Исследователи из подразделения IBM X-Force взломали алгоритм шифрования Conficker.C

Исследователи из подразделения IBM X-Force создали специальный алгоритм для продукта IBM Proventia Intrusion Prevention System, который помогает выявлять агентов червя Conficker.C и блокировать их соединения. Алгоритм дополняет уже имеющуюся у клиентов защиту от разновидностей Conficker.A и Conficker.B. Данный защитный алгоритм блокирует распространение вредоносной программы, когда она пытается эксплуатировать уязвимость в службе сервера Windows (MS08-067), и обнаруживает её в случае попытки раскрытия паролей методом перебора.

Conficker – сетевой червь, нацеленный на рабочие станции. Он создает инфраструктуру бот-сетей, которая может быть использована злоумышленниками для распространения спама или для кражи конфиденциальной информации с рабочих станций. Заражение рабочей станции приводит к потере рабочего времени пользователя и возможной последующей компрометации других сетевых объектов.

Распространение данного сетевого червя осуществляется посредством одного или нескольких перечисленных ниже механизмов:

* Эксплуатация уязвимости в одной из служб Windows (MS08-067).
* Загрузка своей копии в сеть и на съемные накопители.
* Загрузка своей копии в сетевые ресурсы общего пользования со слабыми паролями

Новейший вариант этого червя использует соединения с использованием шифрования. Специалисты X-Force раскрыли и взломали этот алгоритм шифрования, что позволило обеспечить возможность обнаружения. Этот уникальный защитный механизм выявляет текущие варианты червя Conficker, которые используют описанный выше канал для связи. Соответствующие сигнатуры выглядят следующим образом: Conficker_P2P_Detected (для обнаружения бота Conficker.C) и Conficker_P2P_Protection (для блокировки специфического трафика peer-to-peer). Продукты IBM Proventia IPS способны закрыть уязвимость в службе Windows, которую эксплуатирует данный червь. Предупреждение содержит информацию о нужной сигнатуре, необходимой для выявления описываемой уязвимости.

CyberSecurity

Первый сетевой червь для Twitter успешно детектируется антивирусными продуктами «Лаборатории Касперского»

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о том, что её защитные решения успешно детектируют все версии червя Net-Worm.JS.Twettir, распространявшегося в социальной сети Twitter.

Популярная социальная сеть Twitter – система общения в режиме реального времени с помощью коротких текстовых заметок. Начиная с субботы, 11 апреля, в Twitter начала распространяться вредоносная программа Net-Worm.JS.Twettir.

Червь использовал уязвимости в программном обеспечении Twitter, позволявшие производить атаки типа «межсайтовый скриптинг» (XSS) и модифицировать страницы учётных записей пользователей. Заражение происходило при посещении модифицированной страницы на сайте Twitter, или при переходе по гиперссылке в поддельном сообщении, присланном от имени участника Twitter. При этом исполнялся вредоносный сценарий JavaScript.

В течение последующих дней в сети Twitter распространялись несколько версий червя и, соответственно, прошло несколько волн заражений. В настоящее время, по словам администраторов Twitter, все уязвимости сервиса закрыты. Сведений о том, что червь крадёт конфиденциальную информацию или наносит ещё какой-либо заметный ущерб пользователям, нет.

Автором Net-Worm.JS.Twettir назвался 17-летний житель Нью-Йорка Мики Муни (Mikey Mooney). В интервью новостному порталу BNO News он заявил, что создал XSS-червя от скуки, чтобы указать веб-разработчикам на уязвимости в их продуктах, и в целях продвижения своего собственного сайта, ссылку на который он давал в поддельных сообщениях Twitter.

Как считает ведущий вирусный аналитик «Лаборатории Касперского» Роул Шоуэнберг, новый червь не обладает сложной функциональностью и не несет серьёзной угрозы безопасности, поскольку не крадёт личные данные. Проблема, по его мнению, заключается в другом – в возможности запускать вредоносные сценарии при использовании таких распространённых и ставших привычными интерактивных элементов, как кнопки и гиперссылки. «В ответ на появление новых XSS-червей создаются веб-службы, предназначенные для защиты пользователей. Но они запрашивают, чтобы пользователь «только» нажал на гиперссылку, одновременно обращаясь с таким же запросом и к другим участникам из списка его доверенных контактов, то есть ведут себя отчасти подобно вредоносным программам», – говорит Роул Шоуэнберг.

Аналитик отмечает, что инцидент с Twitter подтверждает значимость растущих угроз со стороны социальных сетей. Так, по данным годового аналитического отчёта «Лаборатории Касперского» о развитии угроз в 2008 г., эффективность распространения вредоносного кода в социальных сетях составляет около 10%, что значительно превышает аналогичный показатель традиционного метода распространения вредоносного ПО через электронную почту (менее 1%). Это вызвано чрезмерной доверчивостью пользователей таких сетей и пока еще недостаточной защищенностью предоставляемых сервисов.

Продукты «Лаборатории Касперского» успешно детектируют все версии Net-Worm.JS.Twettir. Они эффективно защищают пользователей и от других скриптовых угроз, возникающих как при загрузке веб-страниц, так и при использовании их интерактивных элементов.

Лаборатория Касперского

«Лаборатория Касперского» публикует аналитическую статью «Drive-by загрузки. Интернет в осаде»

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, представляет аналитическую статью своего эксперта по информационной безопасности Райана Нарайна «Drive-by загрузки. Интернет в осаде». Статья посвящена методу загрузки вредоносного программного обеспечения с интернет-сайтов без ведома пользователя.

Злоумышленники устанавливают эксплойт на вредоносном сервере. Код, предназначенный для переадресации соединений на такой сервер, размещается на веб-сайте, куда посетители заманиваются с помощью спам-объявлений, распространяемых по электронной почте или размещаемых на доске объявлений в сети. И если раньше злоумышленники создавали вредоносные сайты, то в последнее время они стали заражать законопослушные веб-ресурсы, размещая на них скриптовые эксплойты или код для переадресации запросов, что делает drive-by атаки еще опаснее.

«Локомотивом» drive-by загрузок служат наборы эксплойтов, которые продаются на нелегальных хакерских сайтах. В состав таких наборов входят эксплойты, использующие уязвимости в целом ряде популярных пользовательских приложений, в том числе интернет-браузеров.

В случае успешной атаки на компьютере незаметно для пользователя устанавливается троянская программа, что предоставляет злоумышленникам полный контроль над зараженным компьютером. В результате они получают доступ к конфиденциальным данным на таком компьютере и возможность осуществлять с него DoS-атаки.

По данным компании ScanSafe, 74% всего вредоносного ПО, обнаруженного в третьем квартале 2008 года, было размещено на зараженных веб-сайтах, что свидетельствует о широкомасштабной эпидемии drive-by загрузок в интернет-пространстве. За последние десять месяцев 2008 года Google Anti-Malware Team обнаружила более трех миллионов URL-адресов, по которым хранились эксплойты, использующие drive-by загрузку.

Эпидемию drive-by загрузок связывают преимущественно с тем, что на многих компьютерах не установлены обновления Windows, при этом большинство эксплойтов использует известные уязвимости, патчи для которых доступны. Наиболее действенным подходом к защите от drive-by загрузок является своевременная и полная установка выпускаемых производителями ПО обновлений. Кроме того, обязательным является использование антивирусного ПО с актуальными антивирусными базами. При этом важно, чтобы антивирусный продукт проверял интернет-трафик, что позволит вовремя обнаружить попытки проведения атаки методом drive-by загрузки.

С полной версией статьи можно ознакомиться на информационно-аналитическом ресурсе Viruslist.ru.

"Лаборатория Касперского" не возражает против перепечатки материалов с полным указанием авторства (автор, компания, первоисточник). Публикация переработанного текста требует дополнительного согласования с информационной службой компании.

Лаборатория Касперского

Microsoft заделала более двух десятков «дыр» в своих продуктах

14 апреля корпорация Microsoft в рамках ежемесячного обновления своих продуктов выпустила самую крупную за текущий год порцию «заплаток».

Всего устранено более двух десятков «дыр» в операционных системах Windows различных версий, офисных приложениях и браузере Internet Explorer. Информация об уязвимостях опубликована в восьми бюллетенях безопасности.

Критические «дыры» обнаружены в редакторе Excel, приложении WordPad и программе Word. Злоумышленники теоретически могут захватить контроль над удаленным компьютером, вынудив жертву открыть сформированный специальным образом документ.

Еще две уязвимости, получившие максимальный рейтинг опасности, выявлены в компонентах WinHTTP (HTTP Services) и DirectShow операционных систем Windows. Эксплуатируя «дыры», нападающий может выполнить на удаленном ПК произвольный программный код. Кроме того, корпорация выпустила кумулятивный патч, «излечивающий» несколько критических уязвимостей в браузере Internet Explorer версий 6 и 7.

Еще несколько «дыр», обнаруженных в компонентах Windows и сервере Microsoft ISA Server, охарактеризованы Microsoft как важные и умеренно опасные; они могут быть использованы с целью повышения привилегий или организации DoS-атак.

Загрузить патчи можно через службы Windows Update и Microsoft Update, а также на сайте корпорации.

Компьюлента

ESET NOD32 – защита от угроз завтрашнего дня уже сегодня

Компания ESET сообщает о завершении локализации и начале продаж четвертой версии антивирусных продуктов ESET NOD32 в России и странах СНГ.

Четвертое поколение решений ESET NOD32 создано на базе принципиально новой платформы, которая разрабатывалась с учетом прогнозируемых изменений характера угроз. Повысился уровень обнаружения вредоносных программ за счет серьезной модификации эвристических алгоритмов, составляющих основу фирменной технологии ThreatSense. В общей сложности новое поколение продуктов семейства ESET NOD32 содержит более 20 инновационных технологических решений на уровне ядра программного продукта.

Разработчикам удалось существенно повысить уровень детектирования неизвестных угроз за счет интеграции технологии HIPS (Host Intrusion Prevention System) и существующего механизма расширенной эвристики. Теперь продукты ESET NOD32 способны обнаружить и обезвредить угрозу по отпечаткам (сигнатурным методом), эвристически (проанализировав код), а также отслеживая попытки несанкционированных действий в системе (изменение системных файлов, ключей реестра и пр.). Высокий процент детектирования вредоносного ПО обеспечивается за счет совместной работы всех компонентов в рамках единой технологии ThreatSense.

Повышена эффективность самозащиты продукта. Отслеживается состояние реестра и целостность файловой структуры самого антивируса. Модуль самозащиты препятствует любым воздействиям на антивирусное ПО со стороны вредоносных программ.

Разработчики уделили особое внимание дальнейшему развитию технологии раннего обнаружения новых угроз ThreatSense.Net, которая позволяет выявлять вредоносное ПО в любой точке мира на начальных стадиях распространения. Теперь, благодаря интегрированному модулю ESET SysInspector, наряду с образцами потенциально вредоносного ПО, специалисты смогут получить необходимые данные об особенностях ПК пользователя (ОС, отдельные настройки). Эта информация пересылается только с согласия пользователя в случае, когда это действительно необходимо, и помогает специалистам вирусной лаборатории точнее определить степень опасности подозрительной программы. Применение технологии ThreatSense.Net повышает оперативность взаимодействия разработчиков и конечных пользователей — в кратчайшие сроки после появления новой угрозы выпускается обновление для антивирусных продуктов ESET во всем мире.

Ряд технологических нововведений позволяет продуктам четвертой версии надежно защитить конфиденциальные данные пользователей, платежные пароли и логины, обеспечить безопасность каналов связи с системами интернет-банкинга. Продукты четвертого поколения ESET NOD32 способны сканировать трафик защищенных соединений HTTPS и POP3S, а также почтовые сообщения, получаемые по протоколу IMAP, предотвращая фишинг и фарминг-атаки.

Дополнительные преимущества связаны с новыми функциональными возможностями продукта. Контроль съемных носителей – флеш-карт, USB-устройств – осуществляется с помощью специального модуля. Теперь можно ограничить доступ к данным устройствам, не прибегая к перенастройке операционной системы или материнской платы. Благодаря этой возможности риск заражения ПК пользователя вредоносным ПО, передающимся с помощью внешних носителей (используя autorun.inf), сводится к минимуму.

ESET NOD32 своевременно подает сигналы пользователю или администратору в случае отсутствия установленных критических обновлений для ОС. Это снижает вероятность проникновения вредоносной программы на компьютер пользователя через уязвимости в операционных системах.

Решения ESET интегрируются с популярными клиентами электронной почты: Microsoft Outlook Express, Microsoft Windows Mail, Microsoft Windows Live Mail и Mozilla Thunderbird. При этом почтовый трафик по стандартным протоколам также проверяется вне зависимости от того, какой почтовый клиент используется на компьютере.

Интегрированный модуль ESET SysRescue дает возможность создавать загрузочный диск или флеш-карту для восстановления системы. Пользователь может загрузить компьютер с данного носителя, просканировать его и, в случае заражения, вылечить.

Усовершенствования коснулись модулей файервола и антиспама комплексного решения ESET NOD32 Smart Security 4. Обновленный персональный файервол поддерживает два новых режима – «Автоматический режим с правилами» и «Режим обучения». «Автоматический режим с правилами» позволяет создавать «исключения» из заданных разработчиком параметров. В «режиме обучения» при каждом новом соединении создаются разрешающие правила. В дальнейшем администратор может проверить их и скорректировать по своему усмотрению. В оптимизированном модуле защиты от спама появился лист исключений. Находящиеся в нем адреса не могут добавляться в «белый» или «черный список» и всегда проверяются на наличие спама. Данная мера помогает избежать получения спама, имитирующего письма, отправляемые с известных пользователю адресов. С помощью адресной книги пользователь может самостоятельно управлять списком адресов, которые помечаются как надежные или ненадежные.

Важным новшеством четвертой версии стала способность ESET NOD32 идентифицировать тип ПК пользователя. Если ПК определен как ноутбук, не подключенный к блоку питания, то ESET NOD32 автоматически откладывает некоторые запланированные задачи, например, загрузки больших обновлений, чтобы сэкономить расход энергии.

В корпоративные решения четвертого поколения ESET NOD32 Business Edition был внесен целый ряд нововведений. Добавилась поддержка баз данных MS Access, MS SQL Server, MySQL и ORACLE, эффективный контроль безопасности конечных точек, а также расширенные возможности масштабирования в распределенных сетях. В комплект поставки корпоративных решений четвертого поколения входит приложение ESET Remote Administrator — мощное средство для управления всеми характеристиками корпоративных продуктов ESET в сетевых средах. Это приложение позволяет централизованно устанавливать и настраивать различные версии программных продуктов компании ESET в крупных корпоративных сетях. Корпоративные продукты полностью совместимы с популярными решениями для контроля доступа в сеть (Cisco NAC).

Новые продукты ESET могут устанавливаться на ПК с операционными системами MS Windows 2000, XP и Vista. При этом поддерживаются 32-х и 64-х разрядные версии операционных систем.

ESET

Вы искали информацию о Trojan-Downloader.Win32.Small.jls

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 32768 байт.

Деструктивная активность

После запуска троянец собирает системную информацию с зараженного компьютера, а именно – серийный номер жесткого диска и сетевое имя компьютера. Затем, полученные данные, троянец использует при формировании ссылки, по которой будет производиться HTTP запрос:

http://af9f*****dcc.com/bt.php?mod=&id=<сетевое_имя_компьютера>_1084860184&up=9263620&mid=soboc40

По данной ссылке в каталог хранения временных файлов текущего пользователя загружается файл, который сохраняется под случайным именем:

%Temp%\.tmp

где rnd – случайная цифробуквенная последовательность.

Данный файл имеет размер 72704 байта и детектируется Антивирусом Касперского как Backdoor.Win32.KeyStart.bz.

Затем происходит загрузка и запуск файла, который размещается по ссылке:

http://spa*****er.com/731l3.exe

Файл загружается в каталог хранения временных файлов текущего пользователя и сохраняется под случайным именем:

%Temp%\.tmp

где rnd – случайная цифробуквенная последовательность.

Данный файл имеет размер 72704 байта и детектируется Антивирусом Касперского как Backdoor.Win32.KeyStart.bz.

Затем происходит загрузка и запуск файла, который размещается по ссылке:

http://spa*****er.com/731l3.exe

Файл загружается в каталог хранения временных файлов текущего пользователя и сохраняется под случайным именем:

%Temp%\.tmp

где rnd – случайная цифробуквенная последовательность.

Данный файл имеет размер 72704 байта и детектируется Антивирусом Касперского как Backdoor.Win32.KeyStart.cb.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы в папке %Temp%.
3. Произвести полную проверку компьютера

Лаборатория Касперского