Danger! Вирус!

Компания Trend Micro обнаружила новую «троянскую» программу – TROJ_DONBOMB.A – которая использует недавние террористические акты в Лондоне как основу для своего распространения. Эта программа поступает пользователю по электронной почте, когда он нажимает на гиперссылку, которая как будто бы ведет на сайт CNN. В тексте сообщения содержится модифицированная HTML-копия Web-страницы CNN, посвященной Лондонской трагедии, с дополнением, которое предлагает просмотреть любительское видео об этом событии.
Троянская программа TROJ_DONBOMB.A стала последним случаем все более популярной «социотехники», когда злоумышленники имитируют реальные новостные агентства с целью ускорить распространение вредоносных программ. Хотя использование недавних популярных событий в таких целях старо, как сами эти вредоносные программы, имитация новостных агентств стала относительно новой практикой, которая может приобрести еще большее распространение в будущем.

Источник
_http://www.izcity.com/

Trend Micro опубликовала предупреждение о появлении нового червя, который распространяется через ПО для обмена мгновенными сообщениями, а именно через AOL Instant Messenger, которым в России, к счастью, пользуются немногие. Названный W32/Opanki червяк представляется как файл под названием «iTunes.exe», таким образом, ссылаясь на знаменитый медиа-плеер/музыкальный сервис Apple.

Разработанный для Windows 95, 98, Me, NT, 2000, XP и Server 2003 вирус предлагает следующий текст для привлечения пользователей: «this picture never gets old» (это изображение никогда не становится старым). Текст сопровождается файлом iTunes.exe. Как и другие червяки, W32/Opanki открывает порты на зараженных машинах, которые затем могут использоваться злоумышленниками для своих нужд (рассылка спама, Dos-атаки и т.п.).



CNET

Вирусы и троянские программы, выпущенные после червя Sasser, и использующие его функционал, продолжают распространяться, однако этот процесс протекает медленно и по масштабам далеко отстает от "родительского", утверждают специалисты F-Secure.

Эксперты финской компании изучили три варианта червей, подобных Sasser. Новый, Lebreat, распространяет себя посредством массовой почтовой рассылки. Попав на компьютер либо самостоятельно, используя уязвимость сервиса Windows LSASS (сервис местной подсистемы авторизации безопасности), закрытую в прошлом году, либо при помощи пользователя - щелчком мыши по вложению, червь загружает программу массовой почтовой рассылки для отправки своих копий по электронным адресам в адресной книге и пытается совершить DoS-атаку против сайта компании Symantec. Для внедрения на компьютеры самостоятельно, Lebreat сканирует диапазоны IP-адресов и порт, на котором работает сервис LSASS. Червь также известен под именами Breatle или Reatle, которые ему дали в других антивирусных компаниях.

Письма от Lebreat содержат вложение Breatle AntiVirus v1.0. Для того, чтобы заинтриговать пользователя, выбирается одна из нескольких тем наподобие "С Вашей кредитной карты снят платеж $500. Для дополнительной информации смотрите вложение".

Специалисты F-Secure обнаружили еще два подобных червя. Сам Lebreat был классифицирован как представляющий опасность 2-го уровня - "вызывающий массовые заражения". В MessageLabs обнаружили 5636 копий электронных писем с Lebreat, по данным на конец пятницы. В Symantec также обнаружили этого червя, и, по словам директора по менеджменту продуктов Symantec Security Response Дэйва Коула (Dave Cole), он не распространился широко. Коул подтвердил содержание в теле червя кода атаки на сайт компании, но сказал, что в Symantec не волнуются по этому поводу из-за малой распространенности вредоносного кода.

Как обычно, компании советуют покупать последние версии своих продуктов для защиты от новых вирусов, не открывать незнакомые вложения и вовремя устанавливать последние "заплатки" на Windows.

Источник
CNews.ru

+1 Email-Worm.Win32.NetSky.q 14.67%
-1 Net-Worm.Win32.Mytob.c 13.58%
+5 Email-Worm.Win32.Zafi.b 8.01%
-1 Email-Worm.Win32.Zafi.d 6.54%
-1 Net-Worm.Win32.Mytob.be 6.12%
- Net-Worm.Win32.Mytob.bk 6.07%
-2 Email-Worm.Win32.NetSky.aa 4.41%
New Net-Worm.Win32.Mytob.bt 2.65%
-1 Email-Worm.Win32.NetSky.b 2.52%
+8 Net-Worm.Win32.Mytob.bi 2.11%
+3 Net-Worm.Win32.Mytob.au 1.85%
Re-entryEmail-Worm.Win32.NetSky.d 1.73%
-1 Net-Worm.Win32.Mytob.u 1.62%
-4 Net-Worm.Win32.Mytob.ar 1.59%
-8 Email-Worm.Win32.LovGate.w 1.59%
-5 Net-Worm.Win32.Mytob.q 1.37%
-1 Net-Worm.Win32.Mytob.t 1.30%
-1 Email-Worm.Win32.Mydoom.l 1.20%
Re-entryEmail-Worm.Win32.Mydoom.m 1.17%
Re-entryEmail-Worm.Win32.Bagle.ah 1.04%

Прочие вредоносные программы 20.95%
Удивительные вещи происходят порой в мире компьютерных вирусов. Стоит только отметить устоявшуюся тенденцию появления нового поколения сетевых червей и постепенное исчезновение ветеранов вирусных рейтингов, как "старички" вновь напоминают о себе, причем весьма уверенно.

Так произошло и в июле. Три месяца на вершине 20-ки находился Mytob.c, сместивший с "трона" лидера 2004 года - NetSky.q. Появлялись все новые и новые варианты червей семейства Mytob, и с такими темпами их роста вирусная двадцатка грозила превратиться в список исключительно Mytob-червей.

Внезапно все изменилось. NetSky.q вновь оккупировал первую строчку, таким своебразным способом отметив вынесение судебного приговора своему автору Свену Яшану, отделавшемуся условным наказанием. И это несмотря на появление еще одного нового представителя Mytob, впрочем, не спасшего уменьшение численности клана - общее их число сократилось с 13 до 10. Что характерно, при этом они были потеснены не новыми червями, а именно "ветеранами" из ставших уже классическими семейств Bagle, Zafi, Mydoom и того же NetSky.

Второй месяц подряд аналитиков продолжает удивлять семейство червей Zafi. В июне показатель Zafi.d вырос на 6 пунктов и тем самым вознес его на третье место в рейтинге. В июле абсолютно идентичная ситуация случилась с Zafi.b! Рост на 5 пунктов и то же самое третье место. Таким образом, два венгерских червя-полиглота (они рассылают зараженные письма на более чем пятнадцати европейских языках) находятся в пределах первой пятерки. Весьма неожиданные перемещения, не поддающиеся четкому логическому объяснению.

Новичок в рейтинге всего один - Mytob.bt. Варианты .bt практически ничем не отличается от своих предшественников. Авторы Mytob (самоназвание "HELLBOT") продолжают экспериментировать с программами-упаковщиками, стараясь таким образом затруднить детектирование, или просто меняют функционал бота, а также список используемых IRC-каналов для управления (так как старые довольно оперативно закрываются администрацией IRC-серверов).

Mytob-ы довольно уверенно чувствуют себя в первой десятке, занимая соответственно 2, 5, 6, 8 и 10 места.

Замыкает первую десятку Mytob.bi, который стал одним из лидеров месяца по росту показателей - сразу плюс восемь мест в рейтинге. Такой же показатель, но со знаком минус, у старожила LovGate.w. Если тенденция к падению LovGate.w будет продолжена, то в следующем месяце он покинет вирусный рейтинг.

Но наибольший интерес представляет трио червей, вернувшихся в двадцатку. Именно они и стали причиной утраты ряда позиций Mytob"ом, и именно они заняли места трех вытесненных ими представителей клана Mytob.

В первую очередь, это NetSky.d. Замеченный последний раз в мае, на пятнадцатой позиции, в июне он окончательно покинул пределы двадцатки, чтобы триумфально вернуться сразу на двенадцатое место. Четыре представителя семейства NetSky - на первом, седьмом, девятом и двенадцатом местах. Остается только еще раз удивиться неожиданной гуманности немецкого суда, приговорившего Свена Яшана к 18 месяцам условного заключения и 30 часам общественных работ.

Два других <возвращенца> находятся в самом конце рейтинга на 19-м и 20-м местах, однако не исключено, что, если падение Mytob"ов будет продолжено, то они смогут забраться и выше.

Mydoom.m - один из "старших братьев" семейства Mytob. Все они основываются на одних и тех же исходных кодах - Mydoom.a, и являются наглядным примером того, к каким последствиям может привести публикация исходных текстов вирусов в Интернет. Это не менее опасно, а фактически и более вредно, чем просто распространение одного вируса или червя, потому что подвигает массу других вирусописателей к использованию исходных текстов в своих вредоносных программах. Кто знает, если бы в феврале 2004 года исходные коды Mydoom.a не были бы распространены их автором в интернет, насколько сильно изменилась бы текущая вирусная ситуация. Понятно, что никаких новых Mydoom и Mytob в рейтинге бы не было.

Замыкает 20-ку один из многочисленных Bagle. На этот раз это - Bagle.ah. В июле как раз исполнился год с момента его обнаружения. Еще один необьяснимый всплеск активности старого, хорошо известного вируса.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (20,95%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

В двадцатке появилась 1 новая вредоносная программа: Mytob.bt.

В двадцатку вернулись: NetSky.d, Mydoom.m, Bagle.ah.

Повысили свой рейтинг: NetSky.q, Zafi.b, Mytob.bi, Mytob.au.

Понизили свои показатели: Mytob.c, Zafi.d, Mytob.be, NetSky.aa, NetSky.b, Mytob.u, Mytob.ar, LovGate.w, Mytob.q, Mytob.u, Mytob.t, Mydoom.l.

Не изменились показатели: Mytob.bk


Источник
Информационная служба "Лаборатории Касперского"

Источник_kaspersky.ru

Компания CNN вынуждена была прервать показ телепередач из-за атаки нового червя Zotob, которому удалось поразить сеть телекомпании. Зараженные машины постоянно перезагружались. Червь проник также в компьютерные сети New York Times, компании ABC и других крупных организаций. Zotob копирует себя в системную папку Windows и блокирует доступ к сайтам антивирусных компаний. Затем он запускает ФТП-сервер на 3333-м порте и, используя порт 445, начинает сканировать IP-адреса на наличие других уязвимых систем. Уязвимость в Windows 2000, которую использует червь, была закрыта Microsoft на прошлой неделе, но администраторы жалуются, что еще не успели установить обновление. Windows XP действию вируса не подвержена.

Источник

_http://www.betanews.com/

Источник_http://www.securitylab.ru/

Новые версии Sober воруют пароли

За последние сутки мы обнаружили несколько новых версий почтового червя Email-Worm.Win32.Sober (некоторые из них удостоились полноценного «желтого» предупреждения). Примерно в прошлую полночь был обнаружен последний из новых Sober — Sober.z.

Новые версии Sober мало отличаются от обнаруженных ранее: они по-прежнему используют специфический алгоритм защиты собственных файлов от доступа из других программ и обладают функцией загрузки на зараженный компьютер файлов из интернета.

Однако новые Sober также устанавливают в систему утилиту not-a-virus:PSWTool.Win32.PassView.162.

Эта утилита позволяет видеть скрытые пользовательские пароли — в данном случае речь идет о паролях, сохраненных Internet Explorer и Outlook.

Поскольку ни сами Sober, ни PSWTool.Win32.PassView.162 не обладают возможностью дальнейшей пересылки собранных паролей, то высока вероятность, что программа с подобной функцией будет вскоре загружена червями Sober из интернета на зараженные компьютеры.

«Лаборатории Касперского»

Червь Linux.Lupper

Несколько лет назад я впервые поехал на конференцию по Linux. Помню, мне сразу бросилась в глаза общая неформальная атмосфера: посетители прямо на лекциях разговаривали, пили пиво и пытались взломать ноутбук выступавшего через WiFi посредством обнаруженной тремя днями ранее уязвимости в SSH. Позже я узнал, что подобное поведение норма на конференциях по Linux/Unix, но для новичка это выглядело диковинно.

Одна из презентаций посвящалась вредоносным программам для Unix, в частности — для Linux. Выступавший проанализировал несколько широко известных вирусов, руткитов и бэкдоров для Linux, но обошел стороной сетевые черви. Под конец своего доклада автор отметил, что черви для Linux не просто возможны, но совершенно неминуемо появятся в будущем и станут не менее распространенными, чем, например, CodeRed. Утверждение было встречено явным (то есть, довольно громким) несогласием аудитории, напомнившей выступавшему, что Linux безопаснее Windows и червь вроде CodeRed в принципе не может появиться в Linux. Выступавший вздохнул, но спорить не стал — ему все было и так ясно.

Несколько дней назад наша система мониторинга сети Smallpot стала регистрировать флуд пакетов на 80-м порту. Поскольку в них не содержалось ни кода shell, ни кода переполнения буферов, то система автоматически присвоила им степень «низкой опасности» и отправила в архив. Но вскоре мы заметили, что с этими пакетами все же что-то не так. Обычно мы получаем огромное количество элементарных HTTP-запросов на 80-й порт — спамеры ищут открытые прокси-серверы или иные возможности для рассылки своих писем — но встретить червя, размножающегося через уязвимость на 80-м порту (HTTP) без использования переполнения буфера довольно трудно.

Однако именно так устроен Net-Worm.Linux.Lupper. Червь представляет собой статично скомпилированный ELF-бинарник, способный работать на большинстве систем и укомплектованный набором эксплойтов, предназначенных для уязвимых версий файлов xmlrpc.php и awstats.pl. Файлы эти встречаются во множестве дистрибутивов Linux (в частности, в Gentoo, Mandriva, Slackware, Debian и Ubuntu), а также в старых версиях популярного веблог-пакета WordPress.

Стоит отметить, что встроенная в новейшие процессоры AMD и Intel «железная» защита от переполнения буфера (так называемый NX/XD bit) бесполезна в отражении подобных атак и неспособна защитить компьютер от заражения червем Lupper, что еще раз доказывает несостоятельность рекламирования этой функции как «конец всем вирусам».

Детектирование червя Lupper.a было добавлено в базы антивируса 6 ноября. Вариант «b» стал перехватываться Антивирусом Касперского 9 ноября. Разумеется, Антивирус Касперского для Linux File Servers с запущенной постоянной защитой предотвращает заражение червем Lupper.

Веблог «Лаборатории Касперского»

http://images.km.ru/p..._ins.jpg" align="left" WIDTH="170" HEIGHT="134" hspace="10" BORDER="1">«Лаборатория Касперского» сообщает об обнаружении трех различных вариантов известного сетевого червя Sober. По классификации ЛК им были присвоены индексы «u», «v» и «w». Все модификации представляют собой различные варианты паковки одной и той же вредоносной программы. Многочисленные случаи обнаружения в почтовом трафике новых разновидностей Sober подтверждают информацию о том, что данная эпидемия вызвана цепью спам-рассылок зараженных червем писем.

Новые варианты Sober были разосланы через электронную почту в виде вложений в письма. Размер приложенного файла, который и содержит тело червя, составляет около 130 Кб. Несмотря на то, что заголовок и текст зараженного письма произвольны либо отсутствуют, распознать опасное сообщение позволяет ограниченность набора названий приложенного файла. Они могут быть следующими:

Exceltab-packed_List.exe;

Liste.zip;

Reg-List-Dat_Packer2.exe;

reg_text.zip;

Word-Text.zip;

Word-Text_packedList.exe;

Word-Text_packedList.zip.

Процедура запуска новых версий вредоносной программы стандартна для семейства Sober. Активизация червя производится при самостоятельном открытии пользователем файла, приложенного к зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке: «WinZip Self-Extractor. WinZip_Data_Module is missing ~Error».

Затем вирус копирует себя в системный каталог Windows и регистрируют себя в ключе автозапуска системного реестра. Помимо этого, они создают несколько дополнительных копий и вспомогательных файлов с разными именами в системном каталоге Windows. Для своего размножения черви сканируют файловую систему пораженного компьютера в поисках адресов электронной почты и рассылают себя по обнаруженному списку адресатов.

Соблюдайте максимальную осторожность при работе с электронной корреспонденцией и постоянно обновляйте антивирусные базы.

OK.KM.RU