Обновление Dr.Web для Microsoft Exchange Server 2000/2003

09.10.2009 [10:46], Сергей и Марина Бондаренко

Компания «Доктор Веб» сообщил о выпуске обновленной версии плагина Dr.Web для Microsoft Exchange Server 2000/2003. Приложение защищает корпоративную почтовую систему от вирусов и спама, интегрируясь в нее и проверяя все письма и вложения, поступающие серверу для обработки.

Обновленная версия Dr.Web для Microsoft Exchange Server 2000/2003 предоставляет расширенные возможности работы с карантином – реализовано повторное сканирование находящихся в нем объектов, что позволяет нейтрализовать вредоносные программы после обновления вирусных баз.

Кроме того, в обновлении исправлен ряд ошибок, выявленных ранее:

• устранены проблемы, связанные с установкой приложения и его функционированием;
• исправлены ошибки, приводившие к аварийному завершению работы приложения и/или сервисов Exchange;
• исправлены ошибки, приводившие к аварийному завершению работы графического пользовательского интерфейса;
• внесены исправления в работу приложения со службой каталогов Active Directory;
• исправлены ошибки работы приложения со службой IIS;
• исправлено конфигурирование сессии при отправке уведомлений посредством MAPI;
• изменен сканирующий модуль DrWebEngine, в результате чего проверка почтовых сообщений на спам происходит без ошибок;
• изменена работа карантина: теперь при удалении программы база карантина сохраняется. Если при установке программы будет найден соответствующий файл, пользователю будет предложено использовать найденную базу карантина или удалить ее.

В результате исправления ошибок и улучшения программного кода повышены устойчивость и скорость работы программы.

Об особенностях установки обновленной версии Dr.Web для Microsoft Exchange Server 2000/2003 можно прочитать здесь.

Материалы по теме:

- Kaspersky Internet Security 2010 - отправьте вирусы в песочницу;
- Norton 360: защита на 360 градусов.

• news.drweb.com

Статистика вредоносного ПО в сентябре по версии ESET

09.10.2009 [09:01], Сергей и Марина Бондаренко

Компания ESET сообщила о самых распространенных интернет-угрозах, выявленных специалистами вирусной лаборатории ESET с помощью технологии раннего обнаружения ThreatSense.Net в сентябре 2009 года.

В мировом рейтинге зафиксировано увеличение вредоносного ПО, распространяющегося с помощью съемных носителей. На сегодняшний день угрозы INF/Autorun находятся на второй позиции рейтинга (7,53%). Высокий процент заражений autorun-угрозами отмечен в Объединенных Арабских Эмиратах (7,36%), в Израиле (4,99%), Латвии (4,97%) и Литве (5,45%).

Первое место по-прежнему сохраняет червь Conficker (8,76%). Сегодня это угроза номер один в России (17,95%), на Украине (27,03%), в Румынии (13,64%), Болгарии (13,63%), Сербии (8,82%), Италии (7,51%), Великобритании (5,5%) и Австрии (2,83%). Также в сентябре зафиксирован резкий скачок числа инфицированных червем Conficker компьютеров в ЮАР. Количество заражений увеличилось на 100%, по сравнению с предыдущим месяцем, и составило 18,51%. В российской вирусной двадцатке традиционно первое и второе место занимают версии червя Win32/Conficker.AA (7,68 %) и Win32/Conficker.AE (4,68 %), соответственно.

Другой мировой тенденцией, отмеченной в сентябре, стало сокращение вредоносного ПО для online-игр, например, для Second Life. Несмотря на это, процент заражений все еще достаточно высок - 6,36%. Трояны-кейлогеры семейства Win32/PSW.OnLineGames занимают третье место в мировом вирусном рейтинге.

В сентябре широкое распространение получили программы семейства Win32/Agent, используемые злоумышленниками для кражи информации с инфицированных компьютеров. Процент заражений составил 3,46%. Данное ПО стало угрозой номер один в Дании (3,32%), большое количество инфицированных компьютеров также было отмечено в Швеции (2,75%) и в России (3,74%).

Материалы по теме:

- Kaspersky Internet Security 2010 - отправьте вирусы в песочницу;
- Norton 360: защита на 360 градусов.

• www.esetnod32.ru

Обновление Dr.Web для Mac OS X

07.10.2009 [20:33], Сергей и Марина Бондаренко

Компания «Доктор Веб» обновила антивирусное решение Dr.Web для Mac OS X. Основным новшеством стала поддержка последней версии операционной системы Mac OS X – 10.6, известной также под названием Snow Leopard. В целом же изменения, исправления и добавления коснулись целого ряда компонентов.

Изменения в обновленном Dr.Web для Mac OS X:

• Теперь при деинсталляции Dr.Web для Mac OS X ключевые файлы сохраняются, что позволяет избежать необходимости перерегистрации и получения ключа при повторной установке. Сам менеджер ключей стал более функциональным.
• Обновление позволяет сохранить настройки старой версии антивируса, если новая устанавливается поверх нее.
• При добавлении папок и файлов в списки исключений антивирусного сканера и монитора SpIDer Guard разрешены символические ссылки.

В обновлении исправлены некорректные действия с файлами, защищенными от записи и имеющими флаги блокировок на томах MS-DOS и Mac OS, а также оповещение об ошибках при обновлении вирусных баз и ошибки локализации.

Для пользователей Dr.Web для Mac OS X обновление устанавливается "поверх" ранее установленной версии продукта.

Материалы по теме:

- Kaspersky Internet Security 2010 - отправьте вирусы в песочницу;
- Norton 360: защита на 360 градусов.

• news.drweb.com

На Youtube обнаружен видеоспам

07.10.2009 [16:58], Сергей и Марина Бондаренко

Лаборатория контентной фильтрации «Лаборатории Касперского» зафиксировала рассылку, в которой содержалась ссылка на рекламный видеоролик, выложенный на сайте Youtube. Обнаруженная спам-рассылка имела несколько вариантов оформления, однако во всех письмах использовалась одна и та же ссылка на известный видеохостинг.

Зафиксированный случай креативного подхода к массовой рассылке не первый для российских спамеров в этом году. В апреле были обнаружены письма с нестандартными сложными изображениями, рекламирующими спам-услуги. Графические файлы были зашумлены специальными методами, поэтому представляли проблему для фильтрации.

Материалы по теме:

- Россия не подготовлена к росту трафика;
- Warner и YouTube договариваются о сотрудничестве.

• www.kaspersky.ru

Бета-версия антивируса ESET NOD32 Mobile для ОС Symbian

07.10.2009 [09:01], Сергей и Марина Бондаренко

Компания ESET начала бета-тестирование версии Антивируса ESET NOD32 Mobile для платформы ОС Symbian.

Технология ESET ThreatSenseTM, адаптированная под мобильные устройства, позволяет распознавать не только известное вредоносное ПО, но также новые программы, способные нанести вред мобильному устройству, похитить ценную информацию или снять деньги со счета пользователя. Для защиты от рекламных и мошеннических сообщений используется настраиваемый пользователем спам-фильтр. Все подозрительные файлы помещаются в раздел «карантин», и пользователь может по своему усмотрению восстановить их или удалить.

Эвристический анализатор ESET NOD32 Mobile сканирует на наличие вредоносного кода не только встроенную память мобильного устройства, но и подключаемые к нему сменные носители. В Антивирус ESET NOD32 Mobile реализована проверка архивных файлов с возможностью настройки глубины сканирования вложенных архивов.

Скачать бета-версию ESET NOD32 Mobile для ОС Symbian можно отсюда.

Материалы по теме:

- Kaspersky Internet Security 2010 - отправьте вирусы в песочницу;
- Norton 360: защита на 360 градусов.

• www.esetnod32.ru

Хакеры увели больше 10000 адресов и паролей с Hotmail

06.10.2009 [19:21], Денис Борн

Тысячи учётных записей сервиса электронной почты Hotmail были скомпрометированы в результате фишинговой атаки, как подтвердила Microsoft. В сети появились около 10000 адресов e-mail и паролей к ним. Софтверный гигант уже приступил к расследованию. Фишинговая атака подразумевает использование имитирующих настоящие веб-сайтов, чтобы заставить пользователей ввести конфиденциальную информацию, такую как данные банковского счёта, логин и пароль и другие. Обычно пользователю посылается электронное письмо с неким сообщением о срочной необходимости пройти по ссылке, якобы ведущей на легитимный сайт, и подтвердить верность информации о нём либо перерегистрироваться в связи с обновлением ресурса. На самом же деле за ссылкой находится созданная мошенниками копия. "Мы осведомлены, что некоторые персональные данные клиентов Windows Live Hotmail были незаконным образом получены и выложены в свободный доступ в сети, - заявил представитель Microsoft. – В ходе изучения ситуации мы сразу же убедились, что информация будет удалена, приняли меры по блокированию доступа к скомпрометированным учётным записям и начали расследование".

Консультант по компьютерной безопасности из компании Sophos Грэхэм Клали (Graham Cluley) считает, что опубликованный список – это всего лишь небольшая часть украденных учётных записей: "Мы до сих пор не знаем масштаба проблемы". Согласно некоторым сообщениям, впервые адреса с почтового сервиса появились ещё 1 октября на одном из сайтов для разработчиков программного обеспечения. Список содержал e-mail, начинающиеся на "A" и "B". Заканчивались адреса на hotmail.com, msn.com и live.com. Грэхэм Клали советует пользователям изменить пароли как можно быстрее: "Я бы также порекомендовал сменить пароли на всех посещаемых веб-сайтах". Около 40% людей используют один и тот же набор символов на всех ресурсах.

Материалы по теме:

- В России будет создан безопасный браузер для чиновников;
- Количество опасных ссылок быстро растет;
- NSS Labs: Internet Explorer 8 занял первое место по безопасности.

Рейтинг вредоносных программ сентября по версии "Лаборатории Касперского"

06.10.2009 [17:28], Сергей и Марина Бондаренко

«Лаборатория Касперского» представила вниманию пользователей рейтинг вредоносных программ. По итогам работы Kaspersky Security Network в сентябре 2009 года сформированы две вирусные двадцатки. В первой из них зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним — то есть в рамках работы программного компонента on-access-сканер.

Общие показатели обеих двадцаток несколько снизились – это связано с запуском новой линии продуктов KAV/KIS: многие пользователи перешли на новую версию. Как только статистика KSN в новых версиях стабилизируется, она будет включена в ежемесячный рейтинг.

Kido все еще активен. Помимо лидера последних двадцаток Kido.ih, появился новичок Kido.ir. Под этим именем детектируются все autorun.inf-файлы, которые червь создает для распространения с помощью переносных носителей.

Довольно быстро распространяется червь Palevo, в сентябрьской двадцатке можно увидеть еще две новых версии этого зловреда: Palevo.jdb и Palevo.jcn. А новичок прошлого выпуска – Palevo.jaj – поднялся сразу на 6 пунктов вверх, чего не смог сделать ни один из остальных участников рейтинга. Надо заметить, что такие высокие позиции эти две вредоносные программы заняли в основном благодаря распространению через сменные носители, что говорит о том, что такой способ распространения является одним из наиболее эффективных до сих пор.

Наиболее заметными в первом рейтинге являются самораспространяющиеся зловреды – тенденция к усилению их влияния сохраняется.

Во второй двадцатке по-прежнему много обновлений. Здесь есть сразу два представителя семейства Exploit.JS.Pdfka: под таким именем детектируются JavaScript-файлы, которые содержатся внутри PDF-документов и используют различные уязвимости в продуктах Adobe (в данном случае – в Adobe Reader). Pdfka.ti использует популярную уязвимость двухлетней давности в функции Collab.collectEmailInfo. Pdfka.vn использует уязвимость уже поновее – в функции getIcon того же объекта Collab.

Все уязвимости в продуктах Adobe, которых было обнаружено довольно много за последние годы, злоумышленники пытаются массово эксплуатировать – вне зависимости от версии продукта, для большей вероятности загрузки на пользовательские компьютеры основного зловреда. Ведь всегда есть вероятность, что какое-то количество пользователей не обновили программные продукты.

Таким образом, тенденция прошлых месяцев сохраняется: количество веб-пакетов зловредных программ, использующих всевозможные уязвимости в крупных продуктах, продолжает расти, открывая злоумышленникам широкое поле для дальнейшей деятельности. Их распространению способствуют простейшие iframe-кликеры, расположенные на зараженных легальных сайтах. А доступом к этим сайтам киберпреступники обладают в результате уже произведенных заражений с помощью вредоносных программ, похищающих конфиденциальные данные. И здесь круг замыкается.

Материалы по теме:

- Kaspersky Internet Security 2010 - отправьте вирусы в песочницу.

• kaspersky.ru

Выпущены новые продукты Panda 2010 для домашних пользователей

06.10.2009 [16:40], Сергей и Марина Бондаренко

Panda Security сообщила о запуске новых решений линейки 2010 для домашних пользователей, в состав которых входят Panda Antivirus Pro 2010, Panda Internet Security 2010 и Panda Global Protection 2010. Новые решения безопасности для домашних пользователей обеспечивают на 80% снижение влияния на производительность ПК, по сравнению с предыдущими версиями. Новые решения Panda также предлагают на 60% улучшенную скорость просмотра файлов и на 40% более высокую скорость загрузки, по сравнению с предыдущими версиями, потребляя 8 MБ памяти.

Все новые решения Panda Security включают технологию USB-вакцинации, которая позволяет блокировать распространение вредоносных программ с USB-устройств. Кроме того, решения Panda 2010 включают новый эвристический движок в сочетании с генетическими сигнатурами, которые работая вместе с технологией сканирования «из облака» от Коллективного Разума, предлагают высокую степень защиты от самого нового вредоносного ПО и троянов, осуществляющих кражу персональной информации.

Panda Antivirus Pro 2010 работает по принципу «Установил и забыл». Рекомендованная розничная цена на продукт Panda Antivirus Pro 2010 на 1 год составляет 1080 руб. для 3 ПК.

Panda Internet Security 2010 – это полный комплекс защиты от всех видов угроз: вирусов, руткитов, хакеров, онлайн-мошенничества, кражи персональной информации и всех других интернет-угроз. Данное решение также предлагает функцию резервирования необходимых файлов онлайн и предоставляет для этого 2 ГБ свободного места, а также систему инструментов для восстановления файлов. Рекомендованная розничная цена на продукт Panda Internet Security 2010 на 1 год составляет 1600 руб. для 3 ПК.

Panda Global Protection 2010 – это комплексное решение безопасности от Panda Security, которое защищает пользователей от Интернет-угроз, от вирусы, программ-шпионов, руткитов, хакеров, онлайн-мошенничества и кражи персональных данных. В дополнение к антиспамовому движку и функции родительского контроля, пользователи также могут сохранять резервные копии важных файлов (документов, музыкальных файлов, фотографий и пр.) на CD/DVD или онлайн (до 5 ГБ свободного места) и восстанавливать их в случаи их случайной потери и повреждения. Рекомендованная розничная цена на продукт Panda Global Protection 2010на 1 год составляет 1960 руб. для 3 ПК.

Новые продукты уже можно купить здесь.

Материалы по теме:

- Kaspersky Internet Security 2010 - отправьте вирусы в песочницу;
- Norton 360: защита на 360 градусов.

• viruslab.ru

Обзор вирусной активности в сентябре по версии компании «Доктор Веб»

06.10.2009 [15:47], Сергей и Марина Бондаренко

Сентябрь — время, когда «одноклассники» возвращаются за свои компьютеры с каникул, а те, кто постарше — из отпусков прямиком на свое рабочее место в офисе. Активность пользования Интернетом возрастает — неизбежно возрастает и количество интернет-угроз и пострадавших от них пользователей. В сентябре 2009 года наиболее актуальными вирусными событиями стали резко возросшая активность троянской программы Trojan.Encoder, шифрующей данные на компьютерах своих жертв, продолжение нашествия лже-антивирусов, а также оригинальные методы «взлома» социальных сетей. Компания «Доктор Веб» представляет обзор этих и других угроз, под «знаком» которых прошел сентябрь.

Лже-антивирусы уже не первый месяц беспокоят пользователей по всему миру. Для того, чтобы человек скачал такую вредоносную программу, придумываются самые разные ухищрения — от специальных интернет-ресурсов с рекламой вымышленного «антивируса» до традиционных спам-рассылок.

В конце сентября заметное распространение получила одна из модификаций лже-антивирусов Trojan.Fakealert.5115. Пик активности этой вредоносной программы пришёлся на 27 сентября, когда на серверах статистики "Доктор Веб" было зафиксировано более 800 тысяч ее обнаружений.

После запуска Trojan.Fakealert.5115 в области уведомлений Windows появляется значок с сообщением о том, что система инфицирована и что необходимо использовать специальное ПО для того, чтобы избежать потери данных. Далее сообщается о том, что Windows автоматически загрузит необходимое ПО, для чего нужно щёлкнуть по сообщению.

После этого со специально подготовленных серверов происходит загрузка остальных компонентов Trojan.Fakealert.5115, которые определяются Dr.Web как Trojan.Fakealert.4709 и Trojan.Fakealert.5112. Из визуальных проявлений Trojan.Fakealert.5115 можно также отметить отображение окна вымышленного антивирусного продукта под названием Antivirus Pro 2010.

В настоящее время отмечено распространение новых модификаций этого лже-антивируса — Trojan.Fakealert.5229 и Trojan.Fakealert.5238. Отличием Trojan.Fakealert.5229 других подобных модификаций является перезагрузка системы во время работы троянской программы.

Trojan.Fakealert.5238 отличается тем, что отображает модифицированное окно Windows Security Center, в котором сообщается о том, что компьютер якобы защищён с помощью Antivirus Pro 2010, но необходимо приобрести его лицензию.

При нажатии на соответствующую кнопку открывается специально подготовленный сайт, с помощью которого можно купить данную весьма недешёвую бутафорию. На деле же предлагаемый "полноценный антивирус", как и всегда, оказывается пустышкой.

Лже-антивирусы уже в течение нескольких лет обеспечивают злоумышленникам значительный доход, полученный преступным путём, но за последний месяц распространение данного типа вредоносного ПО существенно усилилось.

С необычным предложением обратился к своим потенциальным жертвам один из вирусописателей со своей странички в Интернете. Он опубликовал подробности о якобы обнаруженном недавно методе взлома учётных записей пользователей популярной социальной сети «ВКонтакте». При помощи этого метода, злоумышленник предлагает получить возможность редактировать чужие анкетные данные, а также одновременно защитить от данной "уязвимости" свой профиль.

Для достижения этой цели он рекомендует пользователю самостоятельно модифицировать системный файл hosts. При этом с плеч вирусописателя снимается забота о том, как реализовать данную операцию в рамках вредоносной программы.

Естественно, после выполнения инструкций, долгожданный эффект, обещанный автором сайта, не наступает. На этот случай злоумышленник предлагает загрузить программу, которая внесёт необходимые настройки автоматически. И тут пользователей ждёт разочарование — поскольку и теперь ожидаемого результата нет. Что и неудивительно, ибо эта программа определяется Dr.Web как Trojan.DownLoad.47503. Как показывает статистика, почувствовать себя «хакерами» решили сотни посетителей сети. Вредоносная программа продолжает своё распространение, пик которого пришёлся на 28 сентября.

В течение последней недели сентября 2009 года через рассылку по ICQ получила распространение новая модификация Trojan.Winlock — 252 и Trojan.PWS.LDPinch.1941.

Пользователю приходило сообщение, содержащее текст: "Никого не узнаешь на этой фотке?" и ссылку на веб-страницу, где якобы опубликована фотография.

При загрузке веб-страницы скачивается файл lock.ex, упакованный вирусными упаковщиками. В процессе своей работы он сохраняет на компьютер пользователя четыре файла — explorerr.ex, svcoost.ex, 43.jpg, а также 154.bat — файл, удаляющий дроппера.

Explorerr.ex определяется Dr.Web как Trojan.PWS.LDPinch.4308. Он упакован вирусным упаковщиком + FSG. Распакованный объект детектируется как Trojan.PWS.LDPinch.1941. В свою очередь svcoost.ex определяется как Trojan.Winlock.252.

Тот факт, что теперь Trojan.Winlock распространяется вместе с «пинчем», делает эту угрозу еще более опасной, поскольку не только блокируется система, но и похищаются пароли, найденные на компьютере жертвы.

Материалы по теме:

- Dr.WEB для Windows - Антивирус + Антиспам.

• news.drweb.com

Новый DDoS-фильр защитит от хакеров

05.10.2009 [09:01], Денис Борн

Технология защиты против атак типа DoS (Denial of Service - атака типа "отказ в обслуживании"), осуществляемых против компьютерных сетей, серверов и систем облачных вычислений, может существенно повысить безопасность государственных, коммерческих и образовательных структур. Свою разработку в этой области предложили исследователи из Университета Аубурна (Auburn University), Алабама. Атаки DoS и DDoS (Distributed Denial of Service - распределённая атака типа "отказ в обслуживании") делают сетевой ресурс недоступным для пользователей. Обычно цель такого нападения лежит в коммерческой плоскости и заключается в снижении репутации ресурса, уменьшении его клиентской базы, перенаправлении на ложный адрес, получении доступа к закрытой информации и тому подобное.

Атака подразумевает получение целевым сервером ложных запросов из внешней сети (интернета). В случае DDoS запросы формируются множеством компьютеров, чьи владельцы часто не подозревают о характере сетевой активности своих инфицированных вредоносным ПО машин. Например, злоумышленник может дать команду ботнету из тысяч взломанных ПК ("зомби") направлять пакеты по такому-то адресу. В результате "жертва", будь это вебсайт, почтовый сервер или база данных не сможет своевременно ответить на легитимный трафик, обрабатывая ложный, и станет недоступной извне. Методы противостояния заключаются в конфигурировании программного и аппаратного обеспечения для фильтрации подозрительного потока данных и распознавания его признаков по определённым "отпечаткам". Тем не менее, фильтры часто расположены на тех же серверах, которые подвергаются нападению, поэтому при массивной DDoS-атаке вычислительные ресурсы истощаются.

Инженеры компьютерных систем Джон Ву (John Wu), Тонг Лю (Tong Liu), Энди Хуанг (Andy Huang) и Дэвид Ирвин (David Irwin) придумали фильтр против DoS-атак, который обходит проблему путём применения нового пассивного протокола для обоих участников обмена трафиком: пользователя и ресурса. Называется разработка "Основанный на идентичности фильтр контроля доступа с защитой конфиденциальности" (Identity-Based Privacy-Protected Access Control Filter, IPACF) и блокирует потоки данных к защищаемым компьютерам, серверам идентификации (AS) и другим машинам, позволяя пользователям с верным паролем беспрепятственно работать с веб-ресурсами. Компьютер пользователя должен передать некое сгенерированное для фильтра значение серверу для быстрой проверки. Оно представляет собой одноразовый сформированный закрытый ключ, отправляемый вместе с идентификатором. Атакующий не может подобрать обе величины корректно, и ложные пакеты данных не пропускаются.

Препятствие в использовании дополнительной информации для проверки подлинности запросов заключается в затрачиваемых на процесс вычислениях. Однако исследователи протестировали, насколько приемлемо IPACF справляется с массивными DDoS-атаками, смоделированными на сети из 1000 узлов с пропускной способностью 10 Гбит/с. Они обнаружили, что сервер испытывает незначительную нагрузку, время задержки ответа также ненамного возрастает и дополнительная вычислительная мощность почти не требуется, даже когда весь 10-Гбит канал заполнен DDoS-пакетами. У IPACF уходит 6 наносекунд на признание пакета данных ассоциированным со злонамеренным трафиком.

Материалы по теме:

- Microsoft научилась выслеживать спамеров;
- Kasperky Lab исследовала экономику ботнетов;
- Атака сетевых «зомби».

• www.inderscience.com

Автор Trojan.Encoder маскирует зараженные файлы под DrWeb

03.10.2009 [12:36], Сергей и Марина Бондаренко

Специалисты компании «Доктор Веб» обнаружили во всемирной паутине новые модификации семейства троянских программ Trojan.Encoder. На сей раз автор этой вредоносной программы пытается скомпрометировать компанию: при шифровке данных на компьютере жертвы одна из обнаруженных модификаций добавляет к зараженным файлам окончание DrWeb.

Две новые модификации известной программы-вымогателя Trojan.Encoder были обнаружены 1 октября. Эти «творения» принадлежат пресловутому «Корректору» – автору Trojan.Encoder.34, а также 37, 38, 39, 40 и 41.

Как и более ранние модификации, новые версии Trojan.Encoder, попадая на компьютер жертвы, шифруют все хранящиеся там данные (кроме системных файлов) и требуют перечислить автору вредоносной программы определенную сумму денег.

Вследствие успешного противодействия троянской программе со стороны антивируса Dr.Web у ее автора, видимо, и зародилось желание «напакостить» при помощи упоминания нашей торговой марки в названии зашифрованных файлов: например, 7ae62678c702.jpg.DrWeb. Подобное расширение добавляет к файлам одна из обнаруженных модификаций троянской программы.

Для лечения второй обнаруженной модификации, которая детектируется Dr.Web как Trojan.Encoder.45, специалисты "Доктор Веб" уже разработали утилиту.

Компания «Доктор Веб» в очередной раз обращает внимание пользователей на то, что не имеет никакого отношения к Trojan.Encoder и ее автору. Кроме того, специалисты категорически не рекомендуют платить злоумышленнику какой-либо выкуп, а также переустанавливать систему и восстанавливать ее из резервных копий. Для того чтобы спасти файлы и избавиться от модификаций Trojan.Encoder, необходимо обратиться за помощью в техподдержку «Доктор Веб», либо в специальный раздел официального форума.

Материалы по теме:

- Kaspersky Internet Security 2010 - отправьте вирусы в песочницу;
- Norton 360: защита на 360 градусов.

• news.drweb.com

Новая версия линейки корпоративных продуктов от "Лаборатории Касперского"

02.10.2009 [20:40], Сергей и Марина Бондаренко

«Лаборатория Касперского» сообщила об обновлении линейки корпоративных продуктов Kaspersky Open Space Security. В нее вошли новая версия средства централизованного управления антивирусной защитой Kaspersky Administration Kit, а также три приложения, защищающих рабочие станции и серверы под управлением операционной системы Microsoft Windows. Продажи Kaspersky Open Space Security Release 2 в России начались 1 октября 2009 года.

Новые приложения полностью совместимы с операционными системами от Microsoft Windows 7 и Windows Server 2008 R2. В Kaspersky Administration Kit 8.0 появились или были улучшены более 40 функций, что позволяет реализовать гибкую модель управления антивирусной защитой в организациях, имеющих компьютерные сети самого разного размера, – от нескольких ПК до распределённых сетей со сложной структурой управления. Кроме централизованной системы администрирования в обновлённую линейку (Release 2) вошли три корпоративных решения для обеспечения безопасности узлов сети – Антивирус Касперского 6.0 для Windows Workstations, Антивирус Касперского 6.0 для Windows Servers и Антивирус Касперского 6.0 Second Opinion Solution. В них интегрированы новое антивирусное ядро и средство проактивной защиты – эвристический анализатор.

Рекомендованные цены на корпоративные продукты «Лаборатории Касперского» не изменились. Дополнительная информация о корпоративных решениях «Лаборатории Касперского» доступна на специальном разделе сайта.

Материалы по теме:

- Kaspersky Internet Security 2010 - отправьте вирусы в песочницу.

Dr.Web CureNet! - защита корпоративных сетей

02.10.2009 [18:23], Сергей и Марина Бондаренко

Компания «Доктор Веб» сообщила о выходе нового антивирусного продукта – Dr.Web CureNet! Новая программа предназначена для централизованной проверки и лечения рабочих станций и серверов под управлением MS Windows 2000/XP/2003/Vista/2008/Windows 7.

Dr.Web CureNet! – это централизованно управляемый антивирус для страховки и усиления безопасности корпоративных сетей, в которых используется антивирус других производителей. Dr.Web CureNet! придет на помощь в критической ситуации, когда используемый антивирус либо не видит вирус, либо не может справиться с вирусной угрозой.

Лечащие сканеры Dr.Web CureNet! централизованно распространяются по сети, запускаются (а не устанавливаются!) на рабочих станциях, выполняют свою работу, после чего самоудаляются. Dr.Web CureNet! не требует наличия сервера или установки какого-либо дополнительного ПО, его запуск возможен с любого внешнего носителя, например, USB-накопителя.

Dr.Web CureNet! можно использовать не только как средство «скорой антивирусной помощи», но и как инструмент диагностики. Для этого предусмотрен бесплатный демо-режим работы утилиты, позволяющий в любой момент проверить, не пропустил ли в сеть что-то «нехорошее» антивирус, установленный на компьютере. В этом режиме функция лечения отсутствует.

Материалы по теме:

- Kaspersky Internet Security 2010 - отправьте вирусы в песочницу;
- Norton 360: защита на 360 градусов.

• news.drweb.com

Security Essentials: бесплатный антивирус от Microsoft

30.09.2009 [14:14], Сергей и Марина Бондаренко

После продолжительного бета-тестирования, наконец доступна первая версия бесплатного антивируса Microsoft Security Essentials, известного ранее под кодовым названием Morro. Новая программа работает в среде Windows XP, Vista и 7. Она была разработана как замена коммерческого приложения Windows Live OneCare. В Security Essentials используется тот же механизм обеспечения защиты от вредоносных модулей, что и в OneCare и Forefront, но новый антивирус не встроен в операционную систему.

По сравнению с OneCare, новый антивирус использует меньше системных ресурсов, но при этом он менее функционален. С помощью Security Essentials можно защититься от троянов, вирусов и прочих вредоносных программ, но в нем нет средств для резервного копирования и управления системой.

Скачать новую программу можно отсюда.

Материалы по теме:

- Kaspersky Internet Security 2010 - отправьте вирусы в песочницу;
- "СТРИМ.Антивирус 8": вакцина от сетевых инфекций.

Новая волна распространения Trojan.Encoder

29.09.2009 [17:45], Сергей и Марина Бондаренко

Компания «Доктор Веб» сообщает о широком распространении Trojan.Encoder (Trojan.Encoder.34, а также 37, 38, 39, 40 и 41). Вирусы данного семейства шифруют данные на компьютерах пользователей и требуют деньги за расшифровку. Последние модификации Trojan.Encoder принадлежат перу одного автора, иногда называющего себя «Корректор».

Модификации данного семейства вирусов шифруют большинство документов на компьютере, делая невозможной работу с ними. Исключение составляют файлы, относящиеся к системе и установленным в ней программам. Заражению они не подвергаются, а компьютер продолжает работать, позволяя жертве мошенничества связаться со злоумышленником и перечислить ему требуемую сумму денег.

Особенностью последних модификаций Trojan.Encoder является то, что они добавляют к зараженным файлам окончание vscrypt — к примеру, вместо pic.jpg файл получает имя pic.jpg.vscrypt.

Trojan.Encoder в настоящее время распространяется посредством ссылок на вредоносный сайт в почтовых сообщениях. Пользователю предлагается просмотреть открытку, якобы присланную от имени сервиса открыток Мail.ru. При открытии соответствующей страницы предлагается установить кодек, который на самом деле оказывается троянской программой.

После окончания процесса шифрования файлов Trojan.Encoder выводит на Рабочий стол Windows сообщение о том, что документы зашифрованы, а также приводит контактные данные злоумышленника.

Большинство модификаций Trojan.Encoder предлагают пользователю воспользоваться дешифровщиком, для чего требуют перевести на счет киберпреступников от 10 до 89 долларов. Аппетит «Корректора» сопоставим с запросами авторов предыдущих модификаций — в настоящий момент пользователи-жертвы сообщают о цене в 600 рублей за один экземпляр расшифровщика.

Компания «Доктор Веб» категорически не рекомендует платить злоумышленникам выкуп. Кроме того, не рекомендуется пытаться переустановить систему и восстанавливать ее из резервных копий. Для расшифровки данных можно воспользоваться специальными утилитами, разработанными специалистами компании «Доктор Веб». Доступ к этим утилитам предоставляется по запросу пользователей, выславших образцы зашифрованных файлов, которые позволят определить версию Trojan.Encoder.

Материалы по теме:

- Kaspersky Internet Security 2010 - отправьте вирусы в песочницу;
- "СТРИМ.Антивирус 8": вакцина от сетевых инфекций.

• news.drweb.com

Dr.Web для почтового сервера MS Exchange 2007

29.09.2009 [17:11], Сергей и Марина Бондаренко

Компания «Доктор Веб» выпустила приложение Dr.Web для почтового сервера MS Exchange 2007. Новый продукт обеспечивает надежную защиту корпоративных почтовых систем, организованных на базе Microsoft Exchange Server 2007, от вирусов и спама.

Dr.Web для почтового сервера MS Exchange 2007 поддерживает новые концепции организации Exchange Server 2007 — серверной роли и транспортного агента, а также новую структуру SMTP-событий почтового сервера. Теперь весь поток электронных сообщений на разных этапах SMTP-транспортировки обрабатывается антивирусными транспортными агентами приложения Dr.Web. При этом проверка писем на предмет наличия вирусов и спама может выполняться как на транспортном уровне, так и на уровне поддержки антивирусного интерфейса VSAPI 2.6.

При установке программы транспортные агенты и модуль поддержки антивирусного интерфейса VSAPI 2.6 регистрируются опционально, в зависимости от установленных для сервера ролей. Поддержка транспортных агентов допускает установку приложения Dr.Web на сервере с ролью пограничного транспорта (edge transport), не являющегося членом домена Active Directory и находящегося на границе сети организации Exchange. Поддержка интерфейса VSAPI 2.6 позволяет задействовать возможности фонового сканирования, в ходе которого проверяются сообщения, уже находящиеся в хранилище сервера с ролью почтового хранилища (mailbox). И, в самом общем случае, антивирусное приложение Dr.Web может быть установлено на произвольном транспортном узле (hub transport) организации Exchange, совмещающем, в том числе, и упомянутые выше серверные роли.

Расширены возможности работы с карантином, в частности, реализовано повторное сканирование объектов, находящихся в нем, что позволяет нейтрализовать опасные объекты после обновления вирусных баз.

Материалы по теме:

- Kaspersky Internet Security 2010 - отправьте вирусы в песочницу;
- "СТРИМ.Антивирус 8": вакцина от сетевых инфекций.

• news.drweb.com

Создан безошибочный код из 7500 строк

28.09.2009 [15:33], Денис Борн

Исследователи из Университета Нового Южного Уэльса (The University of New South Wales, UNSW) и Национального исследовательского института Австралии в области информации и коммуникационных технологий (National ICT Australia, NICTA) добились прорыва в программном обеспечении, который существенно увеличит безопасность и надёжность кода и имеет потенциал для коммерческого успеха. По словам профессора компьютерных наук и директор исследовательских программ в NICTA Гернота Хайзера (Gernot Heiser), впервые команда смогла доказать с математической точностью, что ядро операционной системы – код в "сердце" любого компьютера – на 100% свободен от ошибок ("багов") и следовательно устойчив к сбоям и отказам.

Прорыв значительным образом повлияет на повышение надёжности критических систем, таких как медицинское оборудование, военное, авиационное, где ошибки в ПО могут иметь катастрофические последствия. "По приблизительной оценке качественно разработанное программное обеспечение имеет около 10 ошибок на тысячу строк кода, а очень качественное – от 1 до 3, - поясняет Хайзер. Это означает, что в системах множество недочётов. Мы же показали возможность добиться намного меньшего, предельного уровня, причём наиболее подверженная риску часть имеет доказанную отказоустойчивость. Я думаю, не будет преувеличением сказать, что это открывает совершенно новый мир для создания систем с высокими показателями надёжности и безопасности".

Проверка ядра, известного как микроядро seL4, включала математическое доказательство корректности 7500 строк программного кода, занимались которым шесть человек в течение более чем пяти лет. "Команда NICTA добилась переломного результата, который изменит подход к критическому с точки зрения безопасности ПО, - продолжает профессор. – Верификация окончательно подтвердила возможность существования кода без ошибок, и в будущем ничто менее передовое не должно признаваться приемлемым в особо важных приложениях".

Материалы по теме:

- В России будет создан безопасный браузер для чиновников;
- Безопасность Snow Leopard вне сомнений;
- Не для чужих ушей.

• www.unsw.edu.au

Массовое распространение трояна Trojan.DownLoad.47256

23.09.2009 [16:11], Сергей и Марина Бондаренко

Компания «Доктор Веб» обращает внимание интернет-пользователей на массовую спам-рассылку с Trojan.DownLoad.47256. Эта троянская программа способна загружать из Интернета различные вредоносные объекты, которые могут нанести серьезный ущерб пользователю.

Распространение этой угрозы началось 17 сентября 2009 года. К настоящему моменту количество писем с Trojan.DownLoad.47256 перевалило за миллион в сутки, а в общем потоке вредоносных программ, обнаруженных в почтовом трафике, этот троянец занимает более 90 %.

Trojan.DownLoad.47256 является классическим загрузчиком. После запуска пользователем он создаёт процесс с названием svchost.exe или smss.exe, после чего внедряет в этот процесс свой код. Затем исходный файл удаляется, а троянец продолжает своё функционирование – пытается скачать вредоносный объект со специального сайта, подготовленного злоумышленниками. Если такая попытка удаётся, то Trojan.DownLoad.47256 запускает этот файл, а сам завершает свою работу. Стоит отметить, что скачанные загрузчиком объекты могут обладать самым разнообразным вредоносным функционалом.

По данным компании «Доктор Веб», в настоящее время сайт, с которого Trojan.DownLoad.47256 совершает загрузку других вредоносных программ, не функционирует. Правда, это не мешает возможному распространению новых модификаций Trojan.DownLoad.47256, которые будут осуществлять попытки загрузки вредоносных программ с других сайтов. Также возможно восстановление функционирования того вредоносного сайта, который сейчас отключен.

Материалы по теме:

- Kaspersky Internet Security 2010 - отправьте вирусы в песочницу;
- Norton 360: защита на 360 градусов.

• news.drweb.com