Гадкие и мерзские вирусы

[Red]

В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов.

Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении c 300-600 рублями).

С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы по прошествии некоторого времени и приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы).

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (владельцы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.

В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.

Всю актуальную информацию об этих троянцах, а также форму разблокировки, которая помогает бесплатно найти необходимый код можно найти здесь. Только за первые 2 дня работы этого проекта, его посетили сотни тысяч пользователей. P.S. сегодня утром разговаривал со знакомым, говорит вчера только вошёл в почтовый ящик и сразу вцепил вирь аналогичного типа - СМС-вымогатель. С виду был похож на eKAV или Internet Sekurity но уже модифицированный. Мне кстати сегодня тоже в почту пришло письмо странное ( что и от кого не разберёшь, беспорядочно составлено из букв английского алфавита без всякого смысла) - не стал даже открывать, сразу его в корзину от греха подальше...

[Red]

Хотел про это уже несколько дней назад написать и забыл. Ну ладно - выложу сейчас, думаю пригодится кому нибудь. 29 января 2010 года

Компания «Доктор Веб» сообщает о кардинальном обновлении утилиты Dr.Web CureIt!, предназначенной для антивирусной проверки и лечения компьютеров, в том числе, с установленным антивирусом другого производителя. В обновленной версии реализованы средства для эффективной борьбы с троянцами-вымогателями семейства Trojan.Winlock.

Новый стартер, включенный в утилиту, активизирует самозащиту всех файлов и процессов Dr.Web CureIt! до начала сканирования.

Стартер обеспечивает запуск утилиты на альтернативном рабочем столе, что позволяет избежать блокировки ее работы в случае заражения системы вредоносными программами семейства Trojan.Winlock.

Обновленная бета-версия Dr.Web CureIt! предназначена для работы на компьютерах под управлением операционных систем Windows 2000 и выше (32- и 64-битные версии). Бета-версия утилиты

[temniy-lord]

не хер плагины с порносайтов ставить мозги на что?

[Red]

Компания Microsoft распространила предупреждения о новой вирусной эпидемии, распространяемой через браузеры. Программа-вредитель под кодовым названием Rogue:MSIL/Zeven автоматически определяет тип браузера, а затем очень похоже имитирует соответствующие диалоги браузера с предупреждением о вирусной угрозе. Фальшивые диалоги предупреждений почти неотличимы от настоящих – далеко не каждый пользователь сможет с первого взгляда определить подделку. Эта уловка представляет собой разновидность социальной инженерии, но в данном случае авторы вируса полагаются на то, что пользователи доверяют своим браузерам – подобная тактика обнаружена впервые.
Кроме фальшивых окон с предупреждениям, вирус позволяет якобы просканировать ваши файлы. Кроме того, вирус предупреждает пользователей о неустановленных вовремя обновлениях, а еще предлагает вам изменить ваши настройки приватности и безопасности. Во время сканирования фальшивый антивирус находит зараженные файлы, однако не удаляет их, предлагая купить полную версию за деньги. Когда пользователь пытается купить продукт, открывается новое окно браузера в так называемом «безопасном режиме» с шифрованием передаваемых данных, правда в данном конкретном случае не приносит жертве никакой пользы. Наконец, веб-страница фальшивого антивируса крайне похожа на страницу известного бесплатного антивируса Microsoft Security Essentials. Скопированы даже награды, полученные пакетом MSE, и ссылка на центр антивирусной защиты Microsoft Malware Protection Center.
Хотя новый вирус очень хорош (как вирус, конечно), но у него тоже есть недостатки. Его цель – заставить пользователя загрузить и установить некую программу, а также забрать у пользователя некоторую сумму, чего точно никогда не рекомендуют разработчики трех браузеров, в работу которых вмешивается новый вирус. Кроме всего прочего, страница предупреждения Firefox содержит явную опечатку ("Get me ouR of here"). Подозрительно и то, что веб-страница сообщает о гарантии на покупку. Часто оказывается, что якобы зараженные файлы, которые обнаружил фальшивый антивирус, вообще отсутствуют на компьютере. Все эти признаки должны немедленно насторожить пользователя – как бы то ни было, новая программа-вредитель отличается невиданным доселе уровнем имитации настоящих антивирусов и детализации.
Несмотря на огромный прогресс в создании вирусов, пользователи могут эффективно защищаться от таких угроз, используя старое, но до сих пор актуальное правило – никогда не загружать и не устанавливать какие-либо файлы только потому, что какая-то веб-страница просит вас сделать это.

---

Будьте внимательны - не устанавливайте и не запускайте ничего лишнего.

[Red]

В Интернете зародилась новая вирусная эпидемия, построенная на старых трюках. Чтобы привлечь внимание легковерных пользователей, вирус распространяется в виде файла под названием «Real kamasutra.pps.exe». Видя расширение PPS, пользователи считают, что это презентация PowerPoint с демонстрацией сексуальных поз и открывают файл, после чего вирус проникает в систему.
Психология пользователей не меняется – сколько существует современный Интернет, столько авторы вирусов используют желание пользователей посмотреть на обнаженную натуру. Вот и на этот раз, презентация «Real kamasutra.pps.exe» содержит 13 слайдов с экзотическими названиями вроде «Лягушка», «Тачка» или «Дилижанс».
Кроме показа слайдов, новый вирус встраивает в систему сразу несколько вредоносных приложений. В частности, главный модуль вируса записывается в виде файла с названием «AdobeUpdater.exe», а в довесок к нему на компьютер попадают вредоносные модули «jqa.exe» и «acrobat.exe».
Простая и одновременно эффективная структура вируса позволяет, с одной стороны, не обмануть ожидания пользователя – презентация действительно отображается на компьютере. С другой стороны, пикантная презентация заражает систему самым настоящим троянцем под названием «Troj/Bckdr-RFM». Этот троянец обеспечивает злоумышленникам удаленный доступ к компьютеру легковерного пользователя, причем этот доступ, как правило, используется для разного рода мошеннических действий, включая рассылку спама, кражу личной информации, показ платной рекламы и участие в массовых атаках на отказ в обслуживании.
В связи с очередной эпидемией стоит еще раз напомнить - не нужно открывать файлы неясного содержания и назначения, а так же загружать контент из сомнительных источников и тем более запускать файлы, если вы не убеждены в их подлинности.

[Red]

3 февраля 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о новом способе распространения троянцев, блокирующих Windows, — через комментарии в «Живом Журнале» (LiveJournal, LJ) — сервисе блогов, особо популярном у русскоязычных пользователей. Жертва, нажимая на полученный комментарий, попадает на сайт фотохостинга, откуда направляется на интернет-ресурс с порнографическим контентом, где ей предлагается загрузить exe-файл, за которым скрывается Trojan.Winlock.

Социальные сети всегда были лакомым кусочком для вирусописателей. Тем не менее, до недавнего времени модификации Trojan.Winlock через них активно не распространялись. Объясняется это, в частности, тем, что активно использовались другие каналы: сайты для взрослых, файлообменники и другие интернет-ресурсы с сомнительным контентом.

В последние месяцы финансовая схема, которой пользуются авторы Trojan.Winlock претерпела некоторые изменения. Прежде всего, это связано с трудностями использования злоумышленниками в тех же объемах коротких номеров, на которые жертвы должны были присылать платные SMS-сообщения. Кроме того, вирусописатели начали активно искать новые каналы распространения, одним из которых с недавнего времени стал «Живой Журнал».

В конце января 2011 года российские пользователи этого популярного сервиса блогов начали получать комментарии (с темой «Немного насущного оффтопа» или «Немного о насущном в оффтоп»), содержащие картинку, при клике на которую попадали на сайт фотохостинга, с которого уже отправлялись на интернет-ресурс с порнографическим контентом. Именно там им предлагалось скачать exe-файл, за которым скрывался печально известный Trojan.Winlock.

Если пользователь попадал в эту ловушку и загружал предлагаемый объект, Trojan.Winlock блокировал его компьютер, выдавая сообщение с требованием перевести на специальный номер определенную сумму денег (как правило, 300-400 рублей).

[Red]

16 марта 2011 года

Компания «Доктор Веб» – российский разработчик средств информационной безопасности – сообщает об обнаружении троянца Trojan.PWS.OSMP, заражающего терминалы одной из крупнейших российских платежных систем. Эта вредоносная программа вмешивается в работу легального процесса maratl.exe, запущенного в операционной системе терминала, и подменяет номер счета, на который осуществляет платеж пользователь. Таким образом, деньги попадают напрямую к злоумышленникам.

Первоначально в операционную систему платежного терминала (ОС Windows) попадает BackDoor.Pushnik, представляющий собой вредоносную программу в виде исполняемого файла, написанного злоумышленниками на языке Delphi. Передается он через съемные носители, в частности USB Flash Drive. Как только такая «флешка» подключается к терминалу, происходит автозапуск бэкдора. В дальнейшем BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит «задача» загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) с третьего сервера.
Trojan.PWS.OSMP – одна из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. Попадая в операционную систему, троянец проверяет программное обеспечение, установленное на терминале и осуществляет поиск процесса maratl.exe, который является вполне легальной программой. Далее Trojan.PWS.OSMP встраивается в maratl.exe, меняя его память. В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги. Средства, таким образом, попадают напрямую вирусописателям.
Последняя известная модификация Trojan.PWS.OSMP, появившаяся в конце февраля 2011 года, действует уже по другой схеме. Она крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник.
Сейчас можно с уверенностью говорить, что Trojan.PWS.OSMP представляет наибольшую опасность для терминалов, подключенных к Интернету и использующих maratl.exe. Специалисты «Доктор Веб» уже передали всю известную им информацию компании — владельцу терминалов, которые находятся под угрозой. Надеемся, что это поможет решить проблему в кратчайшие сроки и уберечь пользователей от потери денежных средств.
По оценкам специалистов из процессинговой компании вероятность заражения терминалов этим троянцем является невысокой ввиду специфики обслуживания. По их словам, активность Trojan.PWS.OSMP на данный момент оценивается как низкая.

[Red]

Это конечно уже не совсем новость - но всё же... Будьте на чеку - дамы и господа, обновляйтесь только с офф.сайта.

---

Специалисты финской антивирусной компании F-Secure сообщили об обнаружении троянской программы, нацеленной, по их мнению, на российских пользователей, и незаметно отсылающей SMS на платные номера. Троян, получивший название OpFake, маскируется под обновления популярного в России браузера для мобильных устройств Opera Mini, кроме того, большинство обнаруженных образцов предназначены для установки на ОС Symbian, на которой работают телефоны Nokia, также весьма распространенные в нашей стране.
Наконец, для "монетизации" своей преступной деятельности мошенники используют платные короткие номера, что является отличительной чертой именно российского рынка киберпреступности. Финские эксперты также утверждают, что сервер, с которого осуществляется загрузка вредоносных программ, находится в Санкт-Петербурге.
Необычным, по мнению экспертов из F-Secure, является тот факт, что обнаруженные ими образцы используют код мобильного банковского троянца Spitmo, который до сих пор использовался для взлома систем дистанционного банковского обслуживания в интернете. Однако в случае с OpFake, функционал Spitmo, связанный с управлением папками SMS в зараженном смартфоне, используется как основное орудие нечестного заработка хакеров. Всего специалисты F-Secure обнаружили 54 модификации OpFake, использующие код Spitmo. Вероятно, в будущем их количество возрастет: хакеры создают разные версии своих вредоносных программ, в том числе для того, чтобы затруднить их обнаружение антивирусами.
Попав в телефон, троянская программа предлагает установить важное обновление. Если пользователь выражает согласие нажатием соответствующей кнопки, ему демонстрируется изображение, отображающее ход установки, но никакой установки не происходит — вместо этого система тайно отсылает SMS на платные номера. Помимо отсылки SMS, программа управляет папкой SMS-сообщений телефона: удаляет входящие сообщения и сообщения из папки "отправленные", — то есть делает все, чтобы владелец телефона максимально долго не знал о том, что с его счета исчезают деньги. Чтобы не стать жертвой хакеров, специалисты советуют устанавливать обновления программ только из доверенных источников.

[cyberbob]

Red, Кстати этой дрянью полным ходом недавно шло заражение сайтов на вобле. Инклуд обнаруживал по рефереру мобильные браузеры и предлогал юзерам обновиться.

[MiraMaX166]

cyberbob, +1, видел неоднократно на мобильной опере такую хрень, но это легко палится... левые ссылки и т.д. Короче, развод виден сразу, но не для всех... Рядовые юзеры ведутся...