Обнаружен новый червь, заражающий RAR-архивы

17.05.2012 [14:27], Сергей и Марина Бондаренко

Компания «Доктор Веб» сообщила о распространении вредоносной программы-червя Win32.HLLW.Autoruner.64548, способной заражать RAR-архивы. Червь «умеет» загружать с удаленного сервера злоумышленников исполняемые файлы, которые могут нести вредоносный функционал.

Вредоносная программа Win32.HLLW.Autoruner.64548 распространяется так же, как и многие другие черви: создает свою копию на диске и размещает в корневой папке файл autorun.inf, запускающий червя при подключении устройства. Начав свою работу на инфицированном компьютере, Win32.HLLW.Autoruner.64548 ищет на дисках RAR-архивы и записывает себя в них, используя одно из следующих имен: secret.exe, AVIRA_License.exe, Warcraft_money.exe, CS16.exe, Update.exe, private.exe, Autoruns.exe, Tutorial.exe, Autorun.exe, Readme.exe, Real.exe, readme.exe, Keygen.exe, Avast_keygen.exe. В некоторых случаях после подобной модификации архивы повреждаются.

Кроме того, червь имеет модуль полезной нагрузки. Также в его теле содержится исполняемый файл, который Win32.HLLW.Autoruner.64548 сохраняет в папку установки Windows в виде библиотеки mssys.dll. Ссылку на эту библиотеку вредоносная программа записывает в системный реестр. Полезную нагрузку червь встраивает в копию собственного процесса. Затем вредоносная программа соединяется с удаленным сервером злоумышленников и ожидает команд на загрузку и запуск исполняемых файлов.

Win32.HLLW.Autoruner.64548 — представитель достаточно редкой категории вредоносных программ, способных заражать RAR-архивы. При распаковке RAR-архивов обращайте внимание, не появились ли внутри подозрительные исполняемые файлы: их случайный запуск может нанести вред вашему компьютеру.

Материалы по теме:

• "Лаборатория Касперского": начало года запомнилось ботнетами;
• "Лаборатория Касперского": антивирус срабатывал более чем у половины российских пользователей.

Источник:

• news.drweb.com

BitDefender выпустила утилиту для удаления червя Stuxnet

18.10.2010 [15:46], Андрей Крупин

Компания BitDefender сообщила о выпуске бесплатного инструментария Stuxnet Removal Tool, предназначенного для ликвидации нашумевшего червя Win32.Worm.Stuxnet. Утилита удаляет все известные на данный момент варианты вредоносной программы, а также руткит-драйверы, используемые для скрытия ее компонентов.

Win32.Worm.Stuxnet представляет собой новую разновидность угроз, первые образцы которой были обнаружены в промышленных системах, управляющих автоматизированными производственными процессами, в июне 2010 года. Червь использует четыре ранее неизвестные уязвимости операционных систем Windows, одна из которых "нулевого дня" (zero-day) стала причиной широкого распространения вируса посредством флеш-накопителей. В августе 2010 года сотрудниками "Лаборатории Касперского" было выдвинуто предположение, что за созданием зловреда стояли крупные государственные структуры.

Скачать Stuxnet Removal Tool можно отсюда. Размер программы составляет 9,6 Мбайт.

Материалы по теме:

• Aflex Distribution представила новую линейку продуктов BitDefender 2011;
• BitDefender выпускает утилиту для удаления трояна ZBot;
• "Лаборатория Касперского": червь Stuxnet знаменует собой начало новой эры кибервойн.

Источник:

• bitdefender.com

В хранилище «Лаборатории Касперского» - более 42 млн вирусов

01.10.2010 [12:14], Сергей и Марина Бондаренко

Специально ко Дню Рунета эксперты «Лаборатории Касперского» подсчитали количество вредоносных программ, находящихся в их обширной коллекции. Итак, по состоянию на 13 часов 41 минуту 30 сентября 2010 года в хранилище находилось 42667363 файла общим весом 13250 гигабайт.

Еще в 2007 году количество образцов вредоносного кода составляло около 2 миллионов, а в прошлом году достигло 33,9 миллионов. К следующему Дню Рунета их количество имеет все шансы удвоиться, поэтому «Лаборатория Касперского» призывает всех не забывать об осторожности и использовать программные средства антивирусной защиты.

Материалы по теме:

• Облачные антивирусы - в теории и на практике;
• "Лаборатория Касперского" представила новые продукты для защиты домашних ПК;
• "Лаборатория Касперского" открыла бесплатную линию техподдержки.

Источник:

• kaspersky.ru

ESET выпустила аналитический отчет о черве Win32/Stuxnet

27.09.2010 [17:27], Андрей Крупин

ESET сообщила о выходе аналитического отчета Stuxnet Under the Microscope. В исследовании рассмотрены технические особенности внутреннего устройства червя Win32/Stuxnet, характер его распространения, а также цели, преследуемые создателями вредоносной программы. Документ подготовлен совместными усилиями специалистов из штаб-квартиры ESET в Сан-Диего, вирусной лаборатории в Братиславе и центра вирусных исследований и аналитики российского представительства компании. Русскоязычная версия отчета будет опубликована в октябре.

Червь был обнаружен специалистами ESET в июле 2010 года. В отличие от большинства зловредов, которые ежедневно появляются в Интернете и нацелены на широкий спектр персональных компьютеров, Win32/Stuxnet рассчитан на узкий круг корпоративных систем. Задача вредоносной программы состоит во внедрении вредоносного функционала в промышленные информационные системы класса SCADA.

В представленном отчете, в частности, отмечается, что Win32/Stuxnet разработан группой высококвалифицированных специалистов, которые хорошо ориентируются в слабых местах современных средств информационной безопасности. Червь сделан таким образом, чтобы оставаться незамеченным как можно дольше. В качестве механизмов распространения вредоносная программа использует несколько серьезных уязвимостей с возможностью удаленного выполнения кода, некоторые  из которых остаются незакрытыми и сегодня.

По состоянию на конец сентября наибольшая доля заражений (52,2%) приходится на Иран. Далее с большим отрывом следуют Индонезия (17,4%) и Индия (11,3%). Россия фигурирует на шестой позиции в списке с долей в 2,1%.

"Несмотря на большое количество заражений в Иране, мы не можем делать однозначных выводов о том, что целью злоумышленников была Бушерская АЭС,  - говорит Александр Матросов, руководитель центра вирусных исследований и аналитики российского представительства ESET. - С технической точки зрения мы можем утверждать лишь то, что стоимость этой атаки очень велика, а для обычных киберпреступников не видно мотивов ее осуществления. Вполне вероятно, что за атакой может стоять какая-нибудь влиятельная организация".

Аналогичного мнения придерживаются эксперты "Лаборатории Касперского", также исследовавшие вредоносную программу и пришедшие к неутешительному выводу, что данная вредоносная программа знаменует собой начало новой эры кибервойн.

"Stuxnet не крадет деньги, не шлет спам и не ворует конфиденциальную информацию. Этот зловред создан, чтобы контролировать производственные процессы, в буквальном смысле управлять огромными производственными мощностями. В недалеком прошлом мы боролись с киберпреступниками и интернет-хулиганами, теперь, боюсь, наступает время кибертерроризма, кибероружия и кибервойн", - пишет в своем блоге Евгений Касперский, генеральный директор "Лаборатории Касперского".

Эксперты антивирусной лаборатории не исключают, что Stuxnet может представлять собой прототип кибероружия, создание которого повлечет за собой новую гонку кибервооружений.

Материалы по теме:

• Опасность червя Win32/Stuxnet недооценена;
• "Лаборатория Касперского": червь Stuxnet знаменует собой начало новой эры кибервойн;
• ESET сообщает об угрозе червя Win32/Stuxnet, использующего брешь в Windows.

Источник:

• ESET

ESET сообщает об угрозе червя Win32/Stuxnet, использующего брешь в Windows

20.07.2010 [18:24], Андрей Крупин

Компания ESET информирует о широком распространении червя Win32/Stuxnet, используемого для атак на программное обеспечение класса SCADA, системы управления и контроля, применяемые в промышленности.

По данным вирусной лаборатории, зловред Win32/Stuxnet был обнаружен несколько дней назад. На сегодняшний день наибольшее распространение угроза получила в США и Иране, на которые пришлось 58% и 30% инфицированных компьютеров в мире соответственно. Третьей по уровню проникновения страной стала Россия, на долю которой приходится около 4% зараженных ПК.

Win32/Stuxnet представляет большую угрозу для промышленных предприятий. При запуске этой вредоносной программы используется ранее неизвестная уязвимость Windows, связанная с обработкой файлов с расширением LNK, содержащихся на USB-накопителе. Новый способ распространения может повлечь появление других злонамеренных программ, использующих такую технологию заражения, поскольку на данный момент уязвимость остается открытой.

"Злоумышленники постарались разработать свою программу таким образом, чтобы она привлекала к себе как можно меньше внимания, - комментирует Александр Матросов, руководитель центра вирусных исследований и аналитики российского представительства компании ESET. - Способ заражения Win32/Stuxnet тоже уникален, так как ПО использует неизвестную ранее уязвимость, а возможность проникновения вируса на ПК через USB-накопители позволяет в короткие сроки получить большую распространенность".

Win32/Stuxnet также может обходить технологию HIPS (Host Intrusion Prevention System), которая защищает от попыток внешнего воздействия на систему. Это стало возможным благодаря наличию во вредоносной программе файлов, имеющих легальные цифровые подписи.

"Скорее всего, создание Win32/Stuxnet имеет целевую направленность, так как общеизвестных способов монетизации при анализе данного вредоносного ПО выявлено не было, - добавляет Александр Матросов. - Что касается географии распространения червя, высокое проникновение угрозы именно в США, возможно, связано с целевой атакой, задачей которой является промышленный шпионаж".

Материалы по теме:

• Вышла новая версия ESET NOD32 for Microsoft Exchange Server;
• ESET NOD32 Mobile: антивирус для портативных устройств;
• Бета-тестирование ESET Remote Administrator 4.0.

Источник:

• ESET

ESET: доля присутствия Conficker постепенно снижается

17.06.2010 [16:22], Сергей и Марина Бондаренко

Компания ESET опубликовала рейтинг самых распространенных интернет-угроз, выявленных специалистами вирусной лаборатории ESET с помощью технологии раннего обнаружения ThreatSense.Net в мае 2010 года.

За последний месяц в российском рейтинге вредоносных программ резких изменений не произошло. В России в очередной раз подтверждается тенденция к уменьшению присутствия червя Conficker. При этом все более прочные позиции начинает занимать семейство вредоносных программ Win32/Spy.Ursnif, возглавившее двадцатку самых распространенных угроз в регионе с показателем в 7,05 %, что выше на 0,3% в сравнении с прошлым месяцем. Данное ПО используется для кражи учетных записей и другой персональной информации с зараженного компьютера.

На втором месте локального рейтинга уже не первый месяц прочно обосновалась угроза INF/Autorun, распространяющаяся на сменных носителях, с показателем проникновения в регионе 5,40%. Замыкает тройку лидеров модификация червя Conficker - Win32/Conficker.AA с показателем 5,09%. Общий процент проникновения данного семейства вредоносных программ в России за минувший месяц снизился на 0,81% и составил 11,31%.

В мировом рейтинге угрозой номер один по-прежнему является Conficker, однако доля его присутствия также постепенно сокращается. В мае распространение червя составило 9,12%, что на 0,35% меньше, чем в прошлом месяце. Наиболее подвержены этому вредоносному ПО Ирландия (доля 15%), Украина (13,85%), Германия (11,81%) и Египет (11,53%).

Второе место мирового рейтинга совпадает с российской двадцаткой - INF/Autorun проник в 8,06% от числа зараженных компьютеров. Третьей по популярности угрозой мирового масштаба в этом месяце стали трояны-кейлоггеры Win32/PSW.OnLineGames, используемые хакерами для кражи учетных данных и доступа к аккаунтам игроков многопользовательских ролевых online-игр, таких как Lineage и World Of Warcraft. Уровень их распространения составил 4,29%.

Материалы по теме:

• Облачные антивирусы - в теории и на практике;
• Появился неуязвимый компьютерный вирус.

Источник:

• ESET

Сайт телеканала СТС заражен

10.12.2009 [11:53], Сергей и Марина Бондаренко

Автору "червя" для iPhone предложили работу и угрожали жизни

16.11.2009 [02:00], Денис Борн

• theregister.co.uk

День рождения компьютерного вируса

11.11.2009 [11:00], Денис Борн

• wired.com

Первый "червь" для Apple iPhone

10.11.2009 [12:40], Илья Кузьмин

• engadget.com

Обзор вирусной активности в августе по версии компании «Доктор Веб»

05.09.2009 [10:54], Сергей и Марина Бондаренко

Интернет получит собственную иммунную систему

19.08.2009 [12:00], Денис Борн

• newscientist.com

В Сети обнаружены новые модификации червя Koobface

10.07.2009 [09:29], Сергей и Марина Бондаренко

Первый сетевой червь распространился в социальной сети Twitter

17.04.2009 [11:13], Сергей и Марина Бондаренко

Появилась новая версия Kido

13.04.2009 [17:45], Сергей и Марина Бондаренко