов, принято считать американского программиста Боба Томаса. В 1971 году вычислительная лаборатория компании bolt, beranek and newman, в которой работал Томас, получила заказ на разработку распределенного программного комплекса для авиадиспетчерских служб, управляющих движением пассажирских самолетов. Согласно требованиям заказчиков, входящие в комплекс программы должны были автоматически передавать управление курсом самолетов с одного компьютера на другой по вычислительной сети, отображая на экранах всех подключенных к этой сети компьютеров постоянно изменяющуюся информацию о текущем положении авиалайнеров в воздухе. Экспериментируя с системами передачи данных между различными вычислительными машинами, Томас написал программу, которую назвал «Ползуном». «Ползун» самостоятельно копировал себя с одного компьютера на другой, перемещаясь таким образом по сети, и выводил на экран каждого терминала следующее сообщение: «Я - Ползун! Если сможешь, поймай меня!». Эта небольшая программа не размножалась, а просто «ползала» с одного сетевого узла на другой, развлекая пользователей и системных администраторов. Когда другие программисты узнали об изобретении Томаса, они принялись создавать аналогичные программы, демонстрировавшие на экранах коллег по лаборатории различные забавные фразы. Когда кому-то из специалистов bolt, beranek and newman надоело бороться с бесконечно отвлекающими его от работы «Ползунами», он написал другую программу, которая в точности так же самостоятельно перемещалась по сети, но с совершенно иной целью: она вылавливала и безжалостно уничтожала всех «Ползунов», которые попадались ей на пути. Задетые за живое разработчики «Ползунов» не отставали: усовершенствовав исходный код, они научили свои программы прятаться от «убийцы» в недрах операционной системы, маскируясь под ее компоненты и необходимые для нормальной работы компьютера библиотеки. Кровавая борьба между «Ползунами» и «Киллерами» продолжалась несколько месяцев, после чего это увлечение утратило свою новизну и было заброшено, так и не получив сколь либо серьезного развития.

Однако идея Боба Томаса не была забыта. В 1975 году американский писатель-фантаст Джон Браннер выпустил фантастический роман «Оседлавший Взрывную Волну», в основу которого легла несколько видоизмененная история с «Ползунами». Книга рассказывала о компьютеризированном обществе, которым управляло с помощью глобальной электронной сети правительство диктаторов и тиранов. Программист, решивший спасти мир от диктатуры, написал программу, которую автор романа назвал «глистом»; эта программа копировала себя с одного компьютера на другой, разрушая хранившуюся в них информацию. Чтобы остановить «глиста», правительство вынуждено было отключить сеть, лишившись таким образом власти. Роман быстро стал бестселлером, сделавшись поистине культовой книгой в только зарождавшейся тогда среде компьютерных хакеров. Именно благодаря этому роману в 1980 году двое сотрудников компании xerox, которая в те времена выпускала пользовавшиеся большой популярностью персональные компьютеры, имеющие возможность объединения в локальные сети, решили создать программу, которую по аналогии с упоминавшимся в романе Браннера детищем программиста-бунтаря назвали «Червем». Собственно, «Червь» Иона Хеппа и Джона Шока должен был нести положительную миссию: по замыслу разработчиков, перемещаясь между подключенными к сети компьютерами, «Червь» был призван проверять операционную систему на наличие скрытых дефектов и по возможности устранять их. Хепп и Шок задумали еще два варианта «Червя»: один из них предназначался для распространения объявлений, которые администратор мог направлять всем пользователям вычислительной сети, второй позволил бы гибко перераспределять ресурсы между различными объединенными в сеть компьютерами. Однако на практике все получилось совсем не так, как задумали разработчики. Запустив вечером экспериментальную версию «Червя», Хепп и Шок отправились домой. Когда утром программисты вернулись на работу, они увидели, что все компьютеры, установленные в многоэтажном здании исследовательского центра xerox, расположенного в городке Паоло-Альто, благополучно зависли. В исходном коде «Червя» была допущена незначительная ошибка, благодаря которой программа начала бесконтрольно распространяться между различными узлами сети и блокировать их работу. Перезагрузка машин не помогала: часть входящих в сеть компьютеров была установлена в закрытых комнатах, к которым Хепп и Шок не имели доступа, и как только на перезагружаемой машине запускалась операционная система, «Червь» тут же копировал себя в ее память с другого компьютера, после чего система мгновенно выходила из строя. Отключив одну из машин от локальной сети, программисты вынуждены были экстренно создать другую программу, которая уничтожила бы взбесившегося «Червя». На полную ликвидацию последствий их совместного творчества ушло несколько дней.

Ведущий программист компании bell labs Боб Морриссон по признаниям коллег был лучшим специалистом в своей области, к нему часто обращались за всевозможными консультациями, в частности - в сфере безопасности компьютерных систем. Морриссон был немногословен, но нередко доказывал оппонентам свою правоту на практике. Однажды сотрудники отдела, в котором трудился Боб, несколько месяцев подряд работали над совершенствованием системы безопасности эксплуатируемой ими компьютерной сети, изобретая все новые и новые программные модули. Когда работа была закончена, они похвастались Бобу, что теперь эта сеть защищена от возможных сбоев на все сто процентов. Пожав плечами, Морриссон молча выбросил горящий окурок в стоящее поблизости мусорное ведро с бумагами, содержимое ведра мгновенно загорелось, сработала противопожарная сигнализация и льющаяся из вмонтированных в потолок лаборатории труб вода за две секунды привела всю вычислительную систему в нерабочее состояние. Тогда, в конце восьмидесятых годов, среди программистов была очень популярна игра под названием core wars. Игра имела встроенный язык программирования, от игрока требовалось написать на этом языке специальную «боевую программу». Предназначение такой программы было простым: уничтожить аналогичные программы соперников, отыскивая слабые места в их коде. Побеждал тот программист, чье творение продолжало работать, когда все остальные программы были повреждены или разрушены. Виртуальные баталии «боевых программ» на несколько месяцев стали «коньком» программистов из bell labs; это продолжалось до тех пор, пока за дело не взялся Боб Морриссон. Его «боевая программа» оказалась непобедимой: код состоял всего лишь из 30 строк, однако этот крошечный файл не просто атаковал соперников: он анализировал методы их защиты и, соответствующим образом видоизменяясь, уничтожал файл противника «изнутри», выбирая стратегию атаки исходя из его логической структуры. После этого игра core wars утратила всякий смысл: изобретенный Морриссоном «полиморф» не оставлял конкурентам ни одного шанса. Вскоре Боб Морриссон оставил работу в bell и получил должность эксперта по компьютерной защите в Национальном Агентстве Безопасности США - единственной в Америке организации, занимавшейся расследованием компьютерных преступлений.

Старший сын Боба Морриссона Роберт рос тихим и скромным мальчиком, его единственной страстью были компьютеры. Уже в четырнадцатилетнем возрасте он переписал популярную у подростков компьютерную игру the four corners, добавив в нее множество новых функциональных возможностей, в 16 лет он стал настоящим экспертом по системе безопасности unix, обнаружив в «классическом» берклиевском коде этой платформы множество ошибок, которые не замедлил исправить. Однако он и сам не брезговал пользоваться обнаруженными «дырами» в защите, время от времени подключаясь к удаленным электронным сетям в поисках интересующей его информации. Это увлечение привело к тому, что вскоре в компьютерном журнале smitsonian появился материал, в котором Роберта называли одним из наиболее известных молодых хакеров в Америке. Именно Роберт Морриссон является автором и разработчиком одной из наиболее известных реализаций протокола передачи данных uucp - unix-to-unix copy. Обучаясь на четвертом курсе Гарвардского университета, Роберт уже читал лекции в Национальном Агенстве Безопасности США и исследовательских лабораториях военно-морского флота по безопасности операционной системы unix.

Полученные Робертом в ходе его самостоятельных разработок и изучения уже существующего опыта других программистов знания требовали практического применения. В качестве эксперимента Роберт решил написать программу, которая, используя обнаруженные им недоработки в созданном для unix протоколе ftp и программе sendmail могла бы самостоятельно распространяться между объединенными в сеть компьютерами, подобно «Червю» Хеппа и Шока, но при этом умела бы эффективно «прятаться» в операционной системе и самостоятельно размножаться. Иными словами, «Червь» Морриссона должен был объединять в себе все достоинства предыдущих попыток создания аналогичных программ. Поскольку эта разработка была всего лишь научным экспериментом, тестом на безопасность объединенных в сети компьютерных систем, Роберт заложил в код «Червя» алгоритмы, сдерживающие его распространение, никаких модулей, разрушающих файловую систему атакованных компьютеров, также задумано не было. 2 ноября 1988 года в 18.30 Роберт Морриссон подключился к компьютерам лаборатории искусственного интеллекта mit и запустил свою программу на исполнение. Когда спустя полчаса он снова попытался подключиться к сети, чтобы проверить ход эксперимента, удаленный компьютер не ответил: благодаря закравшейся в исходный код ошибке «Червь» начал бесконтрольно размножаться, блокируя нормальную работу вычислительных систем, и вскоре вырвался из локальной сети mit на просторы Интернета.

Программа Морриссона-младшего стала настоящим бедствием для США, в течение нескольких дней функционирование Интернета было парализовано практически полностью. Именно тогда за способность к быстрому распространению и заражению все новых и новых узлов сети журналисты впервые окрестили творение Роберта «вирусом». По различным подсчетам эпидемия поразила порядка 6000 компьютеров - около 10% всех работавших тогда в Интернете вычислительных машин, нанесенный вирусом ущерб оценивался от скромной цифры в 150 000 до значительной суммы в 75 миллионов долларов США. Вскоре к делу подключилось ФБР, однако расследование длилось недолго: Морриссон сам признался в содеянном. Пресса раздула скандал до неимоверного масштаба, особую пикантность ситуации придавал тот факт, что отец Роберта Морриссона - Боб Морриссон был одним из ведущих экспертов отдела Агентства Национальной Безопасности, занимавшегося расследованием компьютерных преступлений.

Судебное дело Роберта Морриссона было одним из первых дел по обвинению в совершении компьютерного преступления в США, до этого по данной статье под суд попал лишь известный во всем мире хакер Кевин Митник. Морриссона признали виновным и приговорили к выплате штрафа в размере 10 000 долларов и 400 часам исправительных работ. Однако слава Роберта Морриссона, получившего широкую известность благодаря созданному им вирусу, до сих пор не дает покоя сотням и тысячам хакеров на разных континентах. Последней попыткой переплюнуть создателя первого в истории человечества вируса «массового поражения» была небезызвестная программа «Мелисса», уничтожившая в общей сложности более 30 000 компьютеров. С тех пор сотням и тысячам амбициозных молодых людей, разбирающихся в программировании, рано или поздно приходит в голову попробовать свои силы в создании программы, которая, распространяясь по сети, могла бы дестабилизировать работу различных вычислительных систем. Именно их стремление к дешевой славе приносит теперь множество бессонных ночей, проведенных пользователями за восстановлением разрушенных систем, и значительную прибыль компаниям, занимающимся разработкой антивирусных программ.

Валентин Холмогоров

http://www.holmogorov.ru/История вредоносных программ (http://forum.battlefox.ru/showthread.php?p=30326#post30326)
Кто и почему создает вредоносные программы? (http://forum.battlefox.ru/showthread.php?p=30327#post30327)
Типы вредоносных программ (http://forum.battlefox.ru/showthread.php?p=30328#post30328)
Что делать, если ваш компьютер заражен? (http://forum.battlefox.ru/showthread.php?p=32493#post32493)
Файловые вирусы (http://forum.battlefox.ru/showthread.php?p=34451#post34451)
Десять самых разрушительных вирусов в истории (http://forum.battlefox.ru/showthread.php?p=31144#post31144)

любопытно...

значительную прибыль компаниям, занимающимся разработкой антивирусных программ.
Терзают меня смутные сомнения:duma: -не сами ли они их пишут, чтоб без хлеба насущного не остаться!

Терзают меня смутные сомнения:duma: -не сами ли они их пишут, чтоб без хлеба насущного не остаться!
да так и есть!!!
Юнгианство.
Программы глючат потому, что в коллективном бессознательном существует
архетип глюка, которому противостоит архетип патча. Таким образом,
ошибаются те, кто думает, будто патчами они смогут победить глюки; на
самом деле, работая на архетип патча, они тем самым укрепляют и архетип
глюка.
-замени слова глюки и патчи на вири и антивири )))))))))))))))))))))))))

"малое рождает большое, большое рождает малое" - сказал Учитель, забирая у ученика Blu-ray диск и отдавая ему дискету 1.44

Автором идеи, благодаря которой значительно позже возникла технология создания программных вирусов, принято считать американского программиста Боба Томаса.
Ну где ж ты Бобик :spiteful: Такую гадость придумал :)

а это информация достоверная ? Просто очень похоже на очередной фантастический рассказ.

а это информация достоверная ?
Вроде как не вызывает чувства "лапша на ушах" имхо

Я читал в игромании немного другой вариант: Типо студентики баловались, писали програмки которые сами размножались и устраивали бои типо запускают 2 проги в память и какая быстрее займет всю памать, а чтоб занять ВСЮ памать надо задушить прогу-оппонента. Ну баловались-баловались и забыли почистить 1 дискетку с пробой, а на утро какой то ламер ее вставил в комп, и все компы универа полетели....ну а дальше примерно так же.

История вредоносных программ

Мнений по поводу рождения первого компьютерного вируса очень много. Нам доподлинно известно только одно: на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, вирусов не было, а на Univax 1108 и IBM 360/370 в середине 1970-х годов они уже были.

Несмотря на это, сама идея компьютерных вирусов появилась значительно раньше. Отправной точкой можно считать труды Джона фон Неймана по изучению самовоспроизводящихся математических автоматов, которые стали известны в 1940-х годах. В 1951 г. этот знаменитый ученый предложил метод, который демонстрировал возможность создания таких автоматов. Позднее, в 1959 г. журнал "Scientific American" опубликовал статью Л.С. Пенроуза, которая также была посвящена самовоспроизводящимся механическим структурам. В отличие от ранее известных работ, здесь была описана простейшая двумерная модель подобных структур, способных к активации, размножению, мутациям, захвату. Позднее, по следам этой статьи другой ученый Ф.Ж. Шталь реализовал модель на практике с помощью машинного кода на IBM 650.

Необходимо отметить, что с самого начала эти исследования были направлены отнюдь не на создание теоретической основы для будущего развития компьютерных вирусов. Наоборот, ученые стремились усовершенствовать мир, сделать его более приспособленным для жизни человека. Ведь именно эти труды легли в основу многих более поздних работ по робототехнике и искусственному интеллекту. И в том, что последующие поколения злоупотребили плодами технического прогресса, нет вины этих замечательных ученых.

В 1962 г. инженеры из американской компании Bell Telephone Laboratories - В.А. Высотский, Г.Д. Макилрой и Роберт Моррис - создали игру "Дарвин". Игра предполагала присутствие в памяти вычислительной машины так называемого супервизора, определявшего правила и порядок борьбы между собой программ-соперников, создававшихся игроками. Программы имели функции исследования пространства, размножения и уничтожения. Смысл игры заключался в удалении всех копий программы противника и захвате поля битвы.

На этом теоретические исследования ученых и безобидные упражнения инженеров ушли в тень, и совсем скоро мир узнал, что теория саморазмножающихся структур с не меньшим успехом может быть применена и в несколько иных целях.

http://www.viruslist.com

Кто и почему создает вредоносные программы?

Основную массу вирусов и троянских программ в прошлом создавали студенты и школьники, которые только что изучили язык программирования, хотели попробовать свои силы, но не смогли найти для них более достойного применения. Отраден тот факт, что значительная часть подобных вирусов их авторами не распространяется, и вирусы через некоторое время «умирают» сами вместе с дисками, на которых хранятся. Такие вирусы пишутся только для самоутверждения.

Вторую группу также составляют молодые люди (чаще — студенты), которые еще не полностью овладели искусством программирования, но уже решили посвятить себя написанию и распространению вирусов. Единственная причина, толкающая подобных людей на написание вирусов, это комплекс неполноценности, который проявляет себя в компьютерном хулиганстве. Из-под пера подобных «умельцев» часто выходят вирусы крайне примитивные и с большим числом ошибок («студенческие» вирусы). Жизнь подобных вирусописателей стала заметно проще с развитием интернета и появление многочисленных веб-сайтов, ориентированных на обучение написанию компьютерных вирусов. На подобных веб-ресурсах можно найти подробные рекомендации по методам проникновения в систему, приемам скрытия от антивирусных программ, способам дальнейшего распространения. Часто на таких сайтах можно найти готовые исходные тексты, в которые надо всего лишь внести минимальные «авторские» изменения и откомпилировать рекомендуемым способом.

Став старше и опытнее, многие из подобных вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир «профессиональные» вирусы. Эти тщательно продуманные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы проникновения в системные области данных, ошибки в системах безопасности операционных сред, социальный инжиниринг и прочие хитрости.

Отдельно стоит четвертая группа авторов вирусов — «исследователи», довольно сообразительные программисты, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т. д. Они же придумывают способы внедрения в новые операционные системы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради «исследования» потенциалов «компьютерной фауны». Часто авторы подобных вирусов не распространяют свои творения, однако активно пропагандируют свои идеи через многочисленные интернет-ресурсы, посвященные созданию вирусов. При этом опасность от таких «исследовательских» вирусов не падает — попав в руки «профессионалов» из предыдущей группы, эти идеи очень быстро появляются в новых вирусах.

Перечисленные выше категории «хулиганских» вирусов в последние годы становятся все менее и менее актуальными (несмотря на то, что на смену повзрослевшим тинейджерам-хулиганам каждый раз приходит новое поколение новых тинейджеров) — за исключением случаев вызванных такими вредоносными программами глобальных сетевых и почтовых эпидемий. На текущий момент доля подобных вирусов и троянских программ занимает не более 10% «материала», заносимого в антивирусные базы данных. Оставшиеся 90% гораздо более опасны, чем просто вирусы.

Мелкое воровство

С появлением и популяризацией платных интернет-сервисов (почта, WWW, хостинг) компьютерный андеграунд начинает проявлять повышенный интерес к получению доступа в сеть за чужой счет, т. е. посредством кражи чьего-либо логина и пароля (или нескольких логинов/паролей с различных пораженных компьютеров) путем применения специально разработанных троянских программ.

В начале 1997 года зафиксированы первые случаи создания и распространения троянских программ, ворующих пароли доступа к системе AOL. В 1998 году, с распространением интернет-услуг в Европе и России, аналогичные троянские программы появляются и для других интернет-сервисов. До сих пор количество троянцев, ворующих пароли к dial-up, пароли к AOL, коды доступа к другим сервисам, составляет заметную часть ежедневных «поступлений» в лаборатории антивирусных компаний всего мира.

Троянские программы данного типа, как и вирусы, обычно создаются молодыми людьми, у которых нет средств для оплаты интернет-услуг. Характерен тот факт, что по мере удешевления интернет-сервисов уменьшается и удельное количество троянских программ данного типа.

«Мелкими воришками» также создаются троянские программы других типов: ворующие регистрационные данные и ключевые файлы различных программных продуктов (часто — сетевых игр), использующие ресурсы зараженных компьютеров в целях «хозяина» троянской программы-бекдора и т. п.

Криминальный бизнес

Наиболее опасную категорию вирусописателей составляют хакеры-одиночки или группы хакеров, которые осознанно или неосознанно создают вредоносные программы с единственной целью: получить чужие деньги (рекламируя что-либо или просто воруя их), ресурсы зараженного компьютера (опять таки, ради денег — обслуживания спам-бизнеса или организации DoS-атак с целью дальнейшего шантажа).

Обслуживание рекламного и спам-бизнеса является одним из основных видов деятельности данных хакеров. Для рассылки спама ими создаются специализированные троянские proxy-сервера, которые затем внедряются в десятки тысяч компьютеров. Затем данная сеть «зомби-машин» поступает на «черный» интернет-рынок, где приобретается спамерами. Для внедрения в операционную систему и дальнейшего обновления принудительной рекламы создаются утилиты, использующие откровенно «хакерские» методы: незаметную инсталляцию в систему, разнообразные маскировки (чтобы затруднить удаление рекламного софта), противодействие антивирусным программам.

Вторым основным видом деятельности подобных вирусописателей является создание, распространение и обслуживание троянских программ-шпионов, направленных на воровство денежных средств с персональных (а если повезет — то и с корпоративных) «электронных кошельков» или с обслуживаемых через интернет банковских счетов. Троянские программы данного типа собирают информацию о кодах доступа к счетам и пересылают ее своему «хозяину».

Третьим типом криминальной деятельности данной группы является интернет-рэкет, т. е. организация массированной DoS-атаки на один или несколько интернет-ресурсов с последующим требованием денежного вознаграждения за прекращение атаки. Обычно под удар попадают интернет-магазины, букмекерские конторы — т. е. компании, бизнес которых напрямую зависит от работоспособности веб-сайта компании.

Данная категория вирусописателей является причиной многочисленных вирусных эпидемий, инициированных для массового распространения и установки описанных выше троянских компонент.

Нежелательное программное обеспечение

Системы навязывания электронной рекламы, различные «звонилки» на платные телефонные номера, утилиты, периодически предлагающие пользователю посетить те или иные платные веб-ресурсы, прочие типы нежелательного программного обеспечения — они также требуют технической поддержки со стороны программистов-хакеров. Данная поддержка требуется для реализации механизмов скрытного внедрения в систему, периодического обновления своих компонент и противодействия антивирусным программам.

Очевидно, что для решения данных задач в большинстве случаев также используется труд хакеров, поскольку перечисленные задачи практически совпадают с функционалом троянских программ различных типов.

http://www.viruslist.com

Типы вредоносных программ

К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

Сетевые черви

К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:

* проникновения на удаленные компьютеры;
* запуска своей копии на удаленном компьютере;
* дальнейшего распространения на другие компьютеры в сети.

Для своего распространения сетевые черви используют разнообразные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.

Большинство известных червей распространяется в виде файлов: вложение в электронное письмо, ссылка на зараженный файл на каком-либо веб- или FTP-ресурсе в ICQ- и IRC-сообщениях, файл в каталоге обмена P2P и т. д.

Некоторые черви (так называемые «безфайловые» или «пакетные» черви) распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код.

Для проникновения на удаленные компьютеры и запуска своей копии черви используют различные методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.

Некоторые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, некоторые черви содержат троянские функции или способны заражать выполняемые файлы на локальном диске, т. е. имеют свойство троянской программы и/или компьютерного вируса.

Классические компьютерные вирусы

К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью:

* последующего запуска своего кода при каких-либо действиях пользователя;
* дальнейшего внедрения в другие ресурсы компьютера.

В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:

* при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
* вирус скопировал себя на съёмный носитель или заразил файлы на нем;
* пользователь отослал электронное письмо с зараженным вложением.

Некоторые вирусы содержат в себе свойства других разновидностей вредоносного программного обеспечения, например бэкдор-процедуру или троянскую компоненту уничтожения информации на диске.

Троянские программы

В данную категорию входят программы, осуществляющий различные несанкционированные пользователем действия: сбор информации и передача ее злоумышленнику, ее разрушение или злонамеренная модификация, нарушение работоспособности компьютера, использование ресурсов компьютера в злоумышленных целях.

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удалённые ресурсы сети).

Хакерские утилиты и прочие вредоносные программы

К данной категории относятся:

* утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
* программные библиотеки, разработанные для создания вредоносного ПО;
* хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
* «злые шутки», затрудняющие работу с компьютером;
* программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
* прочие программы, тем или иным способам намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.

http://www.viruslist.com

"Доктор Веб": в сентябре вирусы активизировались

Сентябрь 2006 года оказался достаточно богатым в плане вирусной активности по сравнению с предыдущими двумя месяцами, утверждают эксперты компании «Доктор Веб».

Наиболее заметными событиями стало появление новой модификации почтового червя Win32.HLLM.Perf, распространяющегося в виде прикреплённого файла с расширением *.hta. Подобная технология позаимствована у представителей другого семейства почтовых червей – Win32.HLLM.Graz. По сравнению с предыдущими своими модификациями, новый вариант Win32.HLLM.Perf дополнился функцией распространения по файлообменным сетям. Распространение этой модификации практически сразу же приняло эпидемический характер.

Заметным событием стало появление и распространение почтового червя массовой рассылки Win32.HLLM.Limar. Темы инфицированных писем не блещут новизной: наиболее часто встречающиеся - Mail server report, Server report, Error, Mail Delivery System – т.е. имитируется ошибка доставки корреспонденции. Подобный метод введения пользователя в заблуждение уже встречался раньше – в многочисленных модификациях почтового червя Win32.HLLM.MyDoom. Win32.HLLM.Limar обладает функциями обновления своих программных модулей, закачки дополнительных вредоносных программ, а также противодействия некоторым программам сетевой безопасности. В базу Dr.Web была внесена запись, позволяющая детектировать широкий спектр модификаций данного червя – Win32.HLLM.Limar.based.

Службой вирусного мониторинга компании «Доктор Веб» в течение месяца наблюдались различного рода фишинговые атаки. Наиболее массовой была атака от имени Fifth Third Bank – в письмах сообщалось об обновлении применяемого программного обеспечения, и пользователю предлагалось подтвердить свои личные данные. Переход по ссылкам, указанным в письмах, приводил к потере денежных средств неосторожного пользователя. Другими примерами фишинга были письма от имени банковской системы PayPal, а также платёжной системы Visa. Подобные письма детектируются антивирусов Dr.Web как Trojan.Bankfraud.380 – Trojan.Bankfraud.388.

Определённым, но несильным «возмутителем спокойствия» стал Trojan.Encoder.9 – попытка возрождения нашумевших в своё время модификаций семейства Trojan.Encoder. Но в отличие от своих ранних модификаций, Trojan.Encoder.9 является лишь слабой попыткой вирусописателя сыграть на «славе» предыдущих модификаций этого семейства - шифрует файлы при помощи алгоритма XOR, длина ключа составляет 8 байт. Шифруемые файлы переименовывает с префиксом "_CRYPTED_". При шифровании округляет размер файла, чтобы он был кратен 8 - дописывает от 1 до 8 нулевых байт. Напомним, что более ранние представители семейства Trojan.Encoder шифровали файлы, применяя криптоалгоритм RSA.

Популярность тенденции распространения вирусов посредством спам-писем подтвердило появление червя Win32.HLLW.Cicar, маскирующегося под пикантный клип некой Daniela Cicarelli. Будучи запущенным неосторожным пользователем, червь закачивал на компьютер жертвы другую вредоносную программу для похищения паролей к банковским системам, получившую наименование по классификации Dr.Web - Trojan.PWS.Banker.5094.

Большой шум вызвало «появление» троянской программы для мобильных телефонов Trojan.Webser, аналог Trojan.RedBrowser. Данный троян представляет собой Java-приложение (J2ME), что позволяет удалить его штатными средствами мобильного телефона без применения антивирусных средств. Еще в мае этого года вирусной лабораторией компании «Доктор Веб» было обнаружено приложение, получившие по классификации Dr.Web название Adware.Freesms, которое послужило основой для Trojan.Webser, и было, очевидно, «пробой пера» автора. – троянские программы данного типа не могут самостоятельно распространяться и выполнять свои функции на мобильном устройстве. Для того, чтобы троянская программа начала функционировать, пользователю необходимо самому установить данное приложение и дать разрешение на запуск и доступ к сети.

Другим заметным представителем вредоносных программ является Trojan.Popuper, распространяющийся, в основном, под видом кодека для различных мультимедийных файлов. Для затруднения детектирования своего «детища» антивирусными средствами, авторы троянской программы часто модифицируют её на уровне исходных текстов.

В сентябре 2006 года возросло количество вредоносных программ, направленных на похищение паролей с целевого компьютера – главный акцент делается пароли к банковским системам. Наиболее популярным установки вредоносных программ на компьютер пользователя по-прежнему остаётся применение различного рода загрузчиков.

Топ-двадцатка наиболее распространённых вирусов за сентябрь 2006 года по версии "Доктора Веб" выглядит так (наименование и % от общего количества):
Win32.HLLM.Beagle 17.09
Win32.HLLM.Netsky.35328 13.57
Win32.HLLM.Perf 10.63
Win32.HLLM.Netsky.based 9.31
Win32.HLLM.MyDoom.based 8.41
Trojan.Bankfraud.272 6.00
Win32.HLLM.Beagle.pswzip 4.24
Win32.HLLM.Graz 3.83
Win32.HLLM.MyDoom 3.15
Win32.HLLM.MyDoom.33808 2.47
Win32.HLLM.MyDoom.49 1.87
Win32.HLLM.Beagle.19802 1.31
Win32.HLLM.Netsky 1.22
Exploit.IframeBO 1.16
Win32.HLLM.Limar.based 1.15
Program.RemoteAdmin 1.05
Win32.HLLM.Bagz 0.96
Win32.HLLM.Perf.based 0.75
Win32.HLLM.Lovgate.9 0.74
Win32.HLLM.Beagle.27136 0.66

Прочие вредоносные программы 10.39

Источник: CNews

Trojan.Encoder.9 является лишь слабой попыткой вирусописателя сыграть на «славе» предыдущих модификаций этого семейства - шифрует файлы при помощи алгоритма XOR, длина ключа составляет 8 байт. Шифруемые файлы переименовывает с префиксом "_CRYPTED_".
Насчет предыдущей "славы"... Помню, был вирус который шифровал файлы пользователя с помошью какого то стойкого алгоритма, потом писал информацию "аля ваши файлы зашифрованы таким то таким вирусом" и требовал! у владельца зараженного ПК выслать деньги на счет по такому адресу, чтобы позже автор вируса прислал программу для их декодировки. Естественно несколько из особо умных отправили таки кровно заработанные деньги на ветер (вроде в америку). После этого, речи о восстановлении потеряной информации никто конечно и не слышал...
Вывод: Всем антирусы (http://forum.battlefox.ru/forumdisplay.php?f=44)! ^_^

Десять самых разрушительных вирусов в истории
(по мнению TechWeb (http://www.techweb.com/showArticle.jhtml?articleID=160200005))

CIH aka Чернобыль (1998)

Приблизительный ущерб: $20-80 млн, не считая огромного количества уничтоженных данных. Этот вирус пришел с Тайваня в июне 1998 г. и стал одним из самых опасных и разрушительных вирусов в человеческой истории. Работает только под Windows95/98 и заражает PE-файлы (Portable Executable). Имеет довольно небольшую длину - около 1Кб. Был обнаружен "в живом виде" на Тайване в июне 1998. Код вируса исполнялся как приложение Ring0 и перехватывал фунцию открытия файлов. Из-за чего расползался по компу с головокружительной скоротью. 26 апреля 1999 года (примерно через год после появления вируса) сработала "логическая бомба", заложенная в его код. По различным оценкам, в этот день по всему миру пострадало около полумиллиона компьютеров - у них оказались уничтожены данные на жестких дисках, а на некоторых плюс к тому испорчено содержимое микросхем BIOS на материнских платах. Данный инцидент стал настоящей компьютерной катастрофой - вирусные эпидемии и их последствия никогда до того не были столь масштабными и не приносили таких убытков.
В апреле 1999 автор вируса был найден, им оказался студент Тайваньского технологического института Чень Ин-Хао (CIH — его инициалы). Однако, из-за отсутствия жалоб на действия вируса со стороны местных компаний, у полиции не было оснований для его ареста.
Парадокс!



Melissa (1999)

Приблизительный ущерб: $300-600 млн. В пятницу, 26 марта 1999 г., макро-вирус W97M/Melissa попал на первые страницы газет в разных странах. Оказалось, что за очень короткое время вирус поразил от 15 до 20% деловых компьютеров в мире. Вредоносная программа распространялась по электронной почте настолько быстро, что многие крупные корпорации, включая Intel и Microsoft, были вынуждены блокировать почтовый трафик во внутренней сети.
Правоохранительные органы США нашли и арестовали автора Melissa. Им оказался 31-летний программист из Нью Джерси, Дэвид Л. Смит. Вскоре после ареста Смит начал плодотворное сотрудничество с ФБР и, учтя это, федеральный суд приговорил его к 20 месяцам тюремного заключения и штрафу в размере 5 000 $ США.

ILOVEYOU (2000)

Приблизительный ущерб: $10-15 млрд. Также известный как Loveletter и The Love Bug. 3 мая 2000 г. вирус впервые был обнаружен в Гонконге. Программа распространялась по электронной почте с темой сообщения «Я тебя люблю» и вложением в виде файла с «двойным» расширением .txt.vbs. Вирус размножался точно так же, как и Melissa: он рассылал свои копии по адресам из адресной книги Microsoft Outlook. На зараженном компьютере осуществлялся поиск логинов и паролей, которые высылались автору вируса. Автора нашли – им оказался гражданин Филиппин. Он не понес никакого наказания, потому что на Филиппинах не было законов против этого вида преступлений.

Code Red (2001)

Приблизительный ущерб: $2,6 млрд. Сетевой червь Code Red начал стремительно распространяться в интернете 13 июля 2001 г., эксплуатируя дыру в веб-сервере Microsoft IIS. Патч, закрывающий эту дыру, был выпущен MS за месяц до этого, но это не смогло предотвратить эпидемию.
Дефейс в исполнении Code Red:
2356
Созданный в Китае червь был запрограммирован на максимальный ущерб: он активно искал другие уязвимые системы, чтобы заразить максимальное количество серверов. В заданный день должна была начаться распределенная DoS-атака по списку IP-адресов, включая серверы американского правительства. Менее чем за неделю вирус заразил почти 400 тыс. серверов.

SQL Slammer (2003)

Поскольку вирус начал распространяться в субботу, то ущерб от потери рабочего времени оказался минимальным. Однако червь заразил полмиллиона серверов по всему миру и на 12 часов отключил Южную Корею от интернета. Вирус начал свое распространение 25 января 2003 г., что сразу же негативно отразилось на глобальном интернет-трафике. Его мишенью были серверы. Червь присутствовал только в памяти зараженных компьютеров и не создавал своих копий в дисковых файлах. Более того, никак не проявлял себя (помимо сетевой активности зараженного компьютера). Вирус представлял собой 376-байтный пакет данных, который попав на благодатную почву (MSDE), генерировал случайный IP-адрес и копировал себя туда. Если по этому адресу находился сервер с непропатченной версией Microsoft SQL Server Desktop Engine, то этот компьютер тоже немедленно начинал демонстрировать такое же поведение: массовая рассылка по случайным адресам. Червь инфицировал первые 75.000 компьютеров всего за 10 минут, а огромные массивы мусорного трафика быстро перегрузили каналы связи по всему миру.

Blaster (2003)

Приблизительный ущерб: $2-10 млрд. Лето 2003 г. было очень благоприятным для распространения разнообразных вирусов. Тогда были зарегистрированы сразу несколько эпидемий. Практически одновременно начали распространяться вирусы Blaster и Sobig. Первый из них, известный также под именами Lovsan и MSBlast, был обнаружен 11 августа, и всего за два дня эпидемия достигла пика. Вирус поражал персональные компьютеры под управлением Windows 2000 и Windows XP.Распространялся по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows.
Содержит в себе обращение к Биллу Г. :
2357

Sobig.F (2003)

Приблизительный ущерб: $5-10 млрд, более 1 млн инфицированных ПК. Эпидемия Sobig началась сразу же после эпидемии Blaster, превратив август 2003 г. в самый тяжелый месяц для антивирусных фирм и пользователей по всему миру. Модификация Sobig.F была самой разрушительной. Она появилась в интернете 19 августа и поставила новый мировой рекорд (вскоре побитый MyDoom), заразив более 1 млн компьютеров за 24 часа. Вирус размножался традиционным способом — по электронной почте через файловые вложения. На этот раз они имели расширение .pif. Интересно, что 10 сентября 2003 г. вирус самостоятельно дезактивировался и больше не представлял собой угрозы. Несмотря на это, корпорация Microsoft объявила награду в $250 тыс. за голову автора, но его до сих пор не нашли.

Bagle (2004)

Приблизительный ущерб: десятки миллионов долларов, и с каждым днем все больше. Классический почтовый червь Bagle (Beagle) появился в Сети 18 января 2004 г. Он заражал компьютеры через хорошо опробованный до этого механизм — файловые вложения по электронной почте. После заражения вирус открывал бэкдор в систему, так что злоумышленник получал в нее полный доступ. К настоящему моменту известно от 60 до 100 модификаций Bagle, некоторые из которых до сих пор активны.

MyDoom (2004)

На пике эпидемии среднее время отклика в интернете увеличилось на 10%, а скорость загрузки сайтов замедлилась на 50%. Всего за несколько часов 26 января 2004 г. эпидемия MyDoom (Norvarg) распространилась по всему интернету. Такой скорости распространения раньше не демонстрировал ни один вирус. Червь распространялся по электронной почте через вложения с темой сообщения «Mail Transaction Failed». Он также пытался размножаться через пиринговую сеть Kazaa. По мнению экспертов, в какой-то момент зараженным оказалось каждое десятое почтовое сообщение в мировом почтовом трафике. Оригинальный штамм самостоятельно прекратил активность 12 февраля 2004 г.

Sasser (2004)

Приблизительный ущерб: десятки миллионов долларов. Sasser начал распространяться 30 апреля 2004 г., что привело к блокированию спутниковой связи некоторых французских новостных агентств, отмене нескольких авиарейсов компании Delta и блокированию многих компьютерных систем по всему миру. В отличие от предыдущих вирусов, Sasser распространялся не по электронной почте, а использовал дыру в безопасности систем Windows 2000 и Windows XP. Поражая компьютер, он сканировал порты в поисках новых жертв. Вирус был написан 17-летним немецким школьником. Он выпустил свое творение в день рождения, когда ему исполнилось восемнадцать. К настоящему моменту Sasser остается последним из вирусов, которые нанесли человечеству значительный ущерб. С тех пор уже более двух лет сохраняется относительно стабильная ситуация.
Это, я думаю, многие видели:
2358

Источники:
http://www.techweb.com (http://www.techweb.com/),
http://viruslist.com (http://viruslist.com/),
и др.

Что делать, если ваш компьютер заражен?

Непрофессионалу сложно обнаружить присутствие вирусов на компьютере, поскольку они умело маскируются среди обычных файлов. В данной главе мы постараемся наиболее подробно описать признаки заражения компьютера, а также способы восстановления данных после вирусной атаки и меры по предотвращению их поражения вредоносными программами.

Признаки заражения

Есть ряд признаков, свидетельствующих о заражении компьютера:

* вывод на экран непредусмотренных сообщений или изображений;
* подача непредусмотренных звуковых сигналов;
* неожиданное открытие и закрытие лотка CD-ROM-устройства;
* произвольный, без вашего участия, запуск на компьютере каких-либо программ;
* при наличии на вашем компьютере межсетевого экрана, появление предупреждений о попытке какой-либо из программ вашего компьютера выйти в интернет, хотя вы это никак не инициировали.

Если вы замечаете, что с компьютером происходит подобное, то с большой степенью вероятности можно предположить, что ваш компьютер поражен вирусом.

Кроме того, есть некоторые характерные признаки поражения вирусом через электронную почту:

* друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли;
* в вашем почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.

Следует отметить, что не всегда такие признаки вызываются присутствием вирусов. Иногда они могут быть следствием других причин. Например, в случае с почтой зараженные сообщения могут рассылаться с вашим обратным адресом, но не с вашего компьютера.

Есть также косвенные признаки заражения вашего компьютера:

* частые зависания и сбои в работе компьютера;
* медленная работа компьютера при запуске программ;
* невозможность загрузки операционной системы;
* исчезновение файлов и каталогов или искажение их содержимого;
* частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
* интернет-браузер «зависает» или ведет себя неожиданным образом (например, окно программы невозможно закрыть).

В 90% случаев наличие косвенных симптомов вызвано сбоем в аппаратном или программном обеспечении. Несмотря на то, что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуется провести полную проверку вашего компьютера установленной на нем антивирусной программой. В случае отсутствия таковой, мы предлагаем скачать и установить пробную версию Антивируса Касперского Personal, которая будет полностью работоспособна две недели с момента установки.

Что делать при наличии признаков заражения

Если вы заметили, что ваш компьютер ведет себя «подозрительно»:

1. Не паникуйте! Не поддаваться панике — золотое правило, которое может избавить вас от потери важных данных и лишних переживаний.
2. Отключите компьютер от интернета.
3. Отключите компьютер от локальной сети, если он к ней был подключен.
4. Если симптом заражения состоит в том, что вы не можете загрузиться с жесткого диска компьютера (компьютер выдает ошибку, когда вы его включаете), попробуйте загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Windows, который вы создавали при установке операционной системы на компьютер.
5. Прежде чем предпринимать какие-либо действия, сохраните результаты вашей работы на внешний носитель (дискету, CD-диск, флэш-карту и пр.).
6. Скачайте и установите пробную или же купите полную версию Антивируса Касперского Personal, если вы этого еще не сделали и на вашем компьютере не установлено других антивирусных программ.
7. Получите последние обновления антивирусных баз. Если это возможно, для их получения выходите в интернет не со своего компьютера, а с незараженного компьютера друзей, из интернет-кафе, с работы. Лучше воспользоваться другим компьютером, поскольку при подключении к интернету с зараженного компьютера есть вероятность отправки вирусом важной информации злоумышленникам или распространения вируса по адресам вашей адресной книги. Именно поэтому при подозрении на заражение лучше всего сразу отключиться от интернета. (Если вы используете Антивирус Касперского, вы можете получить обновления антивирусных баз на дискете или диске у «Лаборатории Касперского» или ее дистрибьюторов и обновить свои базы из этого источника).
8. Установите рекомендуемый уровень настроек антивирусной программы.
9. Запустите полную проверку компьютера.

http://www.viruslist.com (http://www.viruslist.com/ru/viruses/encyclopedia?chapter=152526519)

Файловые вирусы

Вирус может внедриться в файлы трех типов: командные файлы (BAT), загружаемые драйверы (SYS) в том числе IO.SYS и MSDOS.SYS, и выполняемые двоичные файлы (EXE, COM) включая новые типы EXE-файлов (NEW EXE) и NLM-файлы, выполняемые в операционных системах типа MS-Windows, OS/2, Novell Netware и т.д.
Возможно внедрение вируса в файлы данных, но эти случаи возникают либо в результате ошибки вируса, либо при проявлении вирусом своих агрессивных свойств. Конечно, возможно существование вирусов, заражающих файлы, которые содержат исходные тексты программ, библиотечные или объектные модули, но подобные способы распространения вируса слишком экзотичны и поэтому в дальнейшем не рассматриваются.
На сегодняшний день известны всего несколько видов BAT-вируса. Они не представляют интереса, так как достаточно примитивны и очень просто обнаруживаются а после чего удаляются.

Внедрение вируса в SYS-файл
Вирусы, внедряющиеся в SYS-файл, приписывают свои коды к телу файла и модифицируют адреса программ стратегии (Strategy) и прерывания (Interrupt) заражаемого драйвера (встречаются вирусы, изменяющие адрес только одной из программ). При инициализации зараженного драйвера вирус перехватывает соответствующий запрос операционной системы, передает его драйверу, ждет ответа на этот запрос, корректирует его и остается в оперативной памяти вместе с драйвером в одном блоке памяти. Такой вирус может быть чрезвычайно опасным и живучим, так как внедряется в оперативную память при загрузке DOS раньше любой антивирусной программы, если она, конечно, тоже не является драйвером.

Внедрение вируса в COM- и EXE-файлы
Выполняемые двоичные файлы имеют форматы COM или EXE, отличающиеся заголовком и способом запуска программ на выполнение. Расширение имени файла (".COM" или ".EXE") не всегда соответствует действительному формату файла, что, правда, никак не влияет на работу программы. Файлы COM и EXE заражаются по-разному, следовательно вирус должен отличать файлы одного формата от другого. Вирусы решают эту задачу двумя способами: одни анализируют расширение имени файла (".COM", ".EXE"), другие - заголовок файла. Первый способ далее будет называться заражением .COM- (или .EXE-) файлов, второй - заражением COM- (или EXE-) файлов. В большинстве случаев вирус инфицирует файл корректно, т.е. по информации, содержащейся в теле вируса, можно полностью восстановить зараженный файл. Но вирусы, как и большинство программ, часто содержат незаметные с первого взгляда ошибки. Из-за этого даже вполне корректно написанный вирус может необратимо испортить файл при его заражении. Например, вирусы, различающие типы файлов по расширению имени (.COM, .EXE), очень опасны, так как портят файлы, у которых расширение имени не соответствует внутреннему формату.

Файловые вирусы при распространении внедряются в тело заражаемого файла: в его начало, конец или середину. Существует несколько возможностей внедрения вируса в середину файла: он может быть скопирован в таблицу настройки адресов EXE-файла ("BootExe"), в область стека файла COMMAND.COM ("Lehigh"), может "раздвинуть" файл или переписать часть файла в его конец, а свои коды в освободившееся место ("April1st.Exe", "Phoenix"), и т. д. Кроме того, копирование вируса в середину файла может произойти в результате ошибки вируса - в этом случае файл может быть необратимо испорчен. Встречаются и другие способы внедрения вируса в середину файла, например, вирус "Mutant" применяет метод компрессирования некоторых участков файла.

Внедрение вируса в начало файла
Известны три способа внедрения вируса в начало файла. Первый способ заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копируется в освободившееся место. При заражении файла вторым способом вирус создает в оперативной памяти свою копию, дописывает к ней заражаемый файл и сохраняет полученную конкатенацию на диск. При заражении третьим способом вирус записывает свои коды в начало файла, не сохраняя старого содержимого начала файла. Естественно, что при этом файл перестает работать и не восстанавливается. Некоторые вирусы, поражающие файлы первым и вторым способом, дописывают блок информации и в конец файла (например, вирус "Jerusalem" по этому блоку отличает зараженные файлы от незараженных).

Внедрение вируса в конец файла
Наиболее распространенным способом внедрения вируса в файл является дописывание вируса в конец этого файла. При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса. В COM-файле в большинстве случаев это достигается изменением его первых трех (или более) байтов на коды инструкции JMP Loc_Virus (или в более общем случае - на коды программы, передающей управление на тело вируса). EXE-файл либо переводится в формат COM-файла и затем заражается как COM-файл, либо модифицируется заголовок файла. В заголовке EXE-файла изменяются значение стартового адреса (CS:IP) и значение длины выполняемого модуля (файла), реже - регистры-указатели на стек (SS:SP), контрольная сумма файла и т.д. Дополнительно к этому длины файлов перед заражением могут увеличиваться до значения, кратного параграфу (16 байт).

Алгоритм работы файлового вируса
Вирус, после передачи ему управления, совершает следующие действия (приведен список наиболее общих действий вируса при его выполнении; для конкретного вируса список может быть дополнен, пункты могут поменяться местами и значительно расшириться) :
- восстанавливает программу (но не файл) в исходном виде (например, у COM-программы восстанавливаются первые несколько байт, у EXE-программы вычисляется истинный стартовый адрес, у драйвера восстанавливаются значения адресов программ стратегии и прерывания);
- если вирус резидентный, то он проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена; если вирус нерезидентный, то он ищет незараженные файлы в текущем и (или) корневом оглавлении, в оглавлениях, отмеченных командой PATH, сканирует дерево каталогов логических дисков, а затем заражает обнаруженные файлы;
- выполняет, если они есть, дополнительные функции: деструктивные действия, графические или звуковые эффекты и т.д. (дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации в зависимости от текущего времени, конфигурации системы, внутренних счетчиков вируса или других условий; в этом случае вирус при активизации обрабатывает состояние системных часов, устанавливает свои счетчики и т.д.);
- возвращает управление основной программе.

Метод восстановления программы в первоначальном виде зависит от способа заражения файла. Если вирус внедряется в начало файла, то он либо сдвигает коды зараженной программы на число байт, равное длине вируса, либо перемещает часть кода программы из ее конца в начало, либо восстанавливает файл на диске, а затем запускает его (см. Внедрение вируса в начало файла). Если вирус записался в конец файла, то при восстановлении программы он использует информацию, сохраненную в своем теле при заражении файла. Это может быть длина файла, несколько байт начала файла в случае COM-файла или несколько байтов заголовка в случае EXE-файла. Если же вирус записывается в середину файла специальным образом, то при восстановлении файла он использует также специальные алгоритмы.

http://mycomp.com.ua

arhipet2z старье-то какое. Это же DOS-only

Dead Krolik, для общего развития :)

Зараженные вирусом плееры iPod атаковали Windows

Компания Apple обнаружила в собственных плеерах iPod вирус, представляющий опасность для компьютеров, которые работают под операционной системой Windows.

Примечательно, что пользователям Macintosh вирус навредить не сможет. Партия плееров iPod Video, выпущенных после 12 сентября 2006 года, оказалась зараженной вирусом RavMonE.exe. Общее количество опасных устройств не называется.

В официальном заявлении компания выразила сожаление, что Windows не может справиться с этим вирусом и отметила, что число опасных плееров не превышает 1% от устройств, выпущенных за этот период. В Apple выразили уверенность в том, что большинство ПК, оснащенные современными антивирусными программами, смогут без труда найти и обезвредить вирус.
Однако для полной уверенности компания опубликовала на своем сайте список антивирусов, способных справиться с угрозой заражения. Обнаружить вредоносную программу специалистам Apple удалось благодаря своим ответственным поклонникам. В адрес компании было направлено свыше 20 сообщений о вирусе, попавшем на их ПК из плеера iPod.

О том, как программа оказалась в устройстве, говорится лишь вскользь – «источником распространения вируса стал компьютер на заводе по изготовлению iPod».

http://www.cnews.ru

Уязвимостей уже больше, чем за весь прошлый год

Согласно статистике, собранной компанией Internet Security Systems, количество новых узявимостей, обнаруженных в программном обеспечении за первые девять месяцев года, уже превысило на 105 общее число брешей, зарегистрированных за весь 2005 год, и составило 5300.

Из них 871 были найдены в операционных системах Microsoft, 701 - в Unix, а 3219 затрагивают несколько платформ, включая Linux. Доля критических уязвимостей (позволяющих написать червь, способный создать эпидемию) составила 0,4% от общего числа, 16,6% признаны высокоопасными (позволяющими взять под контроль хост-систему), 63% - средней степени опасности (позволяющими получить доступ к файлам или повысить привилегии), 20% - малоопасными (позволяющими получить закрытую информацию или организовать DoS-атаку).

По классам уязвимостей распределение следующее: допускающие межсайтовый скриптинг - 14,5%, допускающие SQL-инъекции - 10,9%, вызывающие переполнение буфера - 10,8%, позволяющие выполнить обход дерева каталогов сайта - 3%. По сравнению с 2005 годом количество критических и высокоопасных уязвимостей снизилось на 8%.

http://www.osp.ru

Новый троян устанавливает на компьютер антивирус

Компании, специализирующиеся на вопросах компьютерной безопасности, предупреждают о появлении новой вредоносной программы, получившей название SpamThru. Троян SpamThru используется злоумышленниками с целью организации массовых рассылок по электронной почте. При этом вредоносная программа имеет несколько характерных особенностей. После проникновения на ПК и активации SpamThru загружает из интернета пиратскую копию антивируса Касперского, который затем используется для поиска в системе конкурирующих вирусов и троянов. Обнаруженные файлы затем уничтожаются.

Другая особенность SpamThru заключается в использовании специального протокола Р2Р для обмена информацией между инфицированными узлами и центральным сервером, сообщает eWeek. В случае если управляющий сервер по каким-либо причинам будет отключен от сети, злоумышленники могут быстро установить новый. Вредоносная программа SpamThru способна поражать компьютеры, работающие под управлением операционных систем Windows.

Ведущие антивирусные компании уже добавили процедуры защиты от этой программы в базы данных своих продуктов.

http://www.sophos.com/virusinfo/analyses/trojspamthrub.html

:o

Новый вирус для платформы Win64

Вчера «Лаборатория Касперского» обнаружила новый вирус для платформы Win64 — Virus.Win64.Abul.a. Это уже третий 64-битный вирус. До этого были обнаружены Virus.Win64.Rugrat.a и Virus.Win64.Shruggle.a. Несмотря на то, что Abul.a написан на чистом C, он имеет компактный размер в 3700 байт.

Он использует функции операционной системы для компрессии части файла, вследствие чего не изменяет размер заражаемых файлов. В Abul.a применены классические методы, характерные для вирусов, работающих на Win32-платформе. Вирус внедряется в памяти в процессы CSRSS.EXE и Winlogon.exe и пытается рекурсивно заразить все исполняемые файлы на диске С:. Вирус не заражает файлы, у которых не удаётся сжать секцию кода так, чтобы дописать в неё свой код.

На примере Abul.a видно, что механизмы создания вредоносных программ для новых платформ и их алгоритмы остались практически неизменны. По-видимому, на новой Win64-платформе мы увидим не только действительно новые техники и методы, но и все «зарекомендовавшие» себя в прошлом подходы и типы вредоносных программ.

http://www.kaspersky.ru

Кто-нибудь пробовал создавать вирусы трояны..? (Конечно для испытание защиты и понимания принципа их работы...)
Предлагаю выкладывать свои творения... с описанием и закладками...

А что там испытывать?
Никакая защита на сегодня не способна на 100% отловить новый вирус.
Более того, я почти любой старый за 10 минут изменю так, что ни один
антивирус не узнает. :)

думаешь ты один такой..) просто хочу узнать какие есть варианты...и как их избежать...

Хакеры "насолили" антивирусным компаниям

Антивирусные компании столкнулись с новой проблемой: хакеры встраивают в вирусы защиту от работы в среде виртуальных машин, используемых для безопасного анализа вредоносного кода. Такие "поумневшие" вирусы ищут процессы или оборудование, специфичные для виртуальной машины, и отказываются "работать" – заражать компьютер и рассылать себя по Сети.

Как сообщил аналитик Ленни Зельцер (Lenny Zeltser) из центра Internet Storm (ISC) при институте SANS, 3 из 12-ти вирусов, пойманных недавно с помощью компьютеров-ловушек, отказались запуститься в VMware. Исследователи запускают пойманный вредоносный код на виртуальных машинах, чтобы, во-первых, избежать заражения системы при анализе и, во-вторых, протестировать работу этого кода и эффективность его удаления под разными версиями операционных систем на одном компьютере. Теперь же, по словам Зельцера, для полноценного анализа червя или троянца специалистам приходится искать и затирать код, отключающий работу в виртуальных машинах, что удлиняет время, необходимое для анализа. Возможно и более универсальное решение – модификация кода виртуальной машины так, чтобы вирусы не могли находить характерные для нее признаки.

http://www.cnews.ru

Умнеют не только антивири :D

Страница "Википедии" использовалась для распространения вируса

Хакеры использовали популярную сетевую энциклопедию Wikipedia для распространения вредоносного кода.

Злоумышленники создали статью в немецкой версии энциклопедии, в которой разместили ссылку на якобы утилиту для лечения ПК от новой версии червя Blaster. Однако на самом деле нажатие на ссылку приводило к заражению ПК вирусом семейства Troj/Nordex-A. После создания страницы хакеры стали рассылать спамерские сообщения пользователям в Германии как будто бы от имени Wikipedia, предлагая ознакомиться с информацией в Wikipedia о "новом черве". В настоящее время администрация Wikipedia подтвердила, что полностью уничтожила архивную версию страницы.

http://net.compulenta.ru

"Лаборатория Касперского": обзор вирусной активности за ноябрь 2006

Осень 2006 года выдалась бурной. Третий месяц подряд не только меняется лидер рейтинга, но и вся двадцатка постоянно обновляется более чем наполовину. Как и месяц назад, основными возмутителями спокойствия продолжают оставаться черви семейства Warezov.

5181

На первом месте в ноябре расположился новичок – Warezov.gj. Червь был обнаружен 22 ноября и всего лишь за одну неделю стал самым распространенным вирусом в почтовом трафике с весьма солидным показателем в более чем 18%! За последний год подобные рекорды распространения в первый же месяц жизни демонстрировали единицы вредоносных программ, и все они оставались на верхних местах статистики довольно продолжительное время. Однако берусь прогнозировать, что подобное не грозит Warezov.gj. Скорее всего, в декабре он резко снизит свои показатели, уступив под натиском своих новых «собратьев».

Неожиданностью месяца стало триумфальное возвращение в двадцатку сразу на третье место старого "знакомого" – Nyxem.e. Этот червь скоро отметит своеобразный юбилей – один год с момента появления, и следует признать, что Nyxem стал одним из наиболее распространенных вирусов всего 2006 года.

Одновременно значительно улучшил свои показатели (+8 мест) его соперник – Mytob.c. Несколько месяцев мы следили за борьбой между этими червями за первую строчку вирусного хит-парада, но в октябре все было сметено ураганом Warezov.а. Ноябрьская реинкарнация их противостояния вполне может привести к тому, что в декабре эти черви вновь окажутся в пределах первой пятерки.

Не менее примечательно возвращение червя Zafi.b. Мы уже окончательно распрощались с ним, как вдруг он снова принялся досаждать пользователям, рассылая свои письма с текстами на 18-и языках. 8 место в ноябре – весьма серьезный показатель, свидетельствующий о том, что жизненный цикл этого венгерского червя еще далеко не завершен.

Лидер октября – NetSky.q - вновь начал свое движение вниз. Весьма интересно посмотреть на динамику распространения этого червя. Появившись в 2004 году, он весьма долго был в лидерах и стал самым массовым червем всего 2004 года. В 2005 году он боролся за первенство с множеством вариантов Mytob, а в 2006 году испытывал как стремительные взлеты до первого места, так и падения за пределы двадцатки. Несмотря на все это, NetSky.q продолжает оставаться одним из самых распространенных червей за всю историю интернета. Тем временем уже прошло 16 из 21 месяца условного наказания Свена Яшана - автора этого знаменитого червя.

Движение по синусоиде - то вверх, то вниз - кроме NetSky.q демонстрируют еще несколько червей. В ноябре вернулись в самую середину рейтинга еще два исторических червя – LovGate.w и Mytob.t.

Все эти примеры показывают, что в мире вредоносных программ можно выделить два класса червей. Первые из них циркулируют в трафике годами, то увеличивая свой процент (при отсутствии других эпидемий), то снижая его под натиском новичков. Вторые же быстро появляются, быстро занимают верхние строчки отчетов, но затем так же быстро пропадают, зачастую проходя этот цикл всего за пару недель.

Делая прогноз на декабрь, надо отметить, что все будет зависеть от авторов червя Warezov. Если они продолжат свою практику массированных рассылок множества вариантов, то и в следующем месяце эти черви составят не менее 30% от общего количества вредоносных программ в электронной почте. Если же создатели Warezov умерят свой пыл или будут арестованы (что менее вероятно, к сожалению), то следует ожидать повышения распространения «старых» червей – NetSky.q, Zafi,b, Mytob.c.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент 12,84 от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

http://www.kaspersky.com
http://www.ixbt.com

Вирус украл данные о войсках в Ираке

На днях обнаружилась серьезная утечка данных, касающихся американских военных формирований в Ираке и Кувейте, а также анти-террористической тренировочной программе японских ВВС, учавствовавших в иракских операциях, - сообщает Mainichi.

Утечка произошла в результате действия вируса, проникшего на компьютер японского военнослужащего через файлообменную программу Winny. "Не думаю, чтобы утечка была опасной для текущих операций американских военных, однако она может повредить сотрудничеству Японии с военным ведомоством США", - цитирует газета главу ВВС Японии.

Сухопутные японские войска вышли из Ирака, но японские ВВС продолжают сотрудничество с США по транспортировке грузов. Как сообщает Kyodo News, это не первый случай взлома компьютеров японских военнослужащих. После ряда скандалов прошлой осенью, руководство японских ВВС заявило, что были приняты соответствующие меры для предотвращения новых инцидентов.
http://www.webplanet.ru

А если бы он до красной кнопки добрался? :shock:

Не мог не выложить такую новость :))

Хакеры похоронили Путина

Специалисты испанской Ассоциации пользователей интернета (Asociacion de Internautas) , зафиксировали массированную вирусную спам-рассылку, в частности, под заголовками "Президент России Путин мертв" ("President of Russia Putin dead"), "Саддам Хусейн жив и здоров" ("Saddam Hussein safe and sound"), "Госсекретарь США Кондолиза Райс дала пинка канцлеру Германии Ангеле Меркель" ("US Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel") и "Фидель Кастро мертв" ("Fidel Castro dead").

Вложенный в сообщение файл содержит вирус-троян, уже получивший название "Ураганный червь", который нарушает нормальную работу компьютера и незаметно для пользователя открывает хакерам доступ к хранящимся там данным. Как сообщается, в Испании вирус уже поразил тысячи компьютеров.
http://www.internautas.org/html/4070.html

уже долгое время комп кушает интересный вирус(очень веселый хотелось бы заметить)началось все с запуска одного ехешника, выскачила табличка гуд бай и винде крантец)нет доступа к реестру командной строке итд, переустановил виндоус(оставил только музыку) видимо там вирус и зашкерился. опять нет доступа к реестру(пишет мол админом заблочено,захожу под админом всеравно доступа нету)пытаюсь лечится симантиком, вроде не помогает.кажется вирус называется W32.Rontokbro.K@mm есть какиенибудь советы по избавлению от данной гадости?

брат, процесс eksplorasi.exe в диспетчере задач отражается?

отражался, но после отключения файла эмпти в автозагрузке, он не может загрузится и при старте винды выдает ошибку, мол файл не найден
ps
могу ссылку дать на сам зараженный екзеншник,но только в лс(нихочу чтьоб еще ктонибудь так попал глупо)

брат, была у меня заплатка. Поищу.

брат,
Описания этой хрени:

Brontok_q (http://disk.karelia.ru/?d=1&f=avt/public/Brontok_q.chm)
Brontok_a (http://disk.karelia.ru/?d=1&f=avt/public/Brontok_a.chm)

Версия не твоя, но понять куда лезть можно. Регэдит из-под админа можно запустить вот этим. (http://disk.karelia.ru/?d=1&f=avt/public/reg_run.exe)

Коротко:

прибей лишние процессы.
запусти через мою поделку регэдит.
верни реестр к исконному виду.
добей вирусню на винте (руками или антивирусом)

брат,
Описания этой хрени:

Brontok_q (http://disk.karelia.ru/?d=1&f=avt/public/Brontok_q.chm)
Brontok_a (http://disk.karelia.ru/?d=1&f=avt/public/Brontok_a.chm)
[/list]

что то не получается скачать.

что то не получается скачать.
Disk в очередной раз рулит. :)
Забирай :

раз (http://home.onego.ru/~andrey1/tmp/Brontok_a.chm)
два (http://home.onego.ru/~andrey1/tmp/Brontok_q.chm)

NOboDy, спасибо огромное, кажется избавился от этой дряни.самое обдное что этот червь мог кому-то самоотослатся :( вот блин запустил ехешник с диска.

Что за вирус такой Win 32.Parite.b и чем опасен?

Что за вирус такой Win 32.Parite.b и чем опасен?

Вирус Virus.Win32.Parite.а состоит из "носителя", написанного на ассемблере, и собственно вирусной компоненты, написанной на Borland C++.

При запуске заражённого файла первым получает управление вирусный "носитель", он записывает во временную папку вирусный компонент и вызывает процедуру заражения.

Вирус ищет Win32 PE EXE файлы с расширениями .exe и .scr на логических дисках компьютера, а также в ресурсах локальной сети, и заражает их. (Привет disk.karelia.ru :D - прим. a2z)

Вирус никак не проявляет своего присутствия в системе.

Структура зараженных файлов выглядит следующим образом:

Host file
Virus
dropper - записывает компоненту "main" во временный каталог.
main - ищет и заражает файлы.

Virus.Win32.Parite.b По своим функциям полностью идентичен варианту Win32.Parite.a Отличается от него лишь созданием своего ключа в системном реестре:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\PINF]
viruslist.com

А вообще, на будущее есть такой сайт http://www.viruslist.ru/ на нём найдёшь инфу о разных вирях.

Пару дней назад начал обнавлять Каспера и повредились сигнатуры(цитата "в рез-те неисправимой ошибки).Пришлось удалить антивир и
установить поновому,после перезагрузки сразу обнаружил win 32 .parite.b
Два дня парился с ним...

Утомила целая серия атак.
И не только моего компьютера.
Ни Каспер, ни NOD32 не справляются.
Пробовал ставить Partizan.
Но и он пропустил шпиона.
Что делать?

Я не знаю что надо делать для целой серии атак. Где вы "лазите" в интернете?
Если уж такие Гранды (Касперский и Нод) не справляются...
Выхода у вас 3:
1. Не лазить по злачным местам. Не ставить оттуда софт, игры и т.п.
2. Искать 100% защиту(а ее и нет)). Искать слабые места в системе безопасности. Сменить Браузер, сидеть под пользователем с ограниченными правами и т.п.
3. Пересесть(частично) на Linux. Там этой нечестности нет(ну практически))).
А еще есть Вариант №4-выдернуть сетевой шнур, не пользоваться флешками, оптическими дисками. А ПК в сейф под ключ.

Руткиты гарантировано не заблокируете, нет 100% защиты. На то они и руткиты.

Пересесть(частично) на Linux. Там этой нечестности нет(ну практически))).
У меня был вирус на Линукс и еще была инструкция по его правильной установке :).

Pomor, начать нужно со смены винды и блокировки портов на роутере.
Потом обновление винды до актуальной версии . В промежутке обновления накинуть на ось свежий каспер (если мощный ПК если нет то лучше взять Dr.Web).

Каспер может не заметить если будут ломать через программу - которая в свою очередь имеет свой порт и конечно доступ в сеть.
Латать дыры на винде можно только путем обновления из офиц. источника.

У меня стоит W7 - пока не жалуюсь. Но пропускают все оси.
Руткит - это кусок, след присутствия взломщика.

Не использовать древние программы - следить периодически за софтом, особенно тот который популярен и связан с сетью - например: utorrent.

Ломают не просто так. Энтузиастов очень мало. Профи еще меньше.

Спецы обычно ищут - личные данные (кошельки, пароли, домашнее порно, личные фотки), наработки и т.д. про служебную деятельность я молчу.

У меня был вирус на Линукс и еще была инструкция по его правильной установке :).
А слово практически Мы уже не видим).
Вирус -хех на убонтовском форуме вы бы написали, там это в почете было, просто они никак вирусов найти не могли.


Ломают не просто так. Энтузиастов очень мало. Профи еще меньше.
Спецы обычно ищут - личные данные (кошельки, пароли, домашнее порно, личные фотки), наработки и т.д. про служебную деятельность я молчу.
Скажите, а кому нужны пк домашних пользователей? Ну да бот сеть - вот первое, что приходит в голову.
Скорее всего никто его пк не ломал, не ломает, не собираются ломать.
Вся проблема в самих пользователях, которые ползают "незнамо где", скачивают "незнамо чего", сидят под учеткой администратора. Да и пользуются) ИЕ.)

Руткит - это кусок, след присутствия взломщика.
Вот Википедия говорит: Руткит (англ. rootkit, т.е. «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
http://ru.wikipedia.org/wiki/Rootkit

Вирус -хех на убонтовском форуме вы бы написали, там это в почете было, просто они никак вирусов найти не могли.
Люди которые понимают там ни слово не скажут. Я про U форум.

Мне попал в руки случайно, но я сильно не пытался его устанавливать, у меня не встал. Но одна тетенька сказала, что он работает - не в сети, лично.
Но только если есть супер права.
Да и пользуются) ИЕ.)
Сиськи на весь экран может поймать и FF.
Скажите, а кому нужны пк домашних пользователей?
по разному. Ну был случай, что взламали дизайнера, а там стоит Mac и еще на сервере было, часть данных - что сперва взломали ни кто не знает.
Ломают часто когда запалил свой кашель, а на нем большой BL - случаев много.
А сказки о том что крыса среди нас или где-то рядом - это первый ответ от менеджера webmoney - дабы не развивать тему. Я например жил один, а друзья мои не всегда могут самостоятельно крякнуть игру или есть случае не могут скачать фильм. Тогда о чем может разговор ? Яша бабки - тоже случаев имеется не мере.
Если твой BL ближе к 100 и более там есть чем поживится.

А по поводу, того что линукс - это не пробиваем, это я думаю не логично, ломают даже высокооснащенные системы - которые под наблюдением стоят 24 часа в сутки и не чего.
Просто - это работа для кого то и не стоит искать паблик я уверен его нет.

Люди которые понимают там ни слово не скажут. Я про U форум.
Чего?

Мне попал в руки случайно, но я сильно не пытался его устанавливать, у меня не встал. Но одна тетенька сказала, что он работает - не в сети, лично.
Но только если есть супер права.
Не встал)))) Вот и подтверждения, рабочих вирусов пока нет))) А кто ж простому пользователю даст от рута работать?


Сиськи на весь экран может поймать и FF.
Классно, где и как их ловить? Носкрипт никто не отменял!



А по поводу, того что линукс - это не пробиваем, это я думаю не логично, ломают даже высокооснащенные системы - которые под наблюдением стоят 24 часа в сутки и не чего.

А где было слово непробиваемый? Не существует 100% панацеи. Сами пользователи ставят себе проги с очень"хороших" сайтов или ползают там...

Чего?
Люди которые рубят - рабочие темы не будут палить. Это деньги.
Классно, где и как их ловить? Носкрипт никто не отменял!
И тогда можно забыть про динамику.
А где было слово непробиваемый?
Ну есть бородатые дядьки, которые имеют репутацию определенную. И занимаются разными делами не хорошими.
Наблюдал ситуацию на ruboarde разраб прилетел и начал ставить ультиматумы - ему в ответ сказали: "а ты когда варезник держал ?", "Значит - как ты ломаешь, так все нормально - а как тебя ломают дак караул воруют".

Из этого следует что все они друг друга знают и общаются маленькими коллективами. Информация ни когда не уходит в паблик. Свой проф союз.
Сами пользователи ставят себе проги с очень"хороших" сайтов
Не у всех варез. Многим он просто не нужен.

Чтобы что-то взломать нужно, уметь профессионально создавать.
Этот вопрос надо задать MDM он как разработчик - должен видеть изнутри все это дело и все уязвимости - или хотя бы самые самые простые, а может даже и сложные знает, но вероятность мала что он их скажет ибо ими начнут пользоваться неразумные школьники или студенты.

Люди которые рубят - рабочие темы не будут палить. Это деньги.
Я не понимаю, что вы хотите сказать. Сделать деньги на вирусах под линь? Дак этого добра полно на Винде. На форуме убунты таких людей... Если бы это случилось, на Лоре поднялся бы такой срач о решете...

И тогда можно забыть про динамику.
Динамику чего?




Чтобы что-то взломать нужно, уметь профессионально создавать.
Этот вопрос надо задать MDM он как разработчик - должен видеть изнутри все это дело и все уязвимости - или хотя бы самые самые простые, а может даже и сложные знает, но вероятность мала что он их скажет ибо ими начнут пользоваться неразумные школьники или студенты.
Давайте в такие дебри не пойдем!

Я же сказал не существует 100% защиты. Но большинство проблем исходит от самих пользователей...

Динамику чего?
Ну есть динамические сайты, а есть статический HTML.
Я не понимаю, что вы хотите сказать.Нея я не разработчик. И там халявных денег нет :) - давно бы написали :).
Что такое Лора ?
Вот еще интересный вопрос - может знаете ответик (тыц (http://forum.battlefox.ru/showthread.php?p=436387#post436387))

Что такое Лора ?
Сайт такой есть) Там происходят самые "жестокие" битвы между Линуксоидами и бсдунами, и другими.

Вот еще интересный вопрос - может знаете ответик (тыц (http://forum.battlefox.ru/showthread.php?p=436387#post436387))

Увы, я малограмотный пользователь(такими вопросами не интересуюсь).

Dida, dar, большое спасибо за участие и советы.
Выводы сделал. По "злачным" местам не лазал - в инете давно и об опасностях знаю.
Судя по всему, была серия атак. Скорее всего, - какой-то энтузиаст из местных. Потому что у нас в городе - "эпидемия". Только я сам вылечил не менее десятка компов. (Причем, почему-то, чужие лечатся легче, чем свой!) Но еще и слышал о множестве случаев...
Просто изобретатели этих руткитов (руки бы им повыдергивать) все более и более изощренные алгоритмы выдумывают...
:-(
Резюме: поскольку варезом пользоваться, все же, приходится :-( (к сожалению, иногда просто невозможно заплатить за прогу в нашей глубинке), то просто все, что душе дОрого - хранить на дисках и не париться - сносить (если что) систему...

И еще нашел интересный выход - экспериментировать с виртуалки... хотя не уверен. IP у нее мой будет?

Но в любом случае - спасибо и удачи вам! Было интересно наблюдать ваш диспут.
:-)

Пользователи российского интернет-банкинга под угрозой

102466
Стало известно о широком распространении троянской программы Trojan.PWS.Ibank, позволяющей злоумышленникам получить доступ к счетам клиентов нескольких банков, расположенных в России. Используя перехват функций различных приложений, в том числе интернет-браузеров и банк-клиентов, модификации этого троянца получают доступ ко всей информации, вводимой пользователем (в частности, к логинам и паролям). Trojan.PWS.Ibank известен с конца 2006 года. Назван он был по имени первого сайта, с которого распространялся. В последующие годы вирус был существенно модернизирован – таким образом, современные его модификации значительно отличаются от первых видов. За март 2010 года было зафиксировано несколько вспышек распространения новых версий Trojan.PWS.Ibank, которые по продолжительности занимали 1-2 дня. В эти периоды количество детектов вредоносной программы превышало 160 000 (по данным сервера статистики «Доктор Веб» за отдельные дни).

Цикличность и неравномерность в распространении Trojan.PWS.Ibank объясняется спецификой каналов, в роли которых в настоящее время выступают зараженные сайты. Чем более посещаемый интернет-ресурс подвергся атаке, тем больше компьютеров может инфицировать этот троянец. На зараженном сайте злоумышленниками делается закладка, которая перенаправляет посетителя на вредоносную страницу, эксплуатирующую уязвимость Adobe Reader с помощью специально подготовленного pdf-файла.

Опасность Trojan.PWS.Ibank состоит в том, что он передает злоумышленникам информацию, вводимую пользователем в своем интернет-браузере или банк-клиенте. И, прежде всего, отсылает им логин и пароль к банковскому аккаунту жертвы, которая таким образом может потерять свои сбережения. Наряду с этим Trojan.PWS.Ibank препятствует доступу к сайтам антивирусных компаний, а также имеет функционал, противодействующий работе некоторых популярных антивирусов.

Несмотря на то, что интернет-банкинг в России только набирает популярность и не охватывает широкие слои населения, тем, кто им пользуется, следует быть максимально внимательными. Во-первых, следует установить лицензионный антивирус, который должен регулярно обновляться. Во-вторых, использовать брандмауэр или модули антивируса, ответственные за блокировку вредоносных интернет-ресурсов. Наконец, не забывать регулярно менять пароли к любым важным аккаунтам в Интернете, а также соизмерять риск использования интернет-банкинга с денежными суммами, над которыми производятся операции.http://news.ferra.ru/soft/2010/04/09/97856/

Пользователи российского интернет-банкинга под угрозой

102466
http://news.ferra.ru/soft/2010/04/09/97856/

В нормальных банк клиентах защита не только на логинах-паролях, Сертификаты + переменные коды для проведения операций серьёзная защита. Да и sms уведомление нужно делать.И никакие антивирусы против таких руткитов не помогут.

kirp, сисадмин банка ?

kirp, я так сказать чужую новость процитировал, сам клиент банком не пользуюсь, так как пользуюсь услугами Балтийского, а там клиент банк для физических лиц не развит особо, сейчас даже за телефон не заплатить, все виды платежей заблокированы, а просто посмотреть сколько осталось мне и SMS информирования хватает...

dar, Нет, я просто пользователь.

Новый тип мошенничества направленный на пользователей торрентов

В интернете обнаружен новый тип мошенничества, сообщает TorrentFreak. Суть его заключается в том, что злоумышленники, выступающие под именем компании ICPP Foundation, которая якобы сотрудничает с организациями по защите авторских прав, предлагают пользователям выплатить "штраф" за скачивание пиратских торрентов.
Мошенники используют троян, который проводит сканирование системы и находит пиратские BitTorrent-файлы. После этого пользователям предлагается выплатить "штраф" в размере 400 долларов для внесудебного решения конфликта. Исследователи из компани F-Secure отмечают, что требование выплатить штраф появляется даже в случае отсутствия на жестком диске торрентов.
Троян принуждает пользователей оставить свое имя, адрес и данные кредитной карты. В противном случае "нарушителям" угрожают привлечением к судебной ответственности с последующей выплатой штрафа в 250 тысяч долларов и тюремным заключением на срок до пяти лет.
Программа, с помощью которой злоумышленники пытаются вымогать деньги, обычно устанавливается в папку под названием IQManager. Она содержит ссылки на отчет о правонарушении, а также на сайт организации - это должно убедить пользователей в серьезности предъявляемых им обвинений.
Звонки специалистов F-Secure на телефонные номера с итальянским телефонным кодом, расположенные на сайте ICPP Foundation (ICPP-online.com), остались без ответа. Сам сайт на момент написания данной заметки не открывался. По данным сервиса WHOIS, сайт, на котором располагаются так называемые отчеты, принадлежит "Защищенной сомалийской сети", IP-адрес которой указывает на систему, расположенную в Молдавии.http://www.newsland.ru/News/Detail/id/488189/cat/69/

Panda Antivirus Pro 2010 признан одним из лучших антивирусов

По результатом тестов антивирусных решений, проведенных AV-Comparatives.org (http://av-comparatives.org/) 2010, антивируc Panda Antivirus Pro 2010 был выделен среди лучших программ за скорость сканирования и высокий уровень обнаружения вредоносных кодов и программ.

Сравнительные тесты некоммерческой австрийской организации AV-Comparatives.org, в которых приняла участие компания Panda Security (http://www.pandasecurity.com/russia/), предназначены для выявления надежности антивирусных продуктов по ключевым аспектам.

Результаты первого же теста показали, что Panda Antivirus Pro 2010 выявил 99,2% вирусов, что выше, чем результаты аналогичного теста продуктов компаний Trend Micro, Kaspersky, McAfee, F-Secure, AVG, Symantec, avast!, Sophos и других. Этот показатель позволил антивирусному решению сразу войти в тройку продуктов-лидеров. Тест на скорость сканирования по запросу также вывел Антивирус Panda в первую тройку тестируемых программных решений.

http://screen.battlefox.ru/data/570/17.PNG


В основу создания решения Panda Antivirus Pro 2010 легла технология "Коллективного разума", созданная для автоматического сбора и обработки миллионов вредоносных кодов в так называемом "облаке", а не на локальном ПК. Именно это обеспечивает надежную и мгновенную защиту как от известных, так и от еще не выявленных вредоносных кодов, в очередной раз подтвержденную результатами тетирования AV-Comparatives.org 2010.http://news.ferra.ru/soft/2010/05/07/98864/

AV-Comparatives является авторитетной организацией? Просто судя по таблице антивирь G DATA вообще выиграл "соревнование", хотя, как мне кажется, о нём обычный пользователь и не слышал ни разу.
Или у них пиар-менеджеры все ушли в Лабораторию Касперского :)

Такая проблема: после загрузки пк тёмный экран с просьбой положить "немного" денег на такой то мобильный номер, при отказе полная потеря данных и бла-бла-бла и т.д, 99,9% что вирюга, как победить зверя ? желательно без переустановки ОС......

karrell, на какой номер и какой текст требуют отправить?

положить 400р. на номер 8905........., номера не помню, внизу чека будет код, который необходимо ввести, это у знакомого попросил помочь...........

karrell, ну так не помочь, когда будет известен номер, попробуй пробить его по этим (1 (http://virusinfo.info/deblocker/), 2 (http://www.drweb.com/unlocker/index), 3 (http://erfen.ru/antispam/)) адресам.

karrell, Есть прога ransomhide (http://b-kill.ru/page/ransomhide)

Самые страшные вирусы Интернета
"Лаборатория Касперского" опубликовала рейтинги вредоносных программ, обнаруженных и заблокированных в августе 2010 года. Эксплойты и черви, использующие уязвимости Windows, оказались как в рейтинге программ, наиболее часто обнаруживаемых на компьютерах пользователей, так и в рейтинге веб-угроз. В первую очередь, в августе наблюдался значительный рост эксплуатации уязвимости CVE-2010-2568. Первый раз эта уязвимость была использована нашумевшим в конце июля сетевым червем Worm.Win32.Stuxnet, следом ей воспользовался троянец-дроппер, устанавливающий на зараженный компьютер последнюю модификацию известного вируса Sality – Virus.Win32.Sality.ag. Как и ожидалось, злоумышленники сразу же "взяли в оборот" новую дыру в наиболее популярной в настоящее время версии ОС Microsoft Windows. Но уже второго августа Microsoft был выпущен патч MS10-046, закрывающий уязвимость. Это обновление идет с пометкой "Critical", что означает обязательную установку всем пользователям системы.

Уязвимость CVE-2010-2568 заключается в ошибке при обработке ярлыков (.lnk и .pif файлов). Заражение происходит, когда пользователь открывает USB-накопитель с помощью функции автозапуска, либо при открытии диска непосредственно в Проводнике Windows или аналогичном менеджере файлов. Специально сформированный ярлык заставляет Windows Shell подгрузить внешнюю динамическую библиотеку, которая выполняет произвольный код с привилегиями пользователя, запустившего Проводник.

В рейтинг программ, заблокированных на компьютерах пользователей, попали сразу три зловреда, так или иначе связанные с CVE-2010-2568. Два из них эксплойты Exploit.Win32.CVE-2010-2568.d (9-е место) и Exploit.Win32.CVE-2010-2568.b (12-е место), непосредственно эксплуатирующие уязвимость. Третий, Trojan-Dropper.Win32.Sality.r (17-е место), использует эту уязвимость для своего распространения. Он генерирует уязвимые LNK-ярлыки с названиями, привлекательными для пользователей, и распространяет их по локальной сети. Когда пользователь открывает папку, содержащую такой ярлык, происходит запуск зловреда.

Оба эксплойта к уязвимости CVE-2010-2568, попавшие в Топ-20, чаще всего детектируются на компьютерах пользователей в России, Индии и Бразилии. Географическое распределение Trojan-Dropper.Win32.Sality.r аналогично распределению эксплойтов. Интересно, что Индия также является основным источником распространения червя Stuxnet.http://news.ferra.ru/soft/2010/09/07/102809/

"Лаборатория Касперского" разоблачила самое распространенное вредоносное ПО
Лаборатория Касперского" представила отчет о вредоносных программах за сентябрь текущего года. По словам компании, в сентябре активно распространялся вирус Sality в новой модификации Sality.bh, он попал сразу на 11 место в двадцатке. Эта вредоносная программа распространяется, используя дроппер Trojan-Dropper.Win32.Sality.cx, через уязвимость ОС Windows в LNK файлах (ярлыки). Ее же использовал для заражения компьютеров известный червь Stuxnet. Кроме того, как сообщает "Лаборатория Касперского", в сентябре количеств эксплойтов, вошедших в Top 20, равно числу рекламных программ (adware).

http://screen.battlefox.ru/data/570/125.png

В двадцатку самых распространенных вредоносных программ за прошлый месяц вошло семь программ такого типа. AdWare.Win32 не вредят компьютеру в большой степени, однако, могут затормозить работу системы. Работает такое ПО, чрезмерно привлекая внимание пользователя к рекламным баннерам в обычных приложениях, что, конечно, мешает нормальной работе на ПК. А из web заражений эксперты отметили Exploit.SWF.Agent.du. Он впервые вошел в рейтинг и интересен тем, что представляет собой уязвимый Flash файл, что используется достаточно редко.

Источник: Лаборатория Касперского (http://www.kaspersky.ru)http://news.ferra.ru/hard/2010/10/05/103726/

Политика и мошенничество: вирусные события сентября 2010 года
Средства массовой информации в сентябре были переполнены сообщениями о начавшейся кибервойне, связанной с распространением вредоносной программы Trojan.Stuxnet, и предположениями о целях создателей данного троянца. Тем временем интернет-мошенники тестировали нестандартные приемы вымогания денег, владельцы бот-сетей использовали беспечность сетевых системных администраторов, а авторы вредоносных программ для Android наносили «точечные удары».

Trojan.Stuxnet и политика
В сентябре СМИ пестрели новостями о троянце Trojan.Stuxnet, появление которого получило широкую огласку в связи с географией распространения. Публикации эти зачастую носили политический характер: распространение Trojan.Stuxnet связывалось с саботажем запуска иранской атомной электростанции, на фоне чего технические новинки вирусописателей, примененные при создании троянца, отошли на второй план. В последних числах сентября появилась информация о том, что данный троянец получил широкое распространение в Китае и направлен против китайских предприятий. Некоторые эксперты пытаются выявить цели авторов программы с помощью лингвистического анализа надписей, обнаруженных в коде троянца.

Trojan.Stuxnet действительно является достаточно технологичной современной вредоносной программой. Для ее распространения использовалось несколько неизвестных ранее уязвимостей Windows. Несмотря на политику, для специалистов компании «Доктор Веб» этот троянец — не более чем еще одна вредоносная программа, от которой необходимо защитить пользователей антивируса Dr.Web. В настоящее время распространяются и другие, не менее технологичные вирусы, например, 64-битная модификация руткита Trojan.Tdss (известен также как TDL), над организацией лечения которых также ведется кропотливая работа.

Интернет-мошенничество
В сентябре увеличилось количество запросов в техподдержку компании «Доктор Веб» по вопросам разблокировки компьютера, а также доступа к сайтам и популярному ПО. Если в августе таких обращений было в среднем 107 в сутки, то в сентябре эта планка поднялась до 124 обращений.

В то же время блокировщики Windows продолжают вытесняться другим мошенническим ПО. В частности, в сентябре появилось несколько троянцев, использующих новые методы перенаправления страниц в браузерах. Появились троянцы, блокирующие возможность работы в интернет-мессенджерах.

Из каналов монетизации преступных доходов интернет-мошенников преобладала отправка денег на счет мобильного телефона злоумышленника (около 25%) и отправка платных СМС-сообщений (около 70%), из которых примерно в 80% случаев требовалась отправка платного СМС-сообщения на номер 6681.

Компания «Доктор Веб», как и ранее, предлагает бесплатную поддержку пользователям, пострадавшим от интернет-мошенничества.

Перенаправление страниц
За прошедший месяц злоумышленники применили сразу два новых метода, позволяющих подменять страницы в интернет-браузерах пользователей. Как и всегда в таких случаях, не обошлось без внесения дополнительных записей в системный файл hosts, но при этом были использованы новые технологии.

Trojan.Hosts.1581 подменял страницы сайтов нескольких российских банков таким образом, что вводимые на вредоносных сайтах параметры удаленного доступа к банковским счетам отправлялись злоумышленникам. Было обнаружено, что данная модификация Trojan.Hosts обладает руткит-составляющей, позволяющей троянцу фильтровать файловые операции и операции с системным реестром.

Троянцы семейства Trojan.HttpBlock применили другую тактику. На заражаемом компьютере эта вредоносная программа устанавливает собственный веб-сервер, именно на него и происходит перенаправление с популярных сайтов, в частности с поисковых систем. Целью злоумышленников было вымогание денег за разблокировку доступа к ним.

Блокировщик мессенджеров
В конце сентября началось распространение троянца Trojan.IMLock, который после заражения системы блокирует запуск популярных интернет-мессенджеров ICQ, QIP и Skype, выводя при этом сообщение, оформленное в стиле заблокированного ПО.

В этом сообщении говорится о том, что для доступа к своему аккаунту пользователь должен отправить платное СМС-сообщение на номер 6681. Для лечения достаточно провести проверку системы сканером Dr.Web.

Новые тенденции в бот-сетях
В конце сентября специалисты компании «Доктор Веб» обнаружили бот-сеть, состоящую из компьютеров, на которых установлена и работает серверная часть ПО Radmin. Это ПО широко используется для удаленного управления компьютерами. Вредоносная программа, которая заражает компьютеры и подключает их к бот-сети, по классификации Dr.Web получила наименование Win32.HLLW.RAhack.

Заражение происходило лишь на тех компьютерах, на которых административный пароль для доступа к Radmin оказывался в списке известных червю паролей. Оказалось, что простые пароли используют многие администраторы.

Если говорить о возможных тенденциях октября 2010 года, то в этом месяце вполне можно ждать новые типы вредоносных программ, которые подменяют страницы при просмотре некоторых сайтов в браузере, а также позволяют осуществлять новые схемы интернет-мошенничества. Это две наиболее доходные статьи незаконного заработка киберпреступников в последнее время. Владельцы бот-сетей, которые часто являются транспортом для распространения вредоносных программ, будут и далее пытаться создать их на основе нестандартных программных либо аппаратных решений, т.к. в этом случае достигается главная цель – пользователь часто не подозревает о том, что компьютер заражен.http://news.drweb.com/show/?i=1303&lng=ru&c=5

Американский сайт Касперского стал жертвой хакеров
Специалисты по борьбе с кибер-криминалом во всем мире ежедневно разрабатывают все новые меры в ответ на возникающие угрозы. По статистике, каждый час на свет появляется несколько новых вирусов и других представителей вредоносного ПО, способных нанести реальный вред компьютерам пользователей. Одним из лидеров в разработке антивирусного программного обеспечения по праву считается Россия, где, в частности, находится штаб-квартира знаменитой "Лаборатории Касперского".

Однако, как гласит известное присловье, и на старуху бывает проруха. Не так давно хакеры весьма успешно атаковали американский сайт "Лаборатории Касперского" (usa.kaspersky.com), в результате чего данный портал из борца с компьютерными мошенниками на какое-то время фактически превратился в их союзника. Одним словом, в точности по фразе из популярной кинокомедии: “Кто нам мешает, тот нам поможет”.

В течение трех с лишним часов посетители данного ресурса перенаправлялись на один из мошеннических сайтов, где им предлагалось поставить поддельный антивирус для защиты от якобы обнаруженных на компьютере вредоносных программ-троянов. Позднее "Лаборатория Касперского" признала факт использования хакерами своего американского портала и заявила о проведении проверки по этому поводу, а также пообещала оказать помощь пользователям, попавшимся на уловку кибер-преступников.http://news.ferra.ru/hard/2010/10/20/104246/

хочу в оправдания каперсового сказать, что такого эффекта можно добиться если взломать один из маршрутизаторов до официального сайта. Чем ближе маршрутизатор до самого сайта, тем масштабные эффект перебрасывания.

Доктор Веб: банковский троян атакует счета юридических лиц
Компания «Доктор Веб» сообщила о широком распространении троянца Trojan.PWS.Multi.201, предназначенного для кражи параметров доступа к аккаунтам дистанционного банковского обслуживания (ДБО), принадлежащим юридическим лицам. Для достижения этой цели вредоносная программа использует особенности популярных систем интернет-банкинга.

Специалисты компании «Доктор Веб» подробно исследовали функционал Trojan.PWS.Multi.201 — он оказался достаточно многообразен. Во-первых, злоумышленники могут управлять зараженными компьютерами, давая команду скачать с вредоносного сайта и запустить какое-либо дополнительное ПО или обновленную версию троянца. Во-вторых, вредоносная программа имеет возможность уничтожения загрузочной области и таблицы разделов жесткого диска компьютера. По-видимому, это делается для того, чтобы запутать следы после того, как злоумышленникам будут отправлены параметры удаленного доступа к банковскому счету жертвы. При этом все действия — от установки в систему до отправки паролей — троянец производит в скрытом режиме, никак не обнаруживая свое присутствие в зараженной системе.

В частности, во время проведения операции в системе интернет-банкинга Trojan.PWS.Multi.201 выявляет окна, заголовок которых содержит буквосочетание «КриптоПро», и имеет возможность отправить введенные в форму данные третьим лицам. Эта возможность ставит под вопрос безопасность использования многих систем ДБО российских банков. Плюс ко всему вредоносная программа имеет возможность считывать и отправлять злоумышленникам информацию, которая вводится с помощью некоторых популярных «виртуальных клавиатур», которые создаются и используются как раз для того, чтобы программы-шпионы не смогли получить и передать злоумышленникам приватные данные.

Распространяется Trojan.PWS.Multi.201 с начала октября 2010 года. С этого момента сервер статистики компании «Доктор Веб» ежедневно фиксирует несколько сотен детектов этой вредоносной программы. Такие относительно небольшие, но достаточно стабильные цифры объясняются тем, что целевая аудитория программы достаточно узка.

Ответственность за сохранность денежных средств банки несут только в пределах своих офисов, не распространяя ее на компьютеры клиентов, которые могут заразиться вирусом. За соблюдением достаточного уровня информационной безопасности своих компьютеров обязаны следить клиенты. Таким образом, за возможную утечку параметров доступа к банковским счетам отвечают сами пользователи интернет-банкинга.

Компания «Доктор Веб» призывает пользователей интернет-банкинга к осторожности. Во-первых, не рекомендуется проводить удаленные операции со счетами, на которых находятся большие суммы денег. Во-вторых, на компьютере должны быть установлены актуальные обновления безопасности для операционной системы и для другого ПО, а также полнофункциональный и своевременно обновляющийся антивирус.

Источник: Доктор Веб http://news.ferra.ru/hard/2010/11/02/104736/

"Лаборатория Касперского": самые страшные вирусы за октябрь
"Лаборатория Касперского" составила очередные рейтинги вредоносных программ - за октябрь. Она отмечает, что месяц, в целом, прошел довольно спокойно, хотя есть и ряд интересных событий. К примеру, в начале октября был обнаружен вирус Virus.Win32.Murofet, которым были заражены многие PE-файлы. Он генерирует ссылки с помощью специального алгоритма, который основывается на текущих времени и дате на инфицированном компьютере. На основе этих данных он генерирует два двойных слова, считает на их основе md5, добавляет одну из возможных доменных зон - .biz, .org, .com, .net, .info, затем добавляет в конце строки "/forum" и использует получившуюся ссылку. По словам экспертов, этот вирус не заражает другие исполняемые файлы и связан с троянской программой Zeus.

Кроме того, за прошлый месяц выросла популярность поддельных архивов - Hoax.Win32.ArchSMS. Это вредоносное ПО действует следующим образом: пользователю предлагается отправить SMS на премиум-номер для получения содержимого архива. Но после отправки он получит только ссылку на торрент-трекер, а деньги за SMS окажутся утеряны. Это относительно новый вид мошенничества, отмечает "Лаборатория Касперского". Из других событий октября аналитики отметили рекорд Microsoft по количеству патчей, выпущенных за месяц - 16 бюллетеней по безопасности, закрывающих 49 различных уязвимостей. Это говорит о неослабевающем интересе киберпреступников к программным продуктам Microsoft.

Что до традиционных таблиц вредоносного ПО, обнаруженного на компьютерах и во Всемирной Паутине, то они с прошлого раза практически не изменились. На компьютерах лидируют Kido, Sality, Virut, CVE-2010-2568, а в сети - эксплойты на CVE-2010-0806 и рекламные программы FunWeb. Так, первое место в двадцатке вредоносных программ, обнаруженных на web страницах, занял скрипт из семейства FakeUpdate - Trojan.JS.FakeUpdate.bp. Он угрожает любителям побродить по порно-сайтам.http://news.ferra.ru/hard/2010/11/05/104828/

Вирусы снова научились удалять антивирусы
Компания «Доктор Веб» сообщила о выявлении нового метода противодействия работе антивирусов. Несмотря на то что несколько лет назад большинство антивирусных вендоров включили в состав своих продуктов модули самозащиты, авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы.

Один из таких методов реализован в троянце Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети «В Контакте».

Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, который определяется антивирусом Dr.Web как Trojan.VkBase.1.

После запуска этого файла открывается окно Проводника Windows, в котором якобы отображена обещанная на сайте информация. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса.

После того как поиск завершен, производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. При этом в арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов.

Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта. Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались.

После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут.

После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. В области уведомлений Windows отображается значок, идентичный тому антивирусу, который работал в системе ранее до его удаления. При щелчке по этому значку отображается окно, похожее на окно интерфейса удалённого антивируса, с сообщением о том, что компьютер якобы по-прежнему находится под защитой. При щелчке по картинке она закрывается. Таким образом, для неподготовленных пользователей создаётся иллюзия, что антивирусная защита системы продолжает работать в штатном режиме.

В настоящее время пользователи всех антивирусных продуктов Dr.Web для Windows защищены от Trojan.VkBase.1 и других вредоносных программ, которые могут использовать подобные схемы противодействия антивирусам.http://news.drweb.com/show/?i=1406&c=5&lng=ru&p=0

Вредоносное ПО маскируется под обновление Java
Сотрудник компании BitDefender Лоредана Ботезату (Loredana Botezatu) сообщила, что особенно опасная модификация троянского приложения, содержащая возможность проведения DDoS атак, была обнаружена под видом обычного Java обновления. В настоящее время вирус присутствует как на легальных, так и на пиратских web-ресурсах.

Вирусная программа использует множество методов инфицирования и самораспространения. Троян может распространяться через USB-диски, локальные сети, P2P-сети, MSN и даже может рассылать себя по электронной почте, если на компьютере установлен Outlook Express.

Стоит отметить, что при заражении системы вирус удаляет прочие конкурирующие вирусные программы, если они также присутствуют на системе (Cerberus, Blackshades, CyberGate и OrgeneraL DDoS Bot Cryptosuite). Также троян добавляет себя в список разрешенных приложений в брандмауэре Windows, чтобы не вызвать подозрений, и пытается скрыть предупреждения антивируса если он установлен.

Связь между бот сетью и ее владельцами выполняется с помощью личных сообщений. Владелец бот сети может определить задачи для вредоносного ПО с помощью инструкций, в которых указаны время, интенсивность и цель (URL адрес) атаки. http://www.securitylab.ru/news/406412.php

За четыре месяца было создано 49 бот-нетов при помощи одного трояна
Специалисты по безопасности компании «Доктор Веб» сообщили, что за последних четыре месяца им удалось зафиксировать 49 бот-нетов, созданных на основе трояна BackDoor.DarkNess. По утверждению специалистов, около десяти из них в настоящее время продолжают действовать, и компания продолжает наблюдение за ними. В «Доктор Веб» уточняют, что в данный период бот сетям было передано 329 команд, большинство из которых содержали инструкции на проведение DDoS-атак.

По мнению специалистов, все указывает на то, что публикация BackDoor.DarkNess в свободном доступе привела к тому, что немалое количество бот-сетей в настоящее время принадлежит не очень опытным злоумышленникам. В «Доктор Веб» отмечают случаи, когда бот-сеть получала команду атаковать свой собственный командный центр или просто сообщения, не являющиеся командой и похоже ошибочно написанные «не в то окно».

Как показывает статистика, вирусная лаборатория «Доктор Веб» фиксирует около 30 новых модификаций BackDoor.DarkNess в месяц. И вряд ли эта активность пойдет на спад в ближайшее время. Многие специалисты считают, что виной тому постоянно развивающийся черный рынок вредоносного ПО, который уже стал отдельной сферой теневого бизнеса. http://www.securitylab.ru/news/406681.php

Доктор Веб: обнаружен троян, атакующий пользователей Counter-Strike
Компания Доктор Веб сообщает об обнаружении новой схемы заражения компьютеров пользователей вредоносным ПО. На этот раз целью злоумышленников стали любители популярной игры Counter-Strike 1.6: в момент подключения пользователей к одному из игровых серверов на их ПК начинают загружаться файлы со скрытыми в них троянскими программами.

Обычно при соединении с сервером Counter-Strike программа-клиент скачивает с удаленного узла компоненты, отсутствующие на клиентской машине, но используемые в игре. В данном же случае на экране компьютера пользователя открывается стандартное окно браузера, предлагающее скачать два исполняемых файла: svhost.exe и bot2.exe, а также файл с именем admin.cmd (в начале этого года данный файл раздавался под именем Counter-Strike.cmd). Следует отметить, что такое поведение нестандартно для программного обеспечения игры Counter-Strike.

В ходе проведенного аналитиками компании «Доктор Веб» расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (некоторое время назад этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие самостоятельно скачали и установили его на свой ПК).

Технология «раздачи» троянца была весьма интересной: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялся редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy.

Основное назначение троянца заключается в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на настоящий игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров росло в геометрической прогрессии. Пример работы троянца показан на следующей иллюстрации, демонстрирующей несколько игровых серверов, якобы запущенных на инфицированной машине с одним IP-адресом.

Помимо этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и серверы VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Можно предположить, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на «неугодные» игровые серверы. В настоящее время, помимо собственно троянца, подключавшимся к серверу игрокам раздаются дополнительные «подарки».

Так, проведенный специалистами «Доктор Веб» анализ выявленных угроз показал, что в файле svhost.exe скрывается троянец-кликер Trojan.Click1.55929, накручивающий показатели посещаемости сайта w-12.ru и связанный с партнерской программой http://tak.ru . Попав на инфицированный компьютер, троянец создает свою копию с именем SVH0ST.EXE в папке C:\Program Files\Common Files, запускается на исполнение и начинает использовать заложенный в него разработчиками функционал. В файле bot2.exe «прячется» уже хорошо известный Trojan.Mayachok.1, о котором мы подробно писали в одной из предыдущих публикаций.

В настоящее время сигнатуры этих угроз добавлены в вирусные базы Dr.Web. Любителям игры Counter-Strike мы рекомендуем проявлять внимательность: не следует соглашаться с предложением операционной системы о загрузке и установке на компьютер каких-либо исполняемых файлов. http://www.securitylab.ru/news/406677.php

Необычный троян-шифровальщик притворяется другим зловредом«Лаборатория Касперского» предупреждает о появлении вредоносной программы TeslaCrypt 2.0 — новой версии трояна-шифровальщика, жертвами которого становятся преимущественно любители компьютерных игр.

Первые образцы TeslaCrypt были обнаружены в феврале 2015 года, и с тех пор шифровальщик претерпел несколько изменений. Отличительной особенностью этого зловреда является то, что он заражает типичные игровые файлы, например, файлы сохранений, пользовательских профилей, записанных повторов игр и т. д. За ключ для декодирования данных вымогатели требуют 500 долларов США.

Троян TeslaCrypt 2.0 запрашивает выкуп путём демонстрации своим жертвам HTML-страницы, полностью скопированной у другого широко известного вымогателя — CryptoWall 3.0. Зачем это сделано, не совсем ясно. Возможно, злоумышленники хотели таким образом продемонстрировать серьёзность своих намерений, ведь до сих пор файлы, зашифрованные CryptoWall, не поддаются расшифровке.

Новая версия TeslaCrypt отличается от предшественников существенно улучшенной криптографической схемой, из-за которой в данный момент расшифровать затронутые файлы не представляется возможным. При каждом заражении TeslaCrypt генерирует новый уникальный адрес Bitcoin и секретный ключ для приёма платежей от конкретного пострадавшего.

TeslaCrypt поражает как обычные носители, подключенные к системе, так и все доступные сетевые файловые ресурсы, даже если они не смонтированы в качестве отдельного диска.

В основном от вымогательств этой программы пострадали пользователи в США и Германии, однако угроза не обошла стороной и Россию, которая оказалась в первой десятке стран с наибольшим количеством заражений. Более подробно о трояне можно узнать здесь (https://securelist.ru/blog/issledovaniya/26212/teslacrypt-2-0-v-oblichii-cryptowall/). http://www.3dnews.ru/917098

Новый шифратор угрожает российским ПК-пользователямКомпания ESET предупреждает о новой кибератаке, нацеленной на российских пользователей персональных компьютеров под управлением операционных систем Windows.

124987

Сообщается, что злоумышленники распространяют вредоносную программу-шифратор с помощью файлов с расширением PIF (Program Information File). Такие файлы обычно содержат техническую информацию о настройке приложений MS-DOS в среде Windows (свойства окна, объём доступной памяти, приоритетность процесса и другие данные). Названный формат был популярен в ранних версиях операционных систем Microsoft.

PIF-файлы могут содержать скрипты исполняемых файлов (ЕХЕ, СОМ, ВАТ), которые будут автоматически выполнять вредоносные действия при запуске. Именно эту особенность и эксплуатируют злоумышленники.

124986

Киберпреступники рассылают письма с вложенным PIF-файлом, замаскированным под документ Word. После его запуска программа обращается к удалённому серверу и устанавливает на ПК жертвы другое вредоносное ПО, которое, в свою очередь, выполняет шифрование файлов и выводит на экран требования на русском языке. Очевидно, что цель преступников — получение выкупа за расшифровку данных.

Любопытно, что злоумышленники используют инфраструктуру в странах Латинской Америки. Но нацелена кибератака именно на российских ПК-пользователей. http://www.3dnews.ru/919629

Slava, и как с такими вещами бороться? просто не открывать вложения от неизвестных личностей?

Да, аккуратнее с файлами из вне...включите в ос показ расширений файлов, отключите автоматическое чтение писем и картинок от всех кого не попадя, если таковые включены. Не открывайте и не запускайте, того чего не знаете.

Сегодня пришло смс на телефон, содержание чтото типа того: ув. Евгений, я на счет обмена по объявлению и ссылка с на сайт http://mms-7.com/mms, номер который отправил вообще дикий набор цифр порядочной длины. Переходить по ссылке с телефона не стал, зашел с компа и KIS мгновенно отреагировал вирусным файлом IMG_1782.apk и сослался на вирус heur trojan-sms.androidOS

Это что новый вид разводилова? перейдя по ссылке с телефона яб мог лишится средств на нем и еще хуже на привязанной к номеру банковской карте? Телефон у меня не на андроиде, iOS7 не прокатила бы фишка?

Важно для Android! Уязвимость в баннерной сети Google, затронувшая множество сайтов. в рекламной сети Google AdSense обнаружена уязвимость, из-за которой пользователю не показывается баннер, а сразу загружается зловредный модуль last-browser-update.apk, который пытается заразить устройства, работающие под управлением систем Android (т.е. проблема не затрагивает, например, системы Windows). Загрузка происходит автоматически, без каких-либо запросов и предупреждений. В системном трее лишь появляется сообщение, которое предлагает открыть файл, причём у некоторых пользователей, по отзывам, он даже и запускается автоматически.

Подробнее: https://www.overclockers.ru/softnews/78229/vazhno-uyazvimost-v-bannernoj-seti-google-zatronuvshaya-mnozhestvo-sajtov-my-tozhe-postradali.htmlОтключите установку прог из Неизвестных источников и просканируйте свои Andriod'ы антивирусом ESET, Dr.WEB, Антивирусом Касперского.