Вирусы, трояны, руткиты

[Kletska]

AV-Comparatives является авторитетной организацией? Просто судя по таблице антивирь G DATA вообще выиграл "соревнование", хотя, как мне кажется, о нём обычный пользователь и не слышал ни разу.

Оффтоп

Оффтоп

Или у них пиар-менеджеры все ушли в Лабораторию Касперского

[karrell]

Такая проблема: после загрузки пк тёмный экран с просьбой положить "немного" денег на такой то мобильный номер, при отказе полная потеря данных и бла-бла-бла и т.д, 99,9% что вирюга, как победить зверя ? желательно без переустановки ОС......

[a2z]

karrell, на какой номер и какой текст требуют отправить?

[karrell]

положить 400р. на номер 8905........., номера не помню, внизу чека будет код, который необходимо ввести, это у знакомого попросил помочь...........

[a2z]

karrell, ну так не помочь, когда будет известен номер, попробуй пробить его по этим (1, 2, 3) адресам.

[camarik]

karrell, Есть прога ransomhide

[Slava]

Самые страшные вирусы Интернета

Цитата: "Лаборатория Касперского" опубликовала рейтинги вредоносных программ, обнаруженных и заблокированных в августе 2010 года. Эксплойты и черви, использующие уязвимости Windows, оказались как в рейтинге программ, наиболее часто обнаруживаемых на компьютерах пользователей, так и в рейтинге веб-угроз. В первую очередь, в августе наблюдался значительный рост эксплуатации уязвимости CVE-2010-2568. Первый раз эта уязвимость была использована нашумевшим в конце июля сетевым червем Worm.Win32.Stuxnet, следом ей воспользовался троянец-дроппер, устанавливающий на зараженный компьютер последнюю модификацию известного вируса Sality – Virus.Win32.Sality.ag. Как и ожидалось, злоумышленники сразу же "взяли в оборот" новую дыру в наиболее популярной в настоящее время версии ОС Microsoft Windows. Но уже второго августа Microsoft был выпущен патч MS10-046, закрывающий уязвимость. Это обновление идет с пометкой "Critical", что означает обязательную установку всем пользователям системы. Уязвимость CVE-2010-2568 заключается в ошибке при обработке ярлыков (.lnk и .pif файлов). Заражение происходит, когда пользователь открывает USB-накопитель с помощью функции автозапуска, либо при открытии диска непосредственно в Проводнике Windows или аналогичном менеджере файлов. Специально сформированный ярлык заставляет Windows Shell подгрузить внешнюю динамическую библиотеку, которая выполняет произвольный код с привилегиями пользователя, запустившего Проводник. В рейтинг программ, заблокированных на компьютерах пользователей, попали сразу три зловреда, так или иначе связанные с CVE-2010-2568. Два из них эксплойты Exploit.Win32.CVE-2010-2568.d (9-е место) и Exploit.Win32.CVE-2010-2568.b (12-е место), непосредственно эксплуатирующие уязвимость. Третий, Trojan-Dropper.Win32.Sality.r (17-е место), использует эту уязвимость для своего распространения. Он генерирует уязвимые LNK-ярлыки с названиями, привлекательными для пользователей, и распространяет их по локальной сети. Когда пользователь открывает папку, содержащую такой ярлык, происходит запуск зловреда. Оба эксплойта к уязвимости CVE-2010-2568, попавшие в Топ-20, чаще всего детектируются на компьютерах пользователей в России, Индии и Бразилии. Географическое распределение Trojan-Dropper.Win32.Sality.r аналогично распределению эксплойтов. Интересно, что Индия также является основным источником распространения червя Stuxnet.

http://news.ferra.ru/soft/2010/09/07/102809/

[Slava]

"Лаборатория Касперского" разоблачила самое распространенное вредоносное ПО

Цитата: Лаборатория Касперского" представила отчет о вредоносных программах за сентябрь текущего года. По словам компании, в сентябре активно распространялся вирус Sality в новой модификации Sality.bh, он попал сразу на 11 место в двадцатке. Эта вредоносная программа распространяется, используя дроппер Trojan-Dropper.Win32.Sality.cx, через уязвимость ОС Windows в LNK файлах (ярлыки). Ее же использовал для заражения компьютеров известный червь Stuxnet. Кроме того, как сообщает "Лаборатория Касперского", в сентябре количеств эксплойтов, вошедших в Top 20, равно числу рекламных программ (adware). В двадцатку самых распространенных вредоносных программ за прошлый месяц вошло семь программ такого типа. AdWare.Win32 не вредят компьютеру в большой степени, однако, могут затормозить работу системы. Работает такое ПО, чрезмерно привлекая внимание пользователя к рекламным баннерам в обычных приложениях, что, конечно, мешает нормальной работе на ПК. А из web заражений эксперты отметили Exploit.SWF.Agent.du. Он впервые вошел в рейтинг и интересен тем, что представляет собой уязвимый Flash файл, что используется достаточно редко. Источник: Лаборатория Касперского

http://news.ferra.ru/hard/2010/10/05/103726/

[Slava]

Политика и мошенничество: вирусные события сентября 2010 года

Цитата: Средства массовой информации в сентябре были переполнены сообщениями о начавшейся кибервойне, связанной с распространением вредоносной программы Trojan.Stuxnet, и предположениями о целях создателей данного троянца. Тем временем интернет-мошенники тестировали нестандартные приемы вымогания денег, владельцы бот-сетей использовали беспечность сетевых системных администраторов, а авторы вредоносных программ для Android наносили «точечные удары». Trojan.Stuxnet и политика В сентябре СМИ пестрели новостями о троянце Trojan.Stuxnet, появление которого получило широкую огласку в связи с географией распространения. Публикации эти зачастую носили политический характер: распространение Trojan.Stuxnet связывалось с саботажем запуска иранской атомной электростанции, на фоне чего технические новинки вирусописателей, примененные при создании троянца, отошли на второй план. В последних числах сентября появилась информация о том, что данный троянец получил широкое распространение в Китае и направлен против китайских предприятий. Некоторые эксперты пытаются выявить цели авторов программы с помощью лингвистического анализа надписей, обнаруженных в коде троянца. Trojan.Stuxnet действительно является достаточно технологичной современной вредоносной программой. Для ее распространения использовалось несколько неизвестных ранее уязвимостей Windows. Несмотря на политику, для специалистов компании «Доктор Веб» этот троянец — не более чем еще одна вредоносная программа, от которой необходимо защитить пользователей антивируса Dr.Web. В настоящее время распространяются и другие, не менее технологичные вирусы, например, 64-битная модификация руткита Trojan.Tdss (известен также как TDL), над организацией лечения которых также ведется кропотливая работа. Интернет-мошенничество В сентябре увеличилось количество запросов в техподдержку компании «Доктор Веб» по вопросам разблокировки компьютера, а также доступа к сайтам и популярному ПО. Если в августе таких обращений было в среднем 107 в сутки, то в сентябре эта планка поднялась до 124 обращений. В то же время блокировщики Windows продолжают вытесняться другим мошенническим ПО. В частности, в сентябре появилось несколько троянцев, использующих новые методы перенаправления страниц в браузерах. Появились троянцы, блокирующие возможность работы в интернет-мессенджерах. Из каналов монетизации преступных доходов интернет-мошенников преобладала отправка денег на счет мобильного телефона злоумышленника (около 25%) и отправка платных СМС-сообщений (около 70%), из которых примерно в 80% случаев требовалась отправка платного СМС-сообщения на номер 6681. Компания «Доктор Веб», как и ранее, предлагает бесплатную поддержку пользователям, пострадавшим от интернет-мошенничества. Перенаправление страниц За прошедший месяц злоумышленники применили сразу два новых метода, позволяющих подменять страницы в интернет-браузерах пользователей. Как и всегда в таких случаях, не обошлось без внесения дополнительных записей в системный файл hosts, но при этом были использованы новые технологии. Trojan.Hosts.1581 подменял страницы сайтов нескольких российских банков таким образом, что вводимые на вредоносных сайтах параметры удаленного доступа к банковским счетам отправлялись злоумышленникам. Было обнаружено, что данная модификация Trojan.Hosts обладает руткит-составляющей, позволяющей троянцу фильтровать файловые операции и операции с системным реестром. Троянцы семейства Trojan.HttpBlock применили другую тактику. На заражаемом компьютере эта вредоносная программа устанавливает собственный веб-сервер, именно на него и происходит перенаправление с популярных сайтов, в частности с поисковых систем. Целью злоумышленников было вымогание денег за разблокировку доступа к ним. Блокировщик мессенджеров В конце сентября началось распространение троянца Trojan.IMLock, который после заражения системы блокирует запуск популярных интернет-мессенджеров ICQ, QIP и Skype, выводя при этом сообщение, оформленное в стиле заблокированного ПО. В этом сообщении говорится о том, что для доступа к своему аккаунту пользователь должен отправить платное СМС-сообщение на номер 6681. Для лечения достаточно провести проверку системы сканером Dr.Web. Новые тенденции в бот-сетях В конце сентября специалисты компании «Доктор Веб» обнаружили бот-сеть, состоящую из компьютеров, на которых установлена и работает серверная часть ПО Radmin. Это ПО широко используется для удаленного управления компьютерами. Вредоносная программа, которая заражает компьютеры и подключает их к бот-сети, по классификации Dr.Web получила наименование Win32.HLLW.RAhack. Заражение происходило лишь на тех компьютерах, на которых административный пароль для доступа к Radmin оказывался в списке известных червю паролей. Оказалось, что простые пароли используют многие администраторы. Если говорить о возможных тенденциях октября 2010 года, то в этом месяце вполне можно ждать новые типы вредоносных программ, которые подменяют страницы при просмотре некоторых сайтов в браузере, а также позволяют осуществлять новые схемы интернет-мошенничества. Это две наиболее доходные статьи незаконного заработка киберпреступников в последнее время. Владельцы бот-сетей, которые часто являются транспортом для распространения вредоносных программ, будут и далее пытаться создать их на основе нестандартных программных либо аппаратных решений, т.к. в этом случае достигается главная цель – пользователь часто не подозревает о том, что компьютер заражен.

http://news.drweb.com/show/?i=1303&lng=ru&c=5

[Slava]

Американский сайт Касперского стал жертвой хакеров

Цитата: Специалисты по борьбе с кибер-криминалом во всем мире ежедневно разрабатывают все новые меры в ответ на возникающие угрозы. По статистике, каждый час на свет появляется несколько новых вирусов и других представителей вредоносного ПО, способных нанести реальный вред компьютерам пользователей. Одним из лидеров в разработке антивирусного программного обеспечения по праву считается Россия, где, в частности, находится штаб-квартира знаменитой "Лаборатории Касперского". Однако, как гласит известное присловье, и на старуху бывает проруха. Не так давно хакеры весьма успешно атаковали американский сайт "Лаборатории Касперского" (usa.kaspersky.com), в результате чего данный портал из борца с компьютерными мошенниками на какое-то время фактически превратился в их союзника. Одним словом, в точности по фразе из популярной кинокомедии: “Кто нам мешает, тот нам поможет”. В течение трех с лишним часов посетители данного ресурса перенаправлялись на один из мошеннических сайтов, где им предлагалось поставить поддельный антивирус для защиты от якобы обнаруженных на компьютере вредоносных программ-троянов. Позднее "Лаборатория Касперского" признала факт использования хакерами своего американского портала и заявила о проведении проверки по этому поводу, а также пообещала оказать помощь пользователям, попавшимся на уловку кибер-преступников.

http://news.ferra.ru/hard/2010/10/20/104246/

[zloy_kaktus]

хочу в оправдания каперсового сказать, что такого эффекта можно добиться если взломать один из маршрутизаторов до официального сайта. Чем ближе маршрутизатор до самого сайта, тем масштабные эффект перебрасывания.

[Slava]

Доктор Веб: банковский троян атакует счета юридических лиц

Цитата: Компания «Доктор Веб» сообщила о широком распространении троянца Trojan.PWS.Multi.201, предназначенного для кражи параметров доступа к аккаунтам дистанционного банковского обслуживания (ДБО), принадлежащим юридическим лицам. Для достижения этой цели вредоносная программа использует особенности популярных систем интернет-банкинга. Специалисты компании «Доктор Веб» подробно исследовали функционал Trojan.PWS.Multi.201 — он оказался достаточно многообразен. Во-первых, злоумышленники могут управлять зараженными компьютерами, давая команду скачать с вредоносного сайта и запустить какое-либо дополнительное ПО или обновленную версию троянца. Во-вторых, вредоносная программа имеет возможность уничтожения загрузочной области и таблицы разделов жесткого диска компьютера. По-видимому, это делается для того, чтобы запутать следы после того, как злоумышленникам будут отправлены параметры удаленного доступа к банковскому счету жертвы. При этом все действия — от установки в систему до отправки паролей — троянец производит в скрытом режиме, никак не обнаруживая свое присутствие в зараженной системе. В частности, во время проведения операции в системе интернет-банкинга Trojan.PWS.Multi.201 выявляет окна, заголовок которых содержит буквосочетание «КриптоПро», и имеет возможность отправить введенные в форму данные третьим лицам. Эта возможность ставит под вопрос безопасность использования многих систем ДБО российских банков. Плюс ко всему вредоносная программа имеет возможность считывать и отправлять злоумышленникам информацию, которая вводится с помощью некоторых популярных «виртуальных клавиатур», которые создаются и используются как раз для того, чтобы программы-шпионы не смогли получить и передать злоумышленникам приватные данные. Распространяется Trojan.PWS.Multi.201 с начала октября 2010 года. С этого момента сервер статистики компании «Доктор Веб» ежедневно фиксирует несколько сотен детектов этой вредоносной программы. Такие относительно небольшие, но достаточно стабильные цифры объясняются тем, что целевая аудитория программы достаточно узка. Ответственность за сохранность денежных средств банки несут только в пределах своих офисов, не распространяя ее на компьютеры клиентов, которые могут заразиться вирусом. За соблюдением достаточного уровня информационной безопасности своих компьютеров обязаны следить клиенты. Таким образом, за возможную утечку параметров доступа к банковским счетам отвечают сами пользователи интернет-банкинга. Компания «Доктор Веб» призывает пользователей интернет-банкинга к осторожности. Во-первых, не рекомендуется проводить удаленные операции со счетами, на которых находятся большие суммы денег. Во-вторых, на компьютере должны быть установлены актуальные обновления безопасности для операционной системы и для другого ПО, а также полнофункциональный и своевременно обновляющийся антивирус. Источник: Доктор Веб

http://news.ferra.ru/hard/2010/11/02/104736/

[Slava]

"Лаборатория Касперского": самые страшные вирусы за октябрь

Цитата: "Лаборатория Касперского" составила очередные рейтинги вредоносных программ - за октябрь. Она отмечает, что месяц, в целом, прошел довольно спокойно, хотя есть и ряд интересных событий. К примеру, в начале октября был обнаружен вирус Virus.Win32.Murofet, которым были заражены многие PE-файлы. Он генерирует ссылки с помощью специального алгоритма, который основывается на текущих времени и дате на инфицированном компьютере. На основе этих данных он генерирует два двойных слова, считает на их основе md5, добавляет одну из возможных доменных зон - .biz, .org, .com, .net, .info, затем добавляет в конце строки "/forum" и использует получившуюся ссылку. По словам экспертов, этот вирус не заражает другие исполняемые файлы и связан с троянской программой Zeus. Кроме того, за прошлый месяц выросла популярность поддельных архивов - Hoax.Win32.ArchSMS. Это вредоносное ПО действует следующим образом: пользователю предлагается отправить SMS на премиум-номер для получения содержимого архива. Но после отправки он получит только ссылку на торрент-трекер, а деньги за SMS окажутся утеряны. Это относительно новый вид мошенничества, отмечает "Лаборатория Касперского". Из других событий октября аналитики отметили рекорд Microsoft по количеству патчей, выпущенных за месяц - 16 бюллетеней по безопасности, закрывающих 49 различных уязвимостей. Это говорит о неослабевающем интересе киберпреступников к программным продуктам Microsoft. Что до традиционных таблиц вредоносного ПО, обнаруженного на компьютерах и во Всемирной Паутине, то они с прошлого раза практически не изменились. На компьютерах лидируют Kido, Sality, Virut, CVE-2010-2568, а в сети - эксплойты на CVE-2010-0806 и рекламные программы FunWeb. Так, первое место в двадцатке вредоносных программ, обнаруженных на web страницах, занял скрипт из семейства FakeUpdate - Trojan.JS.FakeUpdate.bp. Он угрожает любителям побродить по порно-сайтам.

http://news.ferra.ru/hard/2010/11/05/104828/

[Slava]

Вирусы снова научились удалять антивирусы

Цитата: Компания «Доктор Веб» сообщила о выявлении нового метода противодействия работе антивирусов. Несмотря на то что несколько лет назад большинство антивирусных вендоров включили в состав своих продуктов модули самозащиты, авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы. Один из таких методов реализован в троянце Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети «В Контакте». Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, который определяется антивирусом Dr.Web как Trojan.VkBase.1. После запуска этого файла открывается окно Проводника Windows, в котором якобы отображена обещанная на сайте информация. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса. После того как поиск завершен, производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. При этом в арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов. Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта. Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались. После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут. После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. В области уведомлений Windows отображается значок, идентичный тому антивирусу, который работал в системе ранее до его удаления. При щелчке по этому значку отображается окно, похожее на окно интерфейса удалённого антивируса, с сообщением о том, что компьютер якобы по-прежнему находится под защитой. При щелчке по картинке она закрывается. Таким образом, для неподготовленных пользователей создаётся иллюзия, что антивирусная защита системы продолжает работать в штатном режиме. В настоящее время пользователи всех антивирусных продуктов Dr.Web для Windows защищены от Trojan.VkBase.1 и других вредоносных программ, которые могут использовать подобные схемы противодействия антивирусам.

http://news.drweb.com/show/?i=1406&c=5&lng=ru&p=0

[Slava]

Вредоносное ПО маскируется под обновление Java

Цитата: Сотрудник компании BitDefender Лоредана Ботезату (Loredana Botezatu) сообщила, что особенно опасная модификация троянского приложения, содержащая возможность проведения DDoS атак, была обнаружена под видом обычного Java обновления. В настоящее время вирус присутствует как на легальных, так и на пиратских web-ресурсах. Вирусная программа использует множество методов инфицирования и самораспространения. Троян может распространяться через USB-диски, локальные сети, P2P-сети, MSN и даже может рассылать себя по электронной почте, если на компьютере установлен Outlook Express. Стоит отметить, что при заражении системы вирус удаляет прочие конкурирующие вирусные программы, если они также присутствуют на системе (Cerberus, Blackshades, CyberGate и OrgeneraL DDoS Bot Cryptosuite). Также троян добавляет себя в список разрешенных приложений в брандмауэре Windows, чтобы не вызвать подозрений, и пытается скрыть предупреждения антивируса если он установлен. Связь между бот сетью и ее владельцами выполняется с помощью личных сообщений. Владелец бот сети может определить задачи для вредоносного ПО с помощью инструкций, в которых указаны время, интенсивность и цель (URL адрес) атаки.

http://www.securitylab.ru/news/406412.php

[Slava]

За четыре месяца было создано 49 бот-нетов при помощи одного трояна

Цитата: Специалисты по безопасности компании «Доктор Веб» сообщили, что за последних четыре месяца им удалось зафиксировать 49 бот-нетов, созданных на основе трояна BackDoor.DarkNess. По утверждению специалистов, около десяти из них в настоящее время продолжают действовать, и компания продолжает наблюдение за ними. В «Доктор Веб» уточняют, что в данный период бот сетям было передано 329 команд, большинство из которых содержали инструкции на проведение DDoS-атак. По мнению специалистов, все указывает на то, что публикация BackDoor.DarkNess в свободном доступе привела к тому, что немалое количество бот-сетей в настоящее время принадлежит не очень опытным злоумышленникам. В «Доктор Веб» отмечают случаи, когда бот-сеть получала команду атаковать свой собственный командный центр или просто сообщения, не являющиеся командой и похоже ошибочно написанные «не в то окно». Как показывает статистика, вирусная лаборатория «Доктор Веб» фиксирует около 30 новых модификаций BackDoor.DarkNess в месяц. И вряд ли эта активность пойдет на спад в ближайшее время. Многие специалисты считают, что виной тому постоянно развивающийся черный рынок вредоносного ПО, который уже стал отдельной сферой теневого бизнеса.

http://www.securitylab.ru/news/406681.php

[Slava]

Доктор Веб: обнаружен троян, атакующий пользователей Counter-Strike

Цитата: Компания Доктор Веб сообщает об обнаружении новой схемы заражения компьютеров пользователей вредоносным ПО. На этот раз целью злоумышленников стали любители популярной игры Counter-Strike 1.6: в момент подключения пользователей к одному из игровых серверов на их ПК начинают загружаться файлы со скрытыми в них троянскими программами. Обычно при соединении с сервером Counter-Strike программа-клиент скачивает с удаленного узла компоненты, отсутствующие на клиентской машине, но используемые в игре. В данном же случае на экране компьютера пользователя открывается стандартное окно браузера, предлагающее скачать два исполняемых файла: svhost.exe и bot2.exe, а также файл с именем admin.cmd (в начале этого года данный файл раздавался под именем Counter-Strike.cmd). Следует отметить, что такое поведение нестандартно для программного обеспечения игры Counter-Strike. В ходе проведенного аналитиками компании «Доктор Веб» расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (некоторое время назад этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие самостоятельно скачали и установили его на свой ПК). Технология «раздачи» троянца была весьма интересной: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялся редирект на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы файл admin.cmd, содержащий троянца Win32.HLLW.HLProxy. Основное назначение троянца заключается в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на настоящий игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy. Таким образом, количество зараженных компьютеров росло в геометрической прогрессии. Пример работы троянца показан на следующей иллюстрации, демонстрирующей несколько игровых серверов, якобы запущенных на инфицированной машине с одним IP-адресом. Помимо этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и серверы VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Можно предположить, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на «неугодные» игровые серверы. В настоящее время, помимо собственно троянца, подключавшимся к серверу игрокам раздаются дополнительные «подарки». Так, проведенный специалистами «Доктор Веб» анализ выявленных угроз показал, что в файле svhost.exe скрывается троянец-кликер Trojan.Click1.55929, накручивающий показатели посещаемости сайта w-12.ru и связанный с партнерской программой http://tak.ru . Попав на инфицированный компьютер, троянец создает свою копию с именем SVH0ST.EXE в папке C:\Program Files\Common Files, запускается на исполнение и начинает использовать заложенный в него разработчиками функционал. В файле bot2.exe «прячется» уже хорошо известный Trojan.Mayachok.1, о котором мы подробно писали в одной из предыдущих публикаций. В настоящее время сигнатуры этих угроз добавлены в вирусные базы Dr.Web. Любителям игры Counter-Strike мы рекомендуем проявлять внимательность: не следует соглашаться с предложением операционной системы о загрузке и установке на компьютер каких-либо исполняемых файлов.

http://www.securitylab.ru/news/406677.php

[Slava]

Необычный троян-шифровальщик притворяется другим зловредом

Цитата: «Лаборатория Касперского» предупреждает о появлении вредоносной программы TeslaCrypt 2.0 — новой версии трояна-шифровальщика, жертвами которого становятся преимущественно любители компьютерных игр. Первые образцы TeslaCrypt были обнаружены в феврале 2015 года, и с тех пор шифровальщик претерпел несколько изменений. Отличительной особенностью этого зловреда является то, что он заражает типичные игровые файлы, например, файлы сохранений, пользовательских профилей, записанных повторов игр и т. д. За ключ для декодирования данных вымогатели требуют 500 долларов США. Троян TeslaCrypt 2.0 запрашивает выкуп путём демонстрации своим жертвам HTML-страницы, полностью скопированной у другого широко известного вымогателя — CryptoWall 3.0. Зачем это сделано, не совсем ясно. Возможно, злоумышленники хотели таким образом продемонстрировать серьёзность своих намерений, ведь до сих пор файлы, зашифрованные CryptoWall, не поддаются расшифровке. Новая версия TeslaCrypt отличается от предшественников существенно улучшенной криптографической схемой, из-за которой в данный момент расшифровать затронутые файлы не представляется возможным. При каждом заражении TeslaCrypt генерирует новый уникальный адрес Bitcoin и секретный ключ для приёма платежей от конкретного пострадавшего. TeslaCrypt поражает как обычные носители, подключенные к системе, так и все доступные сетевые файловые ресурсы, даже если они не смонтированы в качестве отдельного диска. В основном от вымогательств этой программы пострадали пользователи в США и Германии, однако угроза не обошла стороной и Россию, которая оказалась в первой десятке стран с наибольшим количеством заражений. Более подробно о трояне можно узнать здесь.

http://www.3dnews.ru/917098

[Slava]

Новый шифратор угрожает российским ПК-пользователям

Цитата: Компания ESET предупреждает о новой кибератаке, нацеленной на российских пользователей персональных компьютеров под управлением операционных систем Windows. eset1.jpg Сообщается, что злоумышленники распространяют вредоносную программу-шифратор с помощью файлов с расширением PIF (Program Information File). Такие файлы обычно содержат техническую информацию о настройке приложений MS-DOS в среде Windows (свойства окна, объём доступной памяти, приоритетность процесса и другие данные). Названный формат был популярен в ранних версиях операционных систем Microsoft. PIF-файлы могут содержать скрипты исполняемых файлов (ЕХЕ, СОМ, ВАТ), которые будут автоматически выполнять вредоносные действия при запуске. Именно эту особенность и эксплуатируют злоумышленники. eset2.jpg Киберпреступники рассылают письма с вложенным PIF-файлом, замаскированным под документ Word. После его запуска программа обращается к удалённому серверу и устанавливает на ПК жертвы другое вредоносное ПО, которое, в свою очередь, выполняет шифрование файлов и выводит на экран требования на русском языке. Очевидно, что цель преступников — получение выкупа за расшифровку данных. Любопытно, что злоумышленники используют инфраструктуру в странах Латинской Америки. Но нацелена кибератака именно на российских ПК-пользователей.

http://www.3dnews.ru/919629

[DeaD]

Slava, и как с такими вещами бороться? просто не открывать вложения от неизвестных личностей?