Новый «универсальный» троян получает полный контроль над компьютером
Компания «Доктор Веб» предупреждает о распространении опасной кросс-платформенной троянской программы, с использованием которой злоумышленники получают полный контроль над инфицированным компьютером, а также могут уничтожить операционную систему. Это вредоносное приложение, получившее название BackDoor.DaVinci.1, способно работать как в ОС Microsoft Windows, так и в Mac OS X. При этом в версии для Mac OS X злоумышленники впервые применили руткит-технологии для скрытия процессов и файлов троянца.
BackDoor.DaVinci.1 разработан и продается специалистами компании HackingTeam, действующей с 2003 года. Эта вредоносная программа представляет собой многокомпонентный бэкдор, включающий большое количество функциональных модулей, в том числе драйверы, использующие руткит-технологии для скрытия работы приложения в операционной системе.
Распространение BackDoor.DaVinci.1 осуществляется с использованием JAR-файла AdobeFlashPlayer.jar, подписанного недействительным цифровым сертификатом. Он выполняет проверку типа операционной системы, после чего сохраняет и запускает на компьютере жертвы зараженное приложение — в настоящее время в распоряжении аналитиков имеются образцы бэкдора для ОС Windows и платформы Mac OS X. Помимо этого, известно о реализации данной угрозы, представляющей опасность для мобильных платформ.
Вредоносная программа имеет модульную архитектуру: помимо основного компонента, выполняющего функции бэкдора, в состав BackDoor.DaVinci.1 входит зашифрованный конфигурационный файл и несколько дополнительных модулей, в частности, драйверы, реализующие руткит-технологию. Благодаря этим драйверам вредоносное приложение способно скрывать свое присутствие в операционной системе. Конфигурационный файл одинаков для всех реализаций троянца и предназначен для настройки модулей.
BackDoor.DaVinci.1 позволяет устанавливать полный контроль над инфицированным компьютером. Помимо этого, троянец сохраняет и передает злоумышленникам информацию о зараженной машине, фиксирует нажатие клавиш, способен делать снимки экрана, перехватывать сообщения электронной почты, ICQ, Skype, передавать данные с микрофона или подключенной к компьютеру видеокамеры. Кроме того, бэкдор обладает обширным функционалом по обходу антивирусных программ и персональных файерволов, благодаря чему может в течение длительного времени работать на инфицированной машине незаметно для пользователя. Интересной особенностью реализации BackDoor.DaVinci.1 для Mac OS X является то обстоятельство, что впервые в данной платформе используются руткит-технологии для скрытия файлов и процессов вредоносной программы.
Злоумышленники из HackingTeam называют свое детище «кибероружием XXI века» и продают BackDoor.DaVinci.1 в качестве инструмента для удаленного контроля и шпионажа. Троянец представляет серьезную опасность для пользователей, поскольку позволяет не просто перехватывать любую информацию на инфицированном компьютере, но также полностью контролировать зараженную машину, включая возможность уничтожения операционной системы, например, путем повреждения или удаления ее компонентов.
Сообщение отредактировал serg145 - Пятница, 27.07.2012, 12:39
Российский независимый информационно-аналитический центр Anti-Malware.ru опубликовал результаты первого сравнительного теста эргономичности популярных персональных антивирусов.
При выборе персональных антивирусов главным критерием является качество защиты, которое они должны обеспечивать. Однако, если по данному показателю результаты нескольких продуктов близки, то пользователь начинает обращать внимание на другие характеристики продуктов, такие как производительность и удобство работы с продуктом.
Существует устойчивый интерес к тому, насколько удобен тот или иной антивирус в использовании, какова его эргономичность. Поэтому целью данного теста было показать, какие персональные антивирусы наиболее удобны в работе (эргономичнее).
Тест проходил по пяти параметрам: скорость выполнения отдельных операций, количество совершаемых ошибок, скорость обучения пользователей, субъективная удовлетворенность пользователей и визуальная привлекательность интерфейса.
В тесте принимали участие следующие популярные корпоративные антивирусные продукты (актуальных версий на момент его начала):
Avast! Internet Security 7 (версия 7.0.1426). Dr.Web Security Space 7 (версия 7.0.0.10140). Eset Smart Security 5 (версия 5.2.9.12). Kaspersky Internet Security 2012 (версия 12.0.0.374). Norton Internet Security 2012 (версия 19.07.2015).
В качестве эталона, с которым сравнивались результаты протестированных антивирусов, использовался «идеальный антивирус» с эргономичностью 100%. Под ним понимается такой продукт, который выполняет все операции за минимальное время, при работе с которым не возникает ошибок, который содержит все возможные средства обучения и реализует непротиворечивую информационную модель.
В итоге лучшим по эргономике был признан Kaspersky Internet Security (86%). Следом за ним идут Eset Smart Security (81%) и Avast Internet Security (80%). Этим антивирусам присвоена награда Gold Usability Award. В свою очередь Norton Internet Security (76%) и Dr.Web Security Space (70%) получили награду Silver Usability Award.
Антивирус Касперского оказался лучшим по субъективной удовлетворенности пользователей и минимальному количеству ошибок в работе. Eset получил максимум по скорости обучения и технической эстетики, а Avast показал минимальное время работы пользователей.
Полученные результаты показывают, что все производители протестированных антивирусов уделяют серьезное внимание удобству пользовательского интерфейса. Не было выявлено серьезных провалов ни по одному показателю, единственный низкий результат по субъективной удовлетворенности оказался у Dr.Web. Эксперты склонны относить это на счет «разрыва шаблона» у пользователей, которые привыкли, что у прикладных программ в большинстве случаев работа происходит через главное окно (единый центр управления).
«Реализация данного теста потребовала год работы, большая часть из которой состояла в формулировании методологии для комплексного анализа антивирусов и создания адекватного этой задачи инструментария. Задачу во многом затрудняло то, что существующие тесты данного типа в основном основаны на самоощущении одного человека и только две исследовательских лаборатории проводят их на научных позициях. Правда, под удобством использования они понимают только скорость работы пользователей и наличие ложных срабатываний антивирусов, — отметил Михаил Картавенко, руководитель тестовой лаборатории Anti-Malware.ru. — Мы же хотели получить комплексную оценку удобства использования, которая бы учитывала разные аспекты взаимодействия пользователей с интерфейсом. И, на мой взгляд, тест эту задачу выполнил».
«Среди специалистов бытует мнение, что для персонального антивируса интерфейс в принципе не важен. Однако пользовательский опыт работы с продуктами формируется во многом под влиянием удобства их использования и визуальной привлекательности их интерфейсов. Поэтому мы решились на публичное комплексное тестирование удобства антивирусов и сделали это первыми в индустрии. Именно интерфейс, его эргономичность, в значительной степени формируют субъективное впечатление о продукте и влияют на удовлетворенность пользователя, — комментирует Илья Шабанов, управляющий партнер Anti-Malware.ru. — Субъективная, эмоциональная составляющие очень часто оказываются ключевыми в оценке продукта. В негативных случаях это может стать причиной отказа от использования антивируса, несмотря на его качественную работу по защите компьютера. Результаты нашего теста наглядно демонстрируют, какие интерфейсы антивирусов привлекательны и удобны для пользователей, а какие их скорее разочаровывают».
Сообщение отредактировал serg145 - Пятница, 27.07.2012, 12:39
«Доктор Веб» обнаружил новый кросс-платформенный троян
Вирус способен уничтожить операционную систему компьютера на базе Windows и Mac OS X.
Новый кросс-платформенный троян BackDoor.DaVinci.1 был обнаружен экспертами по информационной безопасности из антивирусной компании «Доктор Веб». По данным исследователей, вирус способен скомпрометировать и взять под свой контроль компьютеры на базе операционных систем Windows и Mac OS X. Более того, троян содержит функцию уничтожения операционной системы.
Образец вируса, распространяемый под видом JAR-файла AdobeFlashPlayer.jar, был получен исследователями 23 июля. Как выяснилось в результате анализа, попав на систему, вредоносный файл выполняет проверку типа операционной системы, после чего сохраняет и запускает на компьютере жертвы определенную реализацию трояна.
«В настоящее время в распоряжении аналитиков компании «Доктор Веб» имеются образцы бэкдора для ОС Windows и платформы Mac OS X. Помимо этого, известно о реализации данной угрозы, представляющей опасность для мобильных платформ», - отмечают эксперты.
BackDoor.DaVinci.1 может сохранять и передавать злоумышленникам информацию о зараженной машине, фиксировать нажатие клавиш, делать снимки экрана, перехватывать сообщения электронной почты, ICQ, Skype, передавать данные с микрофона или подключенной к компьютеру видеокамеры.
Характерной особенностью вируса является то, что в версии вредоноса для Mac OS X злоумышленники использовали руткит-технологии для скрытия файлов и процессов вредоносной программы. Данное обстоятельство, по словам экспертов «Доктор Веб», делает троян уникальным, поскольку ранее в данной платформе не встречалось.
Стоит отметить, что вирус с аналогичной особенностью недавно обнаружили специалисты из компании Intego. Обнаруженная ими троянская программа Crisis также устанавливает на систему руткит-компонент, и невозможно определить, в какой именно угрозе руткит-составляющая была реализован впервые.
«Лаборатория Касперского»: Вирус Mahdi возвращается
Эксперты обнаружили новую версию вредоносной программы, в которой создатели разработали ряд новых функций. ./madi-check http///72.55.X.X/Sendfilejj.html HTTP/1.1 200 OK Content-Length: 1361 Content-Type: text/html Last-Modified: Wed, 27 Jul 2011 01:11:21 GMT Server: Microsoft-IIS/7.5 X-Powered-By: ASP.NET
Как отмечает эксперт «Лаборатории Касперского» Николя Брюле (Nicolas Brulez), 24 июля текущего года исследователи обнаружили новую версию вредоносной программы Mahdi, об обезвреживании серверов которой сообщали на прошлой неделе.
Обнаруженная версия вируса получила ряд дополнительных функций. Теперь вредоносная программа может наблюдать за пользователями социальной сети «ВКонтакте», а также устанавливать слежку за жертвами, используя ключевые слова поисковых запросов. Вирус отслеживает все запросы со словами «USA», «gov», «gmail», «hotmail», «skype», «yahoo! mail», «share», «outlook» и др. В случае, если вредоносная программа обнаруживает соответствующий поисковый запрос, она делает снимок монитора компьютера жертвы и сразу же отправляет его на командный сервер. Исследователь считает, что возможность немедленной отправки украденной информации, а не хранение данных до момента получения инструкций сервера, является основной и самой опасной особенностью новой версии вируса.
Кроме того, новая версия вируса создает мьютекс под названием «miMutexCopy Mohammad Etedali «www.irandelphi.ir», и записывает файл под названием «datikal.dll». Далее программа проверяет систему на наличие клавиатурного шпиона, код которого является идентичным коду в предыдущей версии вируса.
По словам Брюле, новая версия Mahdi очень напоминает атаковавший иранские компьютерные системы Flame.
Новые C&C-серверы вредоносной программы были обнаружены в Монреале, Канада. Серверы предыдущей версии были расположены, как в Монреале, так и в Тегеране, Иран. Как отмечает эксперт, создатели вируса не остановились на достигнутом и оснастили новую версию более сложными функциями и новыми возможностями.
Сообщение отредактировал serg145 - Пятница, 27.07.2012, 12:42
Новый Троянец-загрузчик научился работать с файловой системой NTFS
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о распространении троянский программы Trojan.Yaryar.1. Одна из характерных особенностей данного троянца-загрузчика заключается в том, что он умеет работать непосредственно со структурами NTFS, а также обладает обширным функционалом по выявлению средств отладки и анализа.
Механизм распространения этого троянца пока до конца не исследован, зато изучен алгоритм его поведения в инфицированной системе. Вредоносная программа состоит из двух модулей: дроппера и загрузчика, оба компонента написаны на языке С++. Отличительной особенностью Trojan.Yaryar.1, выделяющей его в ряду других троянцев-загрузчиков, является то, что он обладает собственным алгоритмом работы со структурами файловой системы NTFS. Дроппер сохраняет загрузчик на диск в виде динамической библиотеки со случайным именем, после чего пытается загрузить ее с использованием библиотеки cryptsvc.dll, в которую предварительно внедряет специальный двоичный исполняемый код.
Троянец Trojan.Yaryar.1 обладает мощным функционалом по выявлению средств отладки и анализа, и в случае обнаружения таковых удаляет себя с инфицированного компьютера. После запуска троянец пытается получить в системе привилегии отладчика и внедриться в процесс spoolsv.exe. Затем Trojan.Yaryar.1 отключает Службу безопасности Windows, Службу автоматического обновления и Брандмауэр Windows, после чего устанавливает соединение с удаленными серверами для выполнения загрузки и запуска на зараженном компьютере других файлов.
Сигнатура этой угрозы добавлена в антивирусные базы Dr.Web, однако данный троянец может представлять опасность для пользователей, игнорирующих необходимость установки на своих ПК современных антивирусных программ.
Symantec: Троян загружает вредоносные компоненты при помощи доверенных приложений Windows
Вирус использует легитимные приложения для маскировки своего присутствия на инфицированном компьютере, а также для загрузки компонентов бэкдора.
По данным компании Symantec, в последнее время при проведении атак хакеры активно используют вредоносную программу Backdoor.Korplug, обнаруженную экспертами в марте этого года.
Backdoor.Korplug является обычной троянской программой с несколькими интересными отличиями – вирус использует доверенные приложения Microsoft для маскировки своего присутствия на инфицированном компьютере, а также модули перехвата изображения с экрана и клавиатурный шпион.
В ходе проведения атак злоумышленники используют стандартную схему, отправляя жертве электронное письмо, содержащее зашифрованный ZIP-архив с паролем или документ Microsoft Office. Под видом этих вложений хакеры скрывают троянскую программу, которая нацелена на уязвимость в Microsoft Windows Common Control Library ActiveX компоненте CVE-2012-0158.
После открытия жертвой вложенного в сообщении файла запускается эксплоит для уязвимости, и в случае, если уязвимость не устранена, на компьютере жертвы устанавливается бэкдор. Эксперты отмечают, что в последних продуктах компании Microsoft уязвимость MSCOMCTL.OCX RCE устранена и вредоносная программа может эксплуатировать ее только на устаревших версиях ПО.
По данным исследователей Symantec, эксплуатация уязвимости является не самой страшной способностью вредоносной программы. Ее основа, загружаемая на компьютер жертвы, состоит из трех частей: rc.exe, rc.dll и rc.hlp. примечательным является то, что компонент rc.exe является доверенным приложением Windows. Однако, находясь в одном каталоге с вредоносной библиотекой rc.dll, он загружает вредоносный код вместо законной библиотеки из системной папки Windows.
Все файлы, находящиеся на форуме, были найдены в сети Интернет как свободно распространяемые и добавлены на сайт посетителями сайта исключительно в ознакомительных целях. Администрация ресурса не несет ответственности за файлы, расположенные на форуме. Если Вы являетесь правообладателем (подтвердив свое авторство) и Вас не устраивают условия, на которых Ваш продукт представлен на данном ресурсе, просьба немедленно сообщить с целью устранения правонарушения. Использование материалов сайта возможна только с разрешения администрации.