Вирусы, трояны, руткиты

[a2z]

Новый троян устанавливает на компьютер антивирус

Компании, специализирующиеся на вопросах компьютерной безопасности, предупреждают о появлении новой вредоносной программы, получившей название SpamThru. Троян SpamThru используется злоумышленниками с целью организации массовых рассылок по электронной почте. При этом вредоносная программа имеет несколько характерных особенностей. После проникновения на ПК и активации SpamThru загружает из интернета пиратскую копию антивируса Касперского, который затем используется для поиска в системе конкурирующих вирусов и троянов. Обнаруженные файлы затем уничтожаются.

Другая особенность SpamThru заключается в использовании специального протокола Р2Р для обмена информацией между инфицированными узлами и центральным сервером, сообщает eWeek. В случае если управляющий сервер по каким-либо причинам будет отключен от сети, злоумышленники могут быстро установить новый. Вредоносная программа SpamThru способна поражать компьютеры, работающие под управлением операционных систем Windows.

Ведущие антивирусные компании уже добавили процедуры защиты от этой программы в базы данных своих продуктов.

http://www.sophos.com/virusinfo/anal...spamthrub.html

[a2z]

Новый вирус для платформы Win64

Вчера «Лаборатория Касперского» обнаружила новый вирус для платформы Win64 — Virus.Win64.Abul.a. Это уже третий 64-битный вирус. До этого были обнаружены Virus.Win64.Rugrat.a и Virus.Win64.Shruggle.a. Несмотря на то, что Abul.a написан на чистом C, он имеет компактный размер в 3700 байт.

Он использует функции операционной системы для компрессии части файла, вследствие чего не изменяет размер заражаемых файлов. В Abul.a применены классические методы, характерные для вирусов, работающих на Win32-платформе. Вирус внедряется в памяти в процессы CSRSS.EXE и Winlogon.exe и пытается рекурсивно заразить все исполняемые файлы на диске С:. Вирус не заражает файлы, у которых не удаётся сжать секцию кода так, чтобы дописать в неё свой код.

На примере Abul.a видно, что механизмы создания вредоносных программ для новых платформ и их алгоритмы остались практически неизменны. По-видимому, на новой Win64-платформе мы увидим не только действительно новые техники и методы, но и все «зарекомендовавшие» себя в прошлом подходы и типы вредоносных программ.

http://www.kaspersky.ru

[zloy_kaktus]

Кто-нибудь пробовал создавать вирусы трояны..? (Конечно для испытание защиты и понимания принципа их работы...)
Предлагаю выкладывать свои творения... с описанием и закладками...

[NOboDy]

А что там испытывать?
Никакая защита на сегодня не способна на 100% отловить новый вирус.
Более того, я почти любой старый за 10 минут изменю так, что ни один
антивирус не узнает.

[zloy_kaktus]

думаешь ты один такой..) просто хочу узнать какие есть варианты...и как их избежать...

[a2z]

Хакеры "насолили" антивирусным компаниям

Антивирусные компании столкнулись с новой проблемой: хакеры встраивают в вирусы защиту от работы в среде виртуальных машин, используемых для безопасного анализа вредоносного кода. Такие "поумневшие" вирусы ищут процессы или оборудование, специфичные для виртуальной машины, и отказываются "работать" – заражать компьютер и рассылать себя по Сети.

Как сообщил аналитик Ленни Зельцер (Lenny Zeltser) из центра Internet Storm (ISC) при институте SANS, 3 из 12-ти вирусов, пойманных недавно с помощью компьютеров-ловушек, отказались запуститься в VMware. Исследователи запускают пойманный вредоносный код на виртуальных машинах, чтобы, во-первых, избежать заражения системы при анализе и, во-вторых, протестировать работу этого кода и эффективность его удаления под разными версиями операционных систем на одном компьютере. Теперь же, по словам Зельцера, для полноценного анализа червя или троянца специалистам приходится искать и затирать код, отключающий работу в виртуальных машинах, что удлиняет время, необходимое для анализа. Возможно и более универсальное решение – модификация кода виртуальной машины так, чтобы вирусы не могли находить характерные для нее признаки.

http://www.cnews.ru

Умнеют не только антивири

[a2z]

Страница "Википедии" использовалась для распространения вируса

Хакеры использовали популярную сетевую энциклопедию Wikipedia для распространения вредоносного кода.

Злоумышленники создали статью в немецкой версии энциклопедии, в которой разместили ссылку на якобы утилиту для лечения ПК от новой версии червя Blaster. Однако на самом деле нажатие на ссылку приводило к заражению ПК вирусом семейства Troj/Nordex-A. После создания страницы хакеры стали рассылать спамерские сообщения пользователям в Германии как будто бы от имени Wikipedia, предлагая ознакомиться с информацией в Wikipedia о "новом черве". В настоящее время администрация Wikipedia подтвердила, что полностью уничтожила архивную версию страницы.

http://net.compulenta.ru

[a2z]

"Лаборатория Касперского": обзор вирусной активности за ноябрь 2006

Осень 2006 года выдалась бурной. Третий месяц подряд не только меняется лидер рейтинга, но и вся двадцатка постоянно обновляется более чем наполовину. Как и месяц назад, основными возмутителями спокойствия продолжают оставаться черви семейства Warezov.

kas11.png

На первом месте в ноябре расположился новичок – Warezov.gj. Червь был обнаружен 22 ноября и всего лишь за одну неделю стал самым распространенным вирусом в почтовом трафике с весьма солидным показателем в более чем 18%! За последний год подобные рекорды распространения в первый же месяц жизни демонстрировали единицы вредоносных программ, и все они оставались на верхних местах статистики довольно продолжительное время. Однако берусь прогнозировать, что подобное не грозит Warezov.gj. Скорее всего, в декабре он резко снизит свои показатели, уступив под натиском своих новых «собратьев».

Неожиданностью месяца стало триумфальное возвращение в двадцатку сразу на третье место старого "знакомого" – Nyxem.e. Этот червь скоро отметит своеобразный юбилей – один год с момента появления, и следует признать, что Nyxem стал одним из наиболее распространенных вирусов всего 2006 года.

Одновременно значительно улучшил свои показатели (+8 мест) его соперник – Mytob.c. Несколько месяцев мы следили за борьбой между этими червями за первую строчку вирусного хит-парада, но в октябре все было сметено ураганом Warezov.а. Ноябрьская реинкарнация их противостояния вполне может привести к тому, что в декабре эти черви вновь окажутся в пределах первой пятерки.

Не менее примечательно возвращение червя Zafi.b. Мы уже окончательно распрощались с ним, как вдруг он снова принялся досаждать пользователям, рассылая свои письма с текстами на 18-и языках. 8 место в ноябре – весьма серьезный показатель, свидетельствующий о том, что жизненный цикл этого венгерского червя еще далеко не завершен.

Лидер октября – NetSky.q - вновь начал свое движение вниз. Весьма интересно посмотреть на динамику распространения этого червя. Появившись в 2004 году, он весьма долго был в лидерах и стал самым массовым червем всего 2004 года. В 2005 году он боролся за первенство с множеством вариантов Mytob, а в 2006 году испытывал как стремительные взлеты до первого места, так и падения за пределы двадцатки. Несмотря на все это, NetSky.q продолжает оставаться одним из самых распространенных червей за всю историю интернета. Тем временем уже прошло 16 из 21 месяца условного наказания Свена Яшана - автора этого знаменитого червя.

Движение по синусоиде - то вверх, то вниз - кроме NetSky.q демонстрируют еще несколько червей. В ноябре вернулись в самую середину рейтинга еще два исторических червя – LovGate.w и Mytob.t.

Все эти примеры показывают, что в мире вредоносных программ можно выделить два класса червей. Первые из них циркулируют в трафике годами, то увеличивая свой процент (при отсутствии других эпидемий), то снижая его под натиском новичков. Вторые же быстро появляются, быстро занимают верхние строчки отчетов, но затем так же быстро пропадают, зачастую проходя этот цикл всего за пару недель.

Делая прогноз на декабрь, надо отметить, что все будет зависеть от авторов червя Warezov. Если они продолжат свою практику массированных рассылок множества вариантов, то и в следующем месяце эти черви составят не менее 30% от общего количества вредоносных программ в электронной почте. Если же создатели Warezov умерят свой пыл или будут арестованы (что менее вероятно, к сожалению), то следует ожидать повышения распространения «старых» червей – NetSky.q, Zafi,b, Mytob.c.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент 12,84 от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

http://www.kaspersky.com
http://www.ixbt.com

[a2z]

Вирус украл данные о войсках в Ираке

Цитата: На днях обнаружилась серьезная утечка данных, касающихся американских военных формирований в Ираке и Кувейте, а также анти-террористической тренировочной программе японских ВВС, учавствовавших в иракских операциях, - сообщает Mainichi. Утечка произошла в результате действия вируса, проникшего на компьютер японского военнослужащего через файлообменную программу Winny. "Не думаю, чтобы утечка была опасной для текущих операций американских военных, однако она может повредить сотрудничеству Японии с военным ведомоством США", - цитирует газета главу ВВС Японии. Сухопутные японские войска вышли из Ирака, но японские ВВС продолжают сотрудничество с США по транспортировке грузов. Как сообщает Kyodo News, это не первый случай взлома компьютеров японских военнослужащих. После ряда скандалов прошлой осенью, руководство японских ВВС заявило, что были приняты соответствующие меры для предотвращения новых инцидентов.

http://www.webplanet.ru

А если бы он до красной кнопки добрался?

[a2z]

Не мог не выложить такую новость :))

Хакеры похоронили Путина

Цитата: Специалисты испанской Ассоциации пользователей интернета (Asociacion de Internautas) , зафиксировали массированную вирусную спам-рассылку, в частности, под заголовками "Президент России Путин мертв" ("President of Russia Putin dead"), "Саддам Хусейн жив и здоров" ("Saddam Hussein safe and sound"), "Госсекретарь США Кондолиза Райс дала пинка канцлеру Германии Ангеле Меркель" ("US Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel") и "Фидель Кастро мертв" ("Fidel Castro dead"). Вложенный в сообщение файл содержит вирус-троян, уже получивший название "Ураганный червь", который нарушает нормальную работу компьютера и незаметно для пользователя открывает хакерам доступ к хранящимся там данным. Как сообщается, в Испании вирус уже поразил тысячи компьютеров.

http://www.internautas.org/html/4070.html

[брат]

уже долгое время комп кушает интересный вирус(очень веселый хотелось бы заметить)началось все с запуска одного ехешника, выскачила табличка гуд бай и винде крантец)нет доступа к реестру командной строке итд, переустановил виндоус(оставил только музыку) видимо там вирус и зашкерился. опять нет доступа к реестру(пишет мол админом заблочено,захожу под админом всеравно доступа нету)пытаюсь лечится симантиком, вроде не помогает.кажется вирус называется W32.Rontokbro.K@mm есть какиенибудь советы по избавлению от данной гадости?

[Vadim]

брат, процесс eksplorasi.exe в диспетчере задач отражается?

[брат]

отражался, но после отключения файла эмпти в автозагрузке, он не может загрузится и при старте винды выдает ошибку, мол файл не найден
ps
могу ссылку дать на сам зараженный екзеншник,но только в лс(нихочу чтьоб еще ктонибудь так попал глупо)

[Vadim]

брат, была у меня заплатка. Поищу.

[NOboDy]

брат,
Описания этой хрени:

Brontok_q
Brontok_a

Версия не твоя, но понять куда лезть можно. Регэдит из-под админа можно запустить вот этим.

Коротко:

• прибей лишние процессы.
• запусти через мою поделку регэдит.
• верни реестр к исконному виду.
• добей вирусню на винте (руками или антивирусом)

[брат]

Сообщение от NOboDy брат, Описания этой хрени: Brontok_q Brontok_a[/list]

что то не получается скачать.

[NOboDy]

Сообщение от брат что то не получается скачать.

Disk в очередной раз рулит.
Забирай :

раз
два

[брат]

NOboDy, спасибо огромное, кажется избавился от этой дряни.самое обдное что этот червь мог кому-то самоотослатся вот блин запустил ехешник с диска.

[qwr]

Что за вирус такой Win 32.Parite.b и чем опасен?

[a2z]

Сообщение от qwr Что за вирус такой Win 32.Parite.b и чем опасен?

Цитата: Вирус Virus.Win32.Parite.а состоит из "носителя", написанного на ассемблере, и собственно вирусной компоненты, написанной на Borland C++. При запуске заражённого файла первым получает управление вирусный "носитель", он записывает во временную папку вирусный компонент и вызывает процедуру заражения. Вирус ищет Win32 PE EXE файлы с расширениями .exe и .scr на логических дисках компьютера, а также в ресурсах локальной сети, и заражает их. (Привет disk.karelia.ru - прим. a2z) Вирус никак не проявляет своего присутствия в системе. Структура зараженных файлов выглядит следующим образом: Host file Virus dropper - записывает компоненту "main" во временный каталог. main - ищет и заражает файлы. Virus.Win32.Parite.b По своим функциям полностью идентичен варианту Win32.Parite.a Отличается от него лишь созданием своего ключа в системном реестре: [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\PINF]

viruslist.com