Делитесь своим опытом!
Поскольку многие постоянные а также и/или редкие, новые посетители нашего форума, как я предполагаю, интересуются не только проблемами "здоровья" своих маленьких компьютерных монстриков, но и в целом народ любознательный и даже, в хорошем смысле, любопытный, то я хотел бы привлечь ваше внимание к одной, на мой взгляд, очень хорошо написанной статье.
Возможно, после прочтения оной многие согласятся с утверждением (или скорее вопросом):
Третья Мировая Война уже началась (?)
и началась она, как и следовало ожидать в информационном пространстве.
Что уж находится и как работает в наших рабочих ПК, ЛС (в том числе и вполне обывательских и по идее безобидных пресоналках) с "мудрого" одобрения заинтересованных сторон - пишущих софт, выдающих сертификаты, пишущих антивирусы, ну и взирающих за всем этим, конечно, из высоких кабинетов на фоне государственных флагов.
Хакерские бот-сети, фишинг,... все это может показаться просто детскими шалостями по сравнению с "грамотным" (стратегическим) подходом к сложившейся инфоструктуре.
Читайте
http://www.3dnews.ru/offsyanka/619187/
думайте (особенно когда находитесь в on-line:smileywink:), высказывайтесь.
Решено! Перейти к решению.
Пытаясь скрыть наличие вредоносного кода, злоумышленники создали вирус, загружающийся только при движении курсора мыши.
Согласно сообщению антивирусной компании Eset, специалистам в области безопасности удалось обнаружить неординарную Drive-by атаку, ориентированную на русскоязычных пользователей Интернет. Злоумышленники используют новаторскую технику сокрытия вредоносного JavaScript и неявные iFrame инъекции.
Как уточняют эксперты, в данной угрозе высокую степень сокрытия вредоносного кода от антивирусных сканеров обеспечивает тот факт, что загрузка вредоноса осуществляется только при перемещении курсора мышки. Более того, злоумышленники почти не используют подозрительных включений iFrame, подгружая вирус из удаленного JS-файла.
«В настоящий момент мы зафиксировали сотни web-сайтов в русскоязычном сегменте Интернет, инфицированных с помощью данной технологии», - подчеркивают в Eset.
Эксперты также отмечают, что данная Drive-by атака является «первым шагом вирусописателей на пути обхода проактивного обнаружения», позволяющим отсеивать реальных пользователей и избегать конфликтов с антивирусными сканерами.
Отметим, что авторы атаки используют код, присутствовавший в наборе эксплоитов Nuclear Pack, и атакуют Java-уязвимость CVE-2012-0507. Разработчики операционных систем Windows и Mac уже исправили данную брешь во всех своих продуктах.
Ознакомиться с уведомлением Eset можно здесь .
Согласно результатам последнего исследования, проведенного специалистами из канадского Университета Британской Колумбии в Ванкувере, так называемые "социальные боты" - программы, созданные для имитации поведения людей в социальных сетях, способны эффективно похищать персональные данные пользователей. Так, в одной лишь Facebook канадские исследователи при помощи "социо-ботов" получили почти 250 гигабайт информации о пользователях этой сети.
Двухмесячное исследование проводилось с целью определить, насколько уязвимы социальные сети и их пользователи перед лицом крупномасштабных операций, связанных с похищением личных данных. Как можно понять из полученных 250 гигабайт данных, очень уязвимы.
Канадские социологи говорят, что исключительно в академических целях запустили в социальные сети 102 различных "социо-бота", которые завели себе персональные страницы с фотографиями, а сам функционал ботов позволял им "стучаться" к другим пользователям и отправлять им сообщения с инвайтами. Запущенные боты разослали пользователям 5053 сообщения, причем каждый бот был ограничен отправкой 25 сообщений в день, чтобы у Facebook не сработала антиспамерская система. За первые несколько дней теста 19% инвайтов (976 штук) были приняты пользователями.
За следующие полтора месяца боты отправили еще 3517 запросов данных своим новым "друзьям" по Facebook. Из этого числа 2079 пользователей такие данные предоставили. Для того, чтобы повысить шансы на выдачу данных, боты использовали психологический прием под названием "триадный принцип закрытия", предусматривающий заведение некоего общего с пользователем друга в сети.
Канадские исследователи говорят, что социальные сети оказываются чрезвычайно уязвимы для крупномасштабных кампаний по хищению данных. Примерно 8 из 10 пользователей клюют на какую-либо уловку ботов. "На примере социальной сети Facebook мы показали, что получать персональные данные совсем несложно, более того этот процесс можно автоматизировать и проводить в чрезвычайно больших масштабах. Самим пользователям и операторам сетей стоит задуматься над этим", - говорится в результатах исследования, которые должны быть опубликованы на будущей неделе.
По словам авторов исследования, социальные механизмы защиты в Facebook и иных соцсетях существуют, но они недостаточно интеллектуальны и пока не могут отличить настоящего пользователя от бота, даже если последний действует полностью на автомате и без участия живого человека. Также в исследовании говорится, что в будущем на базе этой или ей подобных методик могут быть реализованы настоящие кампании по краже данных у десятков или даже сотен тысяч людей.
Источник: http://www.cybersecurity.ru/crypto/148547.html
Всем знающим о чем речь, привет от моего БитФлуда.
18 апреля, 2012
Разработчик антивирусного программного обеспечения компания «Доктор Веб» сообщила о распространении вируса Win32.Rmnet.12. Созданная с помощью данной вредоносной программы ботсеть по состоянию на 15 апреля насчитывала 1 400 520 устройств на базе операционной системы Microsoft Windows.
Специалисты называют Win32.Rmnet.12 сложным многокомпонентным файловым вирусом, обладающим способностью саморазмножения без участия пользователя. Поразив систему, вредоносная программа проверяет, какой браузер установлен по умолчанию и встраивается в его процессы. Затем осуществляется сохранение файла в каталоге автозагрузки пользователя с именем, сгенерированным на основе имени жесткого диска и с атрибутом «скрытый». В той же папке создается файл конфигурации, в которой записываются все данные, необходимые для работы.
На основе специального алгоритма вирус определяет имя C&C сервера и осуществляет с ним соединение.
Среди обнаруженных в вирусе компонентов специалисты «Доктор Веб» отмечают модуль бэкдора. Этот модуль с интервалом в 70 секунд отправляет запросы на такие web-ресурсы, как google.com, bing.com и yahoo.com, анализируя скорость получения ответов. Затем вся информация передается управляющему серверу через FTP соединение. Бэкдор способен выполнять все поступившие от C&C сервера команды, в том числе загружать и выполнять файлы, обновляться, отправлять любую информацию и даже уничтожить операционную систему.
Для распространения вирус пользуется двумя основными способами. Во-первых, эксплуатируются уязвимости браузеров, которые позволяют сохранять и запускать исполняемые файлы при открытии специально сформированных web-страниц. Во-вторых, Win32.Rmnet.12 инфицирует все обнаруженные на диске файлы с расширением .exe и копирует себя на съемные флеш-накопители.
Компания «Доктор Веб» в своем уведомлении утверждает, что ей удалось получить полный контроль над ботсетью Win32.Rmnet.12. Специалисты по информационной безопасности изучили протокол обмена данными между зараженными устройствами и C&C серверами и применили метод sinkhole, который также применялся для изучения ботсети Flashback. Впоследствии были зарегистрированы домены серверов управления двух подсетей, используемых злоумышленниками для управления зараженными устройствами.
Что касается географического расположения вируса – большая часть зараженных систем приходится на Индонезию — 320 014 зараженных устройств, или 27,12% всех хостов ботнета. Количество ботов Win32.Rmnet.12 в России составляет 43 153, то есть 3,6% от всего ботнета.
Редакция SecurityLab рекомендует своим читателям своевременно устанавливать обновления для программного обеспечения.
С уведомлением компании «Доктор Веб» можно ознакомиться здесь.
Подробнее: http://www.securitylab.ru/news/423340.php
Вниманию тех, кто не имеет времени/желания следить за проблемами безопасности и пользуется IE9:
Настоятельно рекомендую заглянуть в окно "О программе" и убедиться, что у вас установлено обновление безопасности, выпущенное вчера.
Если его у вас нет (что весьма вероятно), советую не ждать, когда это сделает Центр обновления Windows, а запусть его вручную и (даже, если вы видите сообщение "Windows не требуются обновления") кликнуть по ссылке Поиск обновлений.
Войну то ни одном из фронтов СЕТИ никто не отменял:smileyalert:
вообще система безопастности пк и в частности разработчики антивирусного софта интересная тема....а кампании разработчики похожи на доктора, который у богатого находит такие болезни которых в природе не существует,а может быть являются теми кто сначала напичкает массы ядом а потом предлагает противоядие....благодетели ....если разработчики сами проверяют свои продукты на надежность,значит у них есть достаточно мощный инструмент для анализа и модификации вирусов,не говоря уже о их создании..не будет вирусов не будет спроса на их программы...на зарубежном форуме как то год назад наткнулся на подобную тему которую впоследствии видимо удалили ......я понимаю троян запущенный конкретному пользователю..но тысячи,сотни тысяч пк зараженных..и уничтожение системы...какая выгода хакеру от этого?а может выгодно разработчику?
и я думаю доказать что разработчики как либо причастны к вирусам или не причастны совсем доказать не возможно...остаются догадки...
Message was edited by: Alissand
1: Согласен с вами коллега, Alissand по поводу участия и некоторой:smileywink:( мягко говоря) заинтересованности разработчиков данного типа софта. Но мы живем в эдаком странном мире, где добро и зло очень часто/почти всегда/всегда (нужное подчеркнуть:smileysilly:) всего лишь стороны одной медали. Это темка старая. Ей примерно столько лет сколько человеку, впервые вставшему на задние лапы.
2:
Alissand wrote:
...я понимаю троян запущенный конкретному пользователю...но тысячи,сотни тысяч пк зараженных..и уничтожение системы...какая выгода хакеру от этого?а может выгодно разработчику?
На данном этапе развития, деятельность т.н. хакеров преследует, как правило, чисто экономические цели - кража данных банковских карт и прочих реквизитов позволяющих осуществлять "отъем" денег пользователя. По сей причине хорошо организованные и интеллектуально очень развитые группы лиц занимаются поиском "дыр"/уязвимостей в ОСях/приложениях/надстройках... в режиме 24/7 non-stop. Именно одной из последних "дыр" такого рода в IE посвящен мой пост выше. Её (дыру) следует немедленно закрыть.
Конечно у объединений такого рода иногда/часто возникают и более важные/сложные задачи...
Собственно этим проблемам я и предполагал посвятить данную ветку. Но одному "поддерживать этот слабо тлеющий костер" мне показалось занятием довольно скучным, а поскольку участие/реакция других участников нашего форума отсутствует, то и неинтересным для большинства:smileyconfused:.
Далее. Разработчики антивирусного софта "отъемом" такого рода не занимаются (так кажется?), они всего лишь создают и продают нам свой продукт.
3: И наконец:
Alissand wrote:
...и уничтожение системы...какая выгода хакеру от этого?а может выгодно разработчику?
Конечно, есть и такая малочисленная( задумался:smileyconfused:) категория "особо одаренных" вирусописателей-параноиков, которым приятно представить себе состояние пользователя сидящего перед синим/черным экраном. Иногда, наверное, им и этого бывает достаточно для того, чтобы почувствовать себя "суперменом" (раньше для этого приходилось топором рубить старушек...).
Что касается разработчиков...
Из того, что я читаю на форумах, из личного опыта друзей и друзей друзей, у меня складывается мнение что ОСи убиваются, в основном, при использовании взломанного софта (особенно игр клиент-сервер). Солидные разработчики в таких случаях "убивать" систему не будут. Но BSODы обеспечивают. Дело в том, что модификация/добавление/переключение флагов состояния сертифицированных модулей, добавление временных ключей ни ОСью, ни антивир.прог. не рассматриваются как "враждебная активность" Ну а дальше все просто - разгоны железа, утечка памяти и т.д. и т.п...
А еще дальше, все зависит, в основном, от действий пользователя - "убивает" систему именно он сам (как правило).
Согласны?
Согласен...Но вот кстати не менее опастные шпионы,скажем для определенных структур и организаций те же антивирусные программы...какие обновления мы получаем и что отправляется в зашифрованном виде мы никогда не узнаем ..много такого рода статей было..к примеру про того же касперского http://ehorussia.com/new/node/6286
и таких случаев не мало......
Тут даже повода нет для сомнения.
Или иметь свою собственную "патриотическую" ОСь, когда, по крайней мере, разрабочики понимали бы что и как с ней происходит.
Или...:smileywink: "Овсянка, сэр!