Обнаружен новый троян Alcani
Компания Symantec предупреждает о появлении новой вредоносной программы Alcani. Этот троян, пока не получивший широкого распространения, заражает компьютеры, работающие под управлением операционных систем Microsoft Windows. После проникновения на машину Alcani создает на жестком диске две свои копии и обеспечивает собственный автозапуск при каждом старте ОС. Далее троян посредством интернет-пейджера ICQ отправляет автору уведомления, содержащие IP-адрес инфицированного ПК. Кроме того, вредоносная программа открывает "черный ход" в систему, соединяясь с IRC-серверами irc.dal.net и mesra.dal.net.
Novagr/Mydoom: Зловещая угроза
Новый почтовый червь, известный как Novarg, распространяется с огромной скоростью по всей сети Интернет и уже привел к сбоям в работе почтовых серверов и более чем 50% росту объема трафика, что отразилось на нормальном функционировании компаний, предоставляющих Интернет услуги по всему миру.
Многие сервера электронной почты были попросту выключены до тех пор, пока эпидемия вируса не пойдет на спад. По данным агентств безопасности, каждое пятое письмо, отправленное в сейчас по Интернет, заражено этим вирусом. Novarg’у присвоен наивысший рейтинг опасности и пользователям следует проявлять особое внимание при работе с электронной почтой.
Пути Распространения Вируса
Novarg, также известный как MyDoom, распространяется в виде почтового вложения с расширением.bat, .cmd, .exe, .pif, .scr, или .zip.
При открытии зараженного вложения червь запускает троянскую программу, открывающую ТСР порты с 3127 по 3198, что делает возможным удаленное управление зараженной системой. Затем червь отыскивает почтовые адреса в адресной книге, HTML документах и базах Outlook Express и рассылает себя на эти адреса с помощью собственного SMTP клиента.
Outpost Противостоит Угрозе
Так как червь прибывает в виде почтовых вложений, то Outpost переименует его и в случае если вы попытаетесь его открыть, выдаст вам предупреждение о том, что следует еще раз внимательно проверить безопасность открываемого вложения. Таким образом, вы застрахованы от случайного заражения вирусом.
Для предотвращения заражения также рекомендуется соблюдать следующие меры предосторожности:
Переключите Outpost в режим Обучения или в Режим блокировки для полного контроля за всей сетевой активностью в системе.
Включите Контроль Компонентов чтобы предотвратить запуск вируса от имени доверенного приложения.
Внимательно следите за всеми приложениями, запрашивающими доступ к ТСР портам с 3127 по 3198.
Запретите всем неизвестным процессам доступ к ТСР порту 25.
Убедитесь в том, что модуль фильтрации почтовых вложений включен.
Для повышения безопасности добавьте zip в список переименовываемых типов вложений.
Обновите используемый антивирус..
Кроме всего прочего, следует помнить о необходимости тщательно проверять все приходящие письма с вложениями и не открывать их в случае если отправитель Вам неизвестен или Вы не ожидали получения письма.
Если худшее все таки случилось
В случае заражения системы Outpost предотвратит его возможные вредоносные действия: дальнейшее распространение, проведение DoS атак а также создание в системе лазеек для проникновения хакеров.
Хотя Outpost полностью изолирует вирус в Вашей системе и не дает ему ни распространяться ни приносить какой либо ущерб, настоятельно рекомендуется воспользоваться антивирусом для его полного удаления.
Новый почтовый червь, известный как Novarg, распространяется с огромной скоростью по всей сети Интернет и уже привел к сбоям в работе почтовых серверов и более чем 50% росту объема трафика, что отразилось на нормальном функционировании компаний, предоставляющих Интернет услуги по всему миру.
Многие сервера электронной почты были попросту выключены до тех пор, пока эпидемия вируса не пойдет на спад. По данным агентств безопасности, каждое пятое письмо, отправленное в сейчас по Интернет, заражено этим вирусом. Novarg’у присвоен наивысший рейтинг опасности и пользователям следует проявлять особое внимание при работе с электронной почтой.
Пути Распространения Вируса
Novarg, также известный как MyDoom, распространяется в виде почтового вложения с расширением.bat, .cmd, .exe, .pif, .scr, или .zip.
При открытии зараженного вложения червь запускает троянскую программу, открывающую ТСР порты с 3127 по 3198, что делает возможным удаленное управление зараженной системой. Затем червь отыскивает почтовые адреса в адресной книге, HTML документах и базах Outlook Express и рассылает себя на эти адреса с помощью собственного SMTP клиента.
Outpost Противостоит Угрозе
Так как червь прибывает в виде почтовых вложений, то Outpost переименует его и в случае если вы попытаетесь его открыть, выдаст вам предупреждение о том, что следует еще раз внимательно проверить безопасность открываемого вложения. Таким образом, вы застрахованы от случайного заражения вирусом.
Для предотвращения заражения также рекомендуется соблюдать следующие меры предосторожности:
Переключите Outpost в режим Обучения или в Режим блокировки для полного контроля за всей сетевой активностью в системе.
Включите Контроль Компонентов чтобы предотвратить запуск вируса от имени доверенного приложения.
Внимательно следите за всеми приложениями, запрашивающими доступ к ТСР портам с 3127 по 3198.
Запретите всем неизвестным процессам доступ к ТСР порту 25.
Убедитесь в том, что модуль фильтрации почтовых вложений включен.
Для повышения безопасности добавьте zip в список переименовываемых типов вложений.
Обновите используемый антивирус..
Кроме всего прочего, следует помнить о необходимости тщательно проверять все приходящие письма с вложениями и не открывать их в случае если отправитель Вам неизвестен или Вы не ожидали получения письма.
Если худшее все таки случилось
В случае заражения системы Outpost предотвратит его возможные вредоносные действия: дальнейшее распространение, проведение DoS атак а также создание в системе лазеек для проникновения хакеров.
Хотя Outpost полностью изолирует вирус в Вашей системе и не дает ему ни распространяться ни приносить какой либо ущерб, настоятельно рекомендуется воспользоваться антивирусом для его полного удаления.
Новый червь угрожает пользователям Интернета
«Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении нового опасного интернет-червя «Sober.i».
Вредоносная программа распространяется через интернет в виде вложений в зараженные электронные письма. Помимо функций, стандартных для данного типа вредоносных программ, деструктивный эффект действия «Sober.i» заключается в содержащемся в теле червя механизме удаленного запуска любых файлов по желанию злоумышленника.
В настоящее время антивирусные эксперты «Лаборатории Касперского» получают большое число сообщений об обнаружении червя от пользователей западноевропейского региона.
«Sober.i» использует обычную для сетевых червей процедуру запуска: активизация червя производится при самостоятельном открытии пользователем файла, приложенного к зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке: «WinZip Self-Extractor.
WinZip_Data_Module is missing ~Error». Затем он создает в системном каталоге Windows два файла с произвольными именами, формируемым из встроенного в тело червя списка. Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий по электронной почте.
Затем «Sober.i» копирует себя в системный каталог Windows и регистрирует себя в ключе автозапуска системного реестра. Помимо этого, он создает несколько дополнительных копий и вспомогательных файлов с разными именами в системном каталоге Windows.
Для своего размножения «Sober.i» сканирует файловую систему пораженного компьютера в поисках адресов электронной почты и рассылает себя по обнаруженному списку адресатов. Для отправки почты червь использует собственный SMTP-сервер.
Зараженные «Sober.i» письма имеют произвольные темы и тексты на немецком или английском языке (несколько десятков различных ариантов), которые случайным образом составляются из нескольких частей. Имя вложения также может быть с различными расширениями: «pif», «zip», «bat».
Процедуры защиты от «Sober.i» уже добавлены в базу данных Антивируса Касперского. Более подробная информация о данной вредоносной программе доступна (http://www.viruslist....?id=146259034) в Вирусной Энциклопедии Касперского.
«NewsProm.Ru»
«Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении нового опасного интернет-червя «Sober.i».
Вредоносная программа распространяется через интернет в виде вложений в зараженные электронные письма. Помимо функций, стандартных для данного типа вредоносных программ, деструктивный эффект действия «Sober.i» заключается в содержащемся в теле червя механизме удаленного запуска любых файлов по желанию злоумышленника.
В настоящее время антивирусные эксперты «Лаборатории Касперского» получают большое число сообщений об обнаружении червя от пользователей западноевропейского региона.
«Sober.i» использует обычную для сетевых червей процедуру запуска: активизация червя производится при самостоятельном открытии пользователем файла, приложенного к зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке: «WinZip Self-Extractor.
WinZip_Data_Module is missing ~Error». Затем он создает в системном каталоге Windows два файла с произвольными именами, формируемым из встроенного в тело червя списка. Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий по электронной почте.
Затем «Sober.i» копирует себя в системный каталог Windows и регистрирует себя в ключе автозапуска системного реестра. Помимо этого, он создает несколько дополнительных копий и вспомогательных файлов с разными именами в системном каталоге Windows.
Для своего размножения «Sober.i» сканирует файловую систему пораженного компьютера в поисках адресов электронной почты и рассылает себя по обнаруженному списку адресатов. Для отправки почты червь использует собственный SMTP-сервер.
Зараженные «Sober.i» письма имеют произвольные темы и тексты на немецком или английском языке (несколько десятков различных ариантов), которые случайным образом составляются из нескольких частей. Имя вложения также может быть с различными расширениями: «pif», «zip», «bat».
Процедуры защиты от «Sober.i» уже добавлены в базу данных Антивируса Касперского. Более подробная информация о данной вредоносной программе доступна (http://www.viruslist....?id=146259034) в Вирусной Энциклопедии Касперского.
«NewsProm.Ru»
Атака на чеченский сайт
Обнаружен почтовый вирус, предлагающий посмотреть порнографическую фотографию, но на самом деле содержащий модуль распределенной атаки отказа в обслуживании DoS против сайта чеченских сепаратистов.
Почтовый червь Maslan-C имеет в строке темы "123" и вложенный файл Playgirls2.exe. Способен распространяться через общие сетевые папки. Атака запланирована на первый день каждого месяца. Судя по примитивности исполнения, не ожидается никакой эпидемии.
Троян Spyre меняет обои на рабочем столе
Компания Sophos предупреждает о появлении нового трояна, инфицирующего компьютеры с операционными системами Microsoft Windows. Вредоносная программа получила название Spyre. После проникновения на машину Spyre вносит ряд изменений в реестр, обеспечивая собственный автозапуск при старте ОС, и затем создает в директории "C:\Windows\Web\" HTML-файл, содержащий информацию рекламного характера. Впоследствии этот файл устанавливается в качестве фона рабочего стола. Каких-либо деструктивных функций в коде трояна пока не обнаружено.
Вирусная десятка за 2004 год от Panda
По данным компании Panda Software, в 2004 году наибольший ущерб компьютерам пользователей был нанесен троянцем Downloader.GK Trojan. Эти данные были получены на базе статистики использования онлайнового антивирусного сервиса Panda ActiveScan. Downloader.GK принадлежит 14% от общего количества атак. Этот троян не распространяется самостоятельно, а скачивается на компьютер, когда ничего не подозревающие пользователи посещают определенные веб-страницы и соглашаются на установку определенного элемента ActiveX. Downloader.GK устанавливает и запускает две рекламных программы-шпиона на зараженном компьютере.
Второе место в десятке занимает вирус Netsky.P (6,92%), за ним следуют Sasser.ftp (4,97%), Gaobot.gen (4.31%), Mhtredir.gen (4.22%), Netsky.D (3.98%), Downloader.L (3.56%), и три последних места принадлежат Qhost.gen (3.48%), Netsky.B (3.45%) и StartPage.FH (3.34%).
Появившийся в июне 2004 года Downloader.GK отобрал у червей звание основной угрозы и, заняв первое место в десятке, сигнализирует о начале опасного увеличения деятельности троянов. Всего в годовой рейтинг попали четыре троянца, в то время как в 2003 году их было два, а в 2002 году всего один. Три из вирусной десятки - черви семейства Netsky (варианты P,B и D). Они все имеют ряд общих черт, и, как и большинство червей, распространяются в электронных письмах с изменяющимися характеристиками. Четыре вредоносных программы из десятки используют бреши в стандартном ПО, установленном на компьютере.
Источник http://www.r-i-p.info...=detail&id=633
По данным компании Panda Software, в 2004 году наибольший ущерб компьютерам пользователей был нанесен троянцем Downloader.GK Trojan. Эти данные были получены на базе статистики использования онлайнового антивирусного сервиса Panda ActiveScan. Downloader.GK принадлежит 14% от общего количества атак. Этот троян не распространяется самостоятельно, а скачивается на компьютер, когда ничего не подозревающие пользователи посещают определенные веб-страницы и соглашаются на установку определенного элемента ActiveX. Downloader.GK устанавливает и запускает две рекламных программы-шпиона на зараженном компьютере.
Второе место в десятке занимает вирус Netsky.P (6,92%), за ним следуют Sasser.ftp (4,97%), Gaobot.gen (4.31%), Mhtredir.gen (4.22%), Netsky.D (3.98%), Downloader.L (3.56%), и три последних места принадлежат Qhost.gen (3.48%), Netsky.B (3.45%) и StartPage.FH (3.34%).
Появившийся в июне 2004 года Downloader.GK отобрал у червей звание основной угрозы и, заняв первое место в десятке, сигнализирует о начале опасного увеличения деятельности троянов. Всего в годовой рейтинг попали четыре троянца, в то время как в 2003 году их было два, а в 2002 году всего один. Три из вирусной десятки - черви семейства Netsky (варианты P,B и D). Они все имеют ряд общих черт, и, как и большинство червей, распространяются в электронных письмах с изменяющимися характеристиками. Четыре вредоносных программы из десятки используют бреши в стандартном ПО, установленном на компьютере.
Источник http://www.r-i-p.info...=detail&id=633
Mytob: быстро плодящийся e-mail-червь.
В интернете быстро распространяется червь массовой почтовой рассылки Mytob, восемь новых вариантов которого появилось только за последние выходные, а с начала марта их зафиксировано больше дюжины.
В понедельник Symantec сообщила о двух новых версиях вируса W32.Mytob.R и W32.Mytob.S. Как и предыдущие варианты Mytob, оба червя получили от Symantec низкую или среднюю оценку степени опасности, но компания все же рекомендует немедленно обновить свое антивирусное ПО для защиты от новой угрозы.
Как и другие версии Mytob, две последние распространяются через кампании массовой почтовой рассылки. Они атакуют компьютеры с операционной системой Windows и содержат так называемую лазейку (backdoor). Червь использует свой собственный механизм протокола SMTP (Simple Mail Transfer Protocol) для саморассылки по адресам e-mail, которые он находит в зараженных компьютерах. Кроме того, вирус распространяется, используя ошибку переполнения буфера Local Security Authority Service Remote Buffer Overflow в Windows, которую Microsoft уже исправила в своих периодических секьюрити-апдейтах.
Последние версии Mytob пытаются заблокировать зараженным компьютерам доступ для установки секьюрити-апдейтов к веб-сайтам таких компаний, как Symantec, McAfee и Microsoft, добавляя соответствующий текст в файл Hosts пораженного ПК.
Symantec отловила многочисленные варианты двух новых червей Mytob, каждый из которых распространяется из источников с разными адресами отправителя и содержит в строке subject и теле сообщения разные тексты. И Mytob.R, и Mytob.S могут содержаться в сообщениях, в поле subject которых есть фразы good day или mail transaction failed.
Большая часть из 13 версий вируса, обнаруженных с начала этого года, почти идентичны, но одна версия, W32.Mytob.Q, о которой Symantec сообщила в воскресенье, включает второй малоопасный вирус, W32.Pinfi.
Источник: Mytob e-mail worm proliferating quickly
В интернете быстро распространяется червь массовой почтовой рассылки Mytob, восемь новых вариантов которого появилось только за последние выходные, а с начала марта их зафиксировано больше дюжины.
В понедельник Symantec сообщила о двух новых версиях вируса W32.Mytob.R и W32.Mytob.S. Как и предыдущие варианты Mytob, оба червя получили от Symantec низкую или среднюю оценку степени опасности, но компания все же рекомендует немедленно обновить свое антивирусное ПО для защиты от новой угрозы.
Как и другие версии Mytob, две последние распространяются через кампании массовой почтовой рассылки. Они атакуют компьютеры с операционной системой Windows и содержат так называемую лазейку (backdoor). Червь использует свой собственный механизм протокола SMTP (Simple Mail Transfer Protocol) для саморассылки по адресам e-mail, которые он находит в зараженных компьютерах. Кроме того, вирус распространяется, используя ошибку переполнения буфера Local Security Authority Service Remote Buffer Overflow в Windows, которую Microsoft уже исправила в своих периодических секьюрити-апдейтах.
Последние версии Mytob пытаются заблокировать зараженным компьютерам доступ для установки секьюрити-апдейтов к веб-сайтам таких компаний, как Symantec, McAfee и Microsoft, добавляя соответствующий текст в файл Hosts пораженного ПК.
Symantec отловила многочисленные варианты двух новых червей Mytob, каждый из которых распространяется из источников с разными адресами отправителя и содержит в строке subject и теле сообщения разные тексты. И Mytob.R, и Mytob.S могут содержаться в сообщениях, в поле subject которых есть фразы good day или mail transaction failed.
Большая часть из 13 версий вируса, обнаруженных с начала этого года, почти идентичны, но одна версия, W32.Mytob.Q, о которой Symantec сообщила в воскресенье, включает второй малоопасный вирус, W32.Pinfi.
Источник: Mytob e-mail worm proliferating quickly
В Интернете начал распространение новый шпион Smitfraud.
Антивирусная лаборатория Panda Software сообщает о появлении Smitfraud, новой шпионской программы, заражающей файлы системы, что влияет на ее работу.
Это вредоносное приложение скачивается на компьютер через другую шпионскую программу CWS.YEXE, которая размещена на большом количестве нелегальных веб-страниц. Кроме установки прочего вредоносного ПО, такого как Smitfraud, на компьютер, оно также устанавливает другие вредоносные приложения.
При проникновении на компьютер Smitfraud устанавливает антишпионское приложение PSGuard. Он также создает несколько файлов. Один из этих файлов называется oleadm32.dll и является копией системного файла wininet.dll. Этот файл заражен вирусом W32/Smitfraud.A и пытается заменить собой оригинальный файл после перезапуска компьютера. Другой из файлов, создаваемых шпионской программой на компьютере, - wp.bmp. Он является изображением, имитирующим “голубой экран", выводимый при ошибке операционной системы Windows. Это изображение содержит текст, информирующий пользователя о том, что его компьютер заражен шпионской программой Smitfraud.c и рекомендующий просканировать компьютер программой, способной исправить проблему.
Если пользователь запускает PSGuard, тот обнаруживает вредоносную программу (Smitfraud.c). Однако для того, чтобы удалить ее с компьютера, пользователь должен купить и зарегистрировать PSGuard.
По словам Луиса Корронса, директора лаборатории PandaLabs, “эта шпионская программа необычна своим методом работы. Вообще, это вторая известная программа такого типа, способная заражать файлы. Тем не менее, ее главной целью является обман пользователей с целью получения финансовой прибыли. Сегодня создатели вредоносных программ стремятся к финансовому результату, и без промедления используют любую тактику для достижения своей цели. По этой причине пользователи должны всегда быть настороже”.
Источник Служба по связям с общественностью компании "Panda Software Russia"
http://images.km.ru/p...aden.jpg" WIDTH=110 align="left">Новый вирус предлагает узнать о поимке Усамы бен Ладена .
Антивирусная компания Sophos предупреждает пользователей о появлении нового почтового червя под кодовым названием Kedebe-F, который распространяется под видом приложения к письму. Прикрепленный документ содержит якобы секретные и правдивые данные либо о поимке террориста Усамы бен Ладена, либо об аресте автора червя Mydoom, либо о загадочной гибели певца Майкла Джексона.
В тексте письма говорится, что информация о данных событиях была похищена из правительственных архивов, а для ознакомления с материалами надо «просто посмотреть вложенный файл». Вирус способен отключать антивирусное программное обеспечение и сетевые экраны. К счастью, широкого распространения вирус пока не получил. Будьте бдительны.
Источник
_http://www.km.ru
Под видом сообщений от администраторов сетевых сервисов распространяется троян.
Компания MessageLabs предупреждает об активном распространении двух версий троянских программ Downloader. С вечера среды было перехвачено более 54 тысяч копий.
Характерно, что авторы этой программы используют старый, обкатанный приём: сообщение, во вложении которого располагается архив с трояном, имитирует предупреждение от администраторов почтовых сервисов.
Письмо содержит такой текст:
Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
If you choose to ignore our request, you leave us no choice but to cancel your membership.
Virtually yours, Network Administrator Team
Текст приводится полностью на случай получения подобных предупреждений на зарубежных почтовых сервисах.
Перевод: "В течение последней недели ваша учётная запись была использована для массивной рассылки спама. Будьте добры, потратьте 5-10 минут своего времени в онлайне и откройте документ во вложении, чтобы избежать появления аналогичных проблем в будущем. Если вы проигнорируете нашу просьбу, вы не оставите нам иного выбора, кроме как аннулировать вашу учётную запись.
Виртуально ваши, Сетевые администраторы".
Как уже сказано, на самом деле во вложении располагается троян класса Backdoor, который открывает хакерам возможность получить контроль над заражённым компьютером.
Источник
_http://dk.compulenta.ru
SoftoRooM © 2004-2024