В пятницу 16 марта в 22 часа сайт телекомпании НТВ подвергся массированной DDoS атаке и перестал отвечать на внешние запросы.

За несколько часов до этого через Twitter и Facebook стали массово распространять ссылки на предупреждения на сайте Pastebin.

Тексты всех сообщений были одинаковые, менялся только заголовок. Все ссылки содержали призыв объединиться в войне против НТВ и инструкцию, что для этого надо сделать.

Всем желающим предлагалось скачать новую утилиту от группы Anonymous под названием High-Orbit Ion Canon или просто HOIC.

После этого нужно было выбрать в качестве цели ntv.ru, выставить максимальный уровень атаки и использовать специально приготовленный файл атаки NtvLies.hoic, который уже входил в дистрибутив утилиты, размещённой на одном из сайтов группы Anonymous, зарегистрированном на Сейшельских островах.

15 марта в эфире телеканала НТВ вышла программа «ЧП. Расследование» с новым выпуском под названием «Анатомия протеста». Авторы передачи утверждают, что им удалось запечатлеть раздачу денег за участие в митингах оппозиции. Передача вызвала волну возмущения в рунете.

В настоящий момент работоспособность сайта восстановлена.

В начале недели мы добавили детектирование вируса для калькулятора.

Резидентный вирус Virus.TI.Tigraa.a имеет размер всего 492 байта, в лучших традициях DOS-вирусов.

Работает на инженерных калькуляторах Texas Instruments серии TI-89 (TI-89, TI-89 Titanium) и модели Voyage 200, на которой запускается большинство программ, написанных для TI-89.

В этих калькуляторах используется процессор Motorola 68000.

Вирус может очищать экран и затем выводить надпись "t89. GAARA".

Вирус, конечно, является так называемым proof-of-concept. Работает только в контексте одного калькулятора и не может заразить другие, но само по себе существование этого вируса в очередной раз говорит о том, что список типов заражаемых устройств пополняется.

На что только не идут спамеры и вирусописатели в совершенствовании применяемых ими методов социальной инженерии.

Буквально только что мы «наткнулись» на масштабную спам-рассылку по огромному количеству форумов в интернете:

Обычно подобные «левые» сообщения на форумах быстро удаляются. Основное отличие продемонстрированного выше подхода — это переход от банального односложного предложения к диалогу с читателем.

Ведь за номером ICQ может скрываться программа-робот, которая способна вести условно-осмысленную беседу, и самые любопытные могут получить себе на компьютер что угодно — от ненавязчивой рекламы до ссылки на нового червя.

Вчера «Лаборатория Касперского» добавила в базы алгоритмы детектирования нового вируса для платформы Win64 — Virus.Win64.Abul.a.

Это уже третий 64-битный вирус. До этого были обнаружены Virus.Win64.Rugrat.a и Virus.Win64.Shruggle.a.

Несмотря на то, что Abul.a написан на чистом C, он имеет компактный размер в 3700 байт. Он использует функции операционной системы для компрессии части файла, вследствие чего не изменяет размер заражаемых файлов.

В Abul.a применены классические методы, характерные для вирусов, работающих на Win32-платформе. Вирус внедряется в памяти в процессы CSRSS.EXE и Winlogon.exe и пытается рекурсивно заразить все исполняемые файлы на диске С:. Вирус не заражает файлы, у которых не удаётся сжать секцию кода так, чтобы дописать в неё свой код.

На примере Abul.a видно, что механизмы создания вредоносных программ для новых платформ и их алгоритмы остались практически неизменны. По-видимому, на новой Win64-платформе мы увидим не только действительно новые техники и методы, но и все «зарекомендовавшие» себя в прошлом подходы и типы вредоносных программ.

В 16:30 по московскому времени мы выпустили обновление баз, содержащее процедуры дешифровки пораженных Gpcode.ae файлов. Всем пострадавшим от этого вируса необходимо обновить сигантурные базы Антивируса Касперского и провести полное сканирование жестких дисков компьютера.

Если ваши файлы по какой-либо причине не будут восстановлены в результате полной проверки дисков, то подобные файлы следует выслать нам для анализа.

По нашим оценкам ситуация на данный момент продолжает оставаться тяжелой — количество обращений пользователей в антивирусную лабораторию и службу технической поддержки постоянно растет. По этой причине мы приняли решение повысить уровень опасности предупреждения о появлении Gpcode.ae до «красного».

Более подробная техническая информация о Gpcode.ae опубликована в «Вирусной энциклопедии».

Мы обнаружили еще одну версию программы GPCode. В настоящее время мы анализируем новые алгоритмы шифрования, и вскоре сообщим вам более точную информацию.

Сегодня мы получили несколько писем от пользователей, заразившихся вирусом JuNy.b. Вирус шифрует файлы на диске компьютера, после чего пострадавшим предлагается их расшифровать за $20.

Virus.Win32.JuNy.b детектируется и обезвреживается Антивирусом Касперского с 29 сентября. Однако если вы по какой-либо причине все-таки им заразились, то свяжитесь с нами по адресу newvirus@kaspersky.com. Признаками заражения является невозможность открыть некоторые файлы на жестком диске и появление на рабочем столе или в папке для временных файлов текстового файла с названием «П*****_к_вам_в_гости!.TXT».

В настоящее время случаи заражения данным вирусом зафиксированы только в России.

В последнее время все чаще стали появляться троянские программы, использующие вирусные технологии, чтобы укорениться в системе. За прошедшую неделю нами было обнаружено огромное число модификаций Virus.Win32.Bube.

Зловреды, являясь банальными Trojan-Downloader, заражают explorer.exe, чтобы в момент загрузки системы заблокировать встроенный межсетевой экран, обновления с помощью Windows Update и т.д.

Случаи, когда AdWare или PornDialer'ы используют самые прогрессивные технологии, такие как заражение системных файлов, использование системных драйверов, становятся тенденцией.

Возможно в ближайшем будущем троянские программы или AdWare начнут использовать полифорные механизмы, чтобы увеличить сложность их обнаружения.