FF – это легенда игровой индустрии, история, ставшая культовой не для одного поколения геймеров. И всё бы хорошо, если бы один из самых больших и старых порталов, посвященный данной игровой вселенной, не попал в поле зрения вирусных аналитиков:

Весной этого года мы писали о программе для смартфонов под управлением Symbian S60 2nd edition, которая звонит на различные платные номера для получения доступа к порнографическим материалам.

Сегодня мы обнаружили новый вариант порнозвонилки. Так же, как и в случае с предыдущими модификациями, это приложение может быть опасно по двум причинам:

• невнимательность при установке подобного ПО приводит к незнанию его функционала (звонков на платные номера);
• программа может быть модифицирована злоумышленниками таким образом, что она становится вредоносной.

Никаких принципиально новых отличий от предыдущих двух модификаций нет (лицензионное соглашение тоже присутствует), за исключением одного: данная версия работает на смартфонах под управлением Symbian S60 3rd edition и имеет цифровую подпись.

После запуска установочного файла iPornPlayer.sisx пользователю демонстрируются условия использования:

Бесплатные антивирусные решения в последнее время стали объектом повышенного внимания, как со стороны пользователей, так и со стороны существующих производителей защитного ПО.

"Лаборатория Касперского" давно предлагает ряд бесплатных утилит, которые призваны помочь тем пользователям у которых нет обычного антивируса (особенно во время глобальных эпидемий), или для решения специфических проблем, выходящих за рамки основного функционала продукта - это утилиты klwk (включая возможность расшифровки файлов после Gpcode), kidokiller, tdsskiller и т.д.

Уже несколько лет наша компания разрабатывает бесплатный сканер Kaspersky Virus Removal Tool, так же известный как AVPTool. Kaspersky Virus Removal Tool – это программа для лечения зараженного компьютера от вирусов, троянских и шпионских программ, а также от любого другого вредоносного ПО. В своей работе Kaspersky Virus Removal Tool использует эффективные алгоритмы обнаружения вредоносных программ из арсенала Антивируса Касперского.

Крайне важным преимуществом и отличием от аналогичных решений, является возможность создания и использования (в том числе интерактивное) специальных скриптов лечения системы.

Спешим сообщить вам о том, что конвейер публичных сборок Kaspersky Virus Removal Tool (AVPTool) налажен и запущен. Пересборка дистрибутива осуществляется каждые 2 часа.

Описание продукта | FAQ | Скачать

Произошло долгожданное событие: в США вынесен окончательный приговор каждому из участников интернациональной группировки, которой руководил «король спама» Алан Ральски (Alan Ralsky).

Подельники брали «на реализацию» мелкие акции безвестных китайских компаний, добивались повышения спроса (и курса) с помощью рекламных спам-рассылок и продавали акции с выгодой для себя — до того, как наступит неизменное падение цен. Одно время эта схема пользовалась большой популярностью у сетевых мошенников и называлась «накачка-сброс».

Дело «биржевых» спамеров, объединившихся под руководством самозваного «крестного отца», было взято в судопроизводство два года назад. Участников группировки обвинили в преступном сговоре, проведении масштабных спам-рассылок, мошенничестве с использованием средств электронной, почтовой и проводной связи, а также в отмывании денег. Назначенные федеральным судом Детройта меры пресечения учитывают те функции, которые выполняли сообщники Ральски в реализации мошеннической схемы.

Решением суда приговорены:

• 64-летний главарь Алан Ральски — к 4 годам и 3 месяцам тюремного заключения, 5 годам под надзором и конфискации неправедно нажитых 250 тыс. долларов;
• Скотт Брэдли (Scott Bradley), его зять, «правая рука», финансовый директор и руководитель всех спамерских операций, – к 3 годам и 4 месяцам тюремного заключения, 5 годам под надзором и конфискации 250 тыс. долларов;
• Хау Вай Джон Хуэй (How Wai John Hui), гражданин Гонконга и Канады, главный специалист по заключению сделок, — к 4 годам и 3 месяцам тюремного заключения, 3 годам под надзором и конфискации 500 тыс. долларов;
• Джон Баун (John Bown), главный технический директор и оператор ботнета, с которого проводились рассылки, — к 2 годам и 8 месяцам тюремного заключения, 3 годам под надзором и конфискации 120 тыс. долларов;
• Фрэнк Триббл (Frank Tribble), главный «брокер» и дирижер цикла «накачка-сброс», — к 4 годам и 3 месяцам тюремного заключения, 5 годам под надзором и конфискации 500 тыс. долларов;
• Джуди Дивиноу (Judy Devenow), «менеджер» по спам-рассылкам, — к 1,5 годам тюремного заключения, 3 годам под надзором и штрафу в размере 7,5 тыс. долларов;
• Уильям Нил (William Neil), сетевой администратор, — к 2 годам и 11 месяцам тюремного заключения, 3 годам под надзором и конфискации 56 тыс. долларов;
• Джеймс Брэгг (James Bragg) и Джеймс Файт (James Fite), наемные спамеры, — к 1 году и 1 дню тюремного заключения, 3 годам под надзором и конфискации 120 и 20 тыс. долларов соответственно;
• Дэвид Пэттон (David Patton), производитель и поставщик специализированного ПО для рассылки спама, — к одному дню тюремного заключения, 1 году под надзором, конфискации 50,1 тыс. долларов и штрафу в размере 3 тыс. долларов.

В деле фигурируют еще два ответчика — Энки Нил (Anki Neil) и россиянин Питер Севера (Peter Severa), имя которого значится в списке наиболее агрессивных спамеров, публикуемом Spamhaus. Их вина пока не доказана, — видимо, за отсутствием самих фигурантов.

Четвертый четверг ноября традиционно является днем празднования Дня Благодарения в США. В этом году праздник выпал на завтра, 26 ноября.

День Благодарения - это день, когда вся семья собирается вместе за праздничным столом. Во время обеда, состоящего из традиционных для этого праздника блюд звучат слова благодарности за все хорошее, что случилось с каждым из членов семьи в жизни.

Однако, уже не раз говорилось, что для спамеров нет ничего святого. День Благодарения? Лишь еще один способ заработать.

Памятуя о том, что самое важное в этот праздник - это семейный обед спамеры поторопились "накормить" своих "преданных читателей". А точнее - научить их готовить:

Исследователи из университета Северной Каролины в содружестве с Майкрософт создали прототип виртуальной системы предотвращения вторжений, которая обеспечивает эффективную защиту ОС от руткитов режима ядра без заметных потерь в производительности.

Руткиты режима ядра маскируют свое присутствие и деятельность на зараженной машине, перехватывая системные функции и подменяя управляющую информацию на уровне ядра. Система HookSafe защищает гостевую ОС от несанкционированного доступа руткитов режима ядра, работая в режиме гипервизора.

Прототип системы был протестирован в среде Ubuntu Linux 8.10, где было идентифицировано около 6 тыс. точек возможного перехвата, разбросанных по 40 физическим страницам. HookSafe успешно отразила атаки девяти известных руткитов, ориентированных на Linux. Семь из них потерпели неудачу при попытке инсталляции, а два, внедрившись в ядро, не смогли замаскироваться. Максимальное снижение производительности из-за присутствия гипервизора составило 6%.

Разработчики признают, что HookSafe — частичное решение проблемы, к тому же не лишенное недостатков. Система предотвращает только те атаки, которые она может распознать, поэтому база сигнатур указателей должна быть создана заранее. Самостоятельно локализовать нужные данные в пространстве ядра она не способна, они выявляются путем динамического анализа при прогоне незараженной версии ОС на эмуляторе. Этот метод несовершенен, так как часть указателей может быть упущена и не будет занесена в базу. В реальных условиях ситуация усугубится, когда усилится приток программных обновлений и новых драйверов. Кроме того, HookSafe защищает ядро, но не предотвращает запуск руткита.

Отчет [PDF 188 Кб] о новой разработке был представлен на 16-й конференции ACM по компьютерной и сетевой безопасности (CCS 2009), недавно проведенной в Чикаго. Авторы проекта планируют продолжить исследования, сосредоточившись на тотальной защите ядра. Они также работают над версией HookSafe для Windows.

Российская ассоциация электронных коммуникаций (РАЭК) объявила о начале широкомасштабной кампании «Рунет без спама».

Поскольку рассылка спама, как и другие виды киберпреступлений, — явление интернациональное, РАЭК призвала международное сообщество бороться с ним всем миром. Ассоциация предлагает в ближайшее время провести встречу для обмена опытом и разработки плана совместных действий по ограничению активности спамеров в Сети.

В настоящее время РАЭК проводит комплексное исследование, чтобы оценить ситуацию со спамом в Рунете и определить участников рынка спам-рассылок. Далее будут выработаны общие меры по борьбе со спамом в Рунете, а также рекомендации по формированию государственной политики и межведомственному взаимодействию в этом направлении. Принципы противодействия распространению спама будут отражены в кодексе профессиональной этики участников рынка электронных коммуникаций, разрабатываемого РАЭК.

Ассоциация с особым удовлетворением отметила такую недавнюю победу, как закрытие spamdot.biz — ресурса, снискавшего большую популярность у российских спамеров. Он использовался для продвижения партнерских программ по нелегальному сбыту фармацевтических изделий через одиозную сеть интернет-аптек Canadian Pharmacy. Спамерские группировки, занимающиеся рекламной деятельностью в рамках этих «партнерок», отличаются особой агрессивностью и под условным наименованием «Canadian Pharmacy» возглавляют список лидеров по спаму ROKSO, публикуемый Spamhaus.

Что касается форума Spamdot, он перекочевал на германский сервер и доступен для зарегистрированных пользователей под тем же именем в доменных зонах .org и .info. Веб-сайт в зоне .biz активен, но теперь перенаправляет посетителей на официальный сайт ФСБ. На самом сайте службы безопасности никакой информации на этот счет нет. По данным Whois, spamdot.biz был зарегистрирован на имя ФСБ неким Евланом Катенбергом, который в качестве контакта указал адрес бесплатной почты в домене bk.ru (ныне выкуплен mail.ru) с нетривиальным логином weworkinthedark. Передача прав новому владельцу была оформлена аккредитованным регистратором Namebay SAM из Монако (примечательно, что «SAM» расшифровывается как «Societe Anonyme Monegasque» — «Анонимное сообщество Монако»).

Эксперты Symantec отмечают, что анализ эволюции интернет-угроз в уходящем году обнаружил массу проблем, большинство которых сохранят актуальность и в будущем году.

Начать с того, что спамеры вполне оправились от удара, нанесенного закрытием хостинг-провайдера McColo. По оценкам Symantec, в течение года уровень спама в почтовом трафике в среднем составлял 87,4%, а в конце мая достиг 95%. В обстановке общей экономической нестабильности дешевые рекламные акции сохранят свою привлекательность, даже если они проводятся сомнительными методами.

Потоки вредоносных писем в начале осени увеличились в 9 раз, причем в большинстве случаев зловред скрывался во вложенном файле. В будущем году эксперты ожидают увеличение объемов спама, распространяемого по IM-каналам. По их прогнозам, к концу 2010 года одно из 300 IM-сообщений будет снабжено ссылкой, и каждая двенадцатая из них попытается загрузить вредоносную программу (в середине 2009 года на зараженную страницу указывала одна из 78 IM-ссылок).

Приемы социальной инженерии прочно утвердились в арсенале киберпреступников как эффективное средство достижения поставленных целей. Каждое значимое событие общественной жизни неизменно сопровождается взрывом рекламных, мошеннических и вредоносных спам-рассылок. Следует ожидать, что число кибератак с использованием социально-инженерных уловок будет только увеличиваться.

Не утратит актуальность и такой способ введения пользователей в заблуждение (и обхода спам-фильтров), как использование «белой» репутации легальных веб-сервисов. Symantec отмечает, что после закрытия хостинг-сервиса Geocities, столь популярного у спамеров, в интернете стали бурно плодиться мини-службы генерации коротких URL. Однако сетевой криминал всегда привлекала возможность спрятать целевую страницу за легальным вариантом адреса, поэтому некоторые из этих служб, не успев окрепнуть, вынуждены были закрыться, чтобы остановить потоки спама, пятнающего их репутацию.

Социальные сети с их многочисленной аудиторией и атмосферой доверительности являются идеальной мишенью для киберпреступников. В уходящем году атаки на эти веб-сервисы стали частым явлением. С ростом популярности социальных сетей их администраторы озаботились усилением проактивной защиты от интернет-угроз и в поисках решений все чаще обращаются к услугам сторонних разработчиков. Эксперты предупреждают, что внедрение дополнительных программных средств открывает новые возможности для злоупотреблений — путем эксплуатации их уязвимостей (достаточно вспомнить, что при атаках через браузер чаще используются уязвимости плагинов, а не самого обозревателя).

В настоящее время основным средством для проведения кибератак являются ботнеты. По наблюдениям Symantec, функционал большинства современных вредоносных программ предусматривает связь с управляющим сервером. Были даже случаи, когда такая связь осуществлялась с использованием возможностей социальных сетей. Для повышения жизнеспособности ботнетов их создатели все чаще прибегают к технологии динамической перерегистрации (fast flux).

Все вы, конечно, знаете, что спамеры для обхода спам-фильтров используют множество занимательных приемов. Например, они регистрируют кучу доменов в зоне .cn, или пользуются документами Google, размещая в сотнях разных документов, имеющих разный ID одну и ту же картинку с виагрой.

Сегодня нами была получена рассылка "из будущего". Почему из будущего? Очень просто - в почтовом клиенте пользователя дата получения письма стояла завтрашняя:

Еще не наступившая дата была проставлена злоумышленниками сознательно, для того, чтобы пользователь, чей почтовый клиент настроен сортировать входящую корреспонденцию от самых новых писем к самым старым, непременно бы увидел такое необходимое спамерское письмо.

Кроме того в этой рассылке спамеры применили еще один "прием из будущего".

Британский суд приговорил иноземных хакеров, укравших около миллиона долларов со счетов NatWest, к тюремному заключению с последующей экстрадицией.

В начале года четверо осужденных с сообщниками внедрили на компьютеры клиентов банка NatWest вредоносную программу, позднее опознанную как PSP2-BBB. Троянец отслеживал сеансы связи с системой интернет-банкинга, воровал персональные данные, проверял состояние счета и выкачивал деньги на подставные счета. Похищенные средства затем переводились «дропами» на Украину и в Россию.

Участникам преступной группировки были предъявлены обвинения в групповом мошенничестве, неправомерном использовании компьютерных технологий и отмывании денег. Решением суда Азамат Рахманов, студент-филолог из Узбекистана, проведет в заключении 4,5 года, а его соотечественник, портье Шохрух Файзиев, — 4 года.

Португалец Рекарду Перейра (Recardo Pereira — не путать со знаменитым вратарем!), выполнявший в мошеннической схеме функции «дропа», будет заключен под стражу на 1 год и 9 месяцев. Еще один участник хакерской группировки, уроженец Венесуэлы, пока остается на свободе. Сумма, подлежащая конфискации, будет определена на мартовском заседании.

По оценке [PDF 1,8 Мб] RSA, в этом году количество атак на банки, использующих перехват трафика с помощью троянских программ, как никогда велико. Особенно страдают от них страны, в которых в качестве меры защиты введена двухфакторная аутентификация. Эти атаки, которые в компании сокращенно называют MITB — man-in-the-browser, «свой агент в браузере», — трудно распознать со стороны банковского сервера, так как транзакции осуществляются с компьютера законного пользователя, а троянец подменяет данные «на лету», до завершения сеанса.

Согласно статистике, приведенной в отчете [PDF 3,25 Мб] Яндекса «Контент Рунета», в российском секторе интернета размещено около 15 млн. веб-сайтов — примерно 6,5% от общего количества в Сети. Средний сайт состоит из 255 страниц, и четверть из них не содержат полезной информации, т.е. созданы, чтобы привлекать посетителей на другие сайты или влиять на их ранжирование в поисковых системах.

Отчет составлен на основе изучения текстовых копий всех открытых веб-страниц Рунета, которые хранятся в индексе поисковой системы Яндекс. В сегмент Рунета вошли сайты, написанные на русском, украинском, белорусском или казахском языках, а также сайты, размещенные в доменных зонах .am, .az, .by, .ge, .kg, .kz, .md, .ru, .su, .tj, .ua или uz.

Объем данных, представленных в Рунете в текстовом формате, на настоящий момент составляет более 140 тыс. гб. При этом 88% текста размещено менее чем на 1% сайтов, а половина сайтов состоит всего из одной страницы. Основной язык оформления — русский (91% сайтов). 3% сайтов выполнены на английском языке, 2% — на украинском, 1% на белорусском.

В Рунете размещено не менее 1,6 млрд. уникальных изображений, включая рекламные баннеры, а общее число картинок составляет около 2,1 млрд. При этом каждый третий сайт вообще не использует графику, а половина содержит не более десятка изображений. При подсчете Яндекс не учитывал фотографии, размещенные на крупных фотохостингах, но отметил, что на четырех из них содержится около 800 млн. изображений.

Флэш-объекты обнаружены на 15% сайтов, аудиозаписи в МР3-формате — менее чем на 0,5%. На крупнейших видеохостингах Рунета (без учета файлообмена, социальных сетей и YouTube) размещены 7,2 млн. видеороликов, которые присутствуют на 2,4% сайтов. Еще 0,7 процента сайтов практикуют прямые ссылки на видеоконтент.

Эксперты Trend Micro обнаружили новый компонент Koobface, который позволяет создавать учетные записи на Facebook, регистрироваться в разных конференциях, пополнять список «друзей» и оставлять сообщения на их «стенах».

При регистрации аккаунта обновленный червь указывает почтовый адрес Gmail. Создаваемые им профили оформлены в полном соответствии с требованиями сайта: фото, дата рождения, музыкальные предпочтения, любимые книги и т.п. Всю необходимую информацию Koobface запрашивает на одном из прокси-серверов, входящих в состав ботнета. Сообщения, оставляемые им на «стене», содержат ссылку на поддельную страницу Facebook или YouTube, где размещен компонент-загрузчик червя.

Создание и регистрация Facebook-аккаунта осуществляются автоматически через Internet Explorer. Однако если на зараженной машине стоит шестая версия, Koobface завершает процесс.

Стараясь скрыть свое присутствие в социальной сети, червь разнообразит профили и ведет строгий учет «дружеских» связей, дабы список «френдов» не превышал установленный лимит. Не исключено, считают исследователи, что владельцы ботнета сами зарегистрированы на Facebook.

Спамеры очень любят социальную сеть «ВКонтакте». С помощью вирусов или хакерских атак они захватывают контроль над аккаунтами и потом рассылают спам всеми возможными способами общения между пользователями.

Так, стандартный, принятый на сайте способ разослать объявление или гарантированно обратить внимание друга на интересную или забавную картинку — отметить его «присутствие» на этой картинке, чтобы он получил извещение в профайл и потом сам убрал (или оставил) отметку. Недавно мой друг отметил меня на такой «фотографии»:

Конечно же, я сразу решила, что это спам, и никакого теста он не проходил (что подтвердилось, когда я его об этом спросила). Но согласитесь, сделано красиво: на «сертификате» подставлены имя и фамилия «отправителя», а текст в подписи завлекает «померяться IQ».

Этого праздника нет в ни в одном официальном списке, и сегодня мы работаем, как обычно, без выходных. Впрочем, даже если бы он и был - все равно нам пришлось бы работать :)

"День Вируса и Антивируса", случающийся по пятницам 13-го, - это память об истории антивирусной индустрии, о делах давно минувших дней, о том, с чего все начиналось...

22 года назад, в октябре 1987, в Иерусалиме был обнаружен новый файловый вирус, заражавший файлы формата COM и EXE. Вирус занимался саморазмножением, как и предыдущие аналогичные создания, однако содержал еще одну опасную функцию.

При активизации вируса 13-го числа в пятницу происходило следующее: при попытке запустить любую программу на выполнение, файл, содержащий эту программу, уничтожался, и DOS выдавал сообщение о том, что файл не найден. В результате уничтожались все файлы, к которым происходило обращение функцией Exec.

Сегодня был обнаружен интересный сайтик:

Как видно из скриншота, автор предлагает разместить на своей странице «ВКонтакте» некий JavaScript-код, который должен отмечать всех друзей на фото и видео. И при этом нет никаких обещаний «золотых гор» за крохотное СМС стоимостью 5 рублей (плата взимается с расчетом месячного пользования услугой) или что-то типа того. Просто устанавливай и наслаждайся жизнью…

Но, как известно, «бесплатный сыр бывает только в мышеловке». И на сей раз поговорка работает на 100%.

Итак, код, предлагаемый для установки на своей странице, интереса не вызывает, однако очень интересно узнать, что же делают скрипты «http://vkontakte-*****.ru/photo.js» и «http://vkontakte-*****.ru/video.js».

Взглянем на первый из них:

var vida="";
var vidb="";
var vidc="";
var vidd="";
var stat=0;
zbak();
setTimeout('MyBoxEs("");',1000);
start(""); 
…
…
…

и т.д. — несколько килобайтов кода, который, по идее, помечает друзей на фото.

Все бы хорошо, да вот функция «zbak();» имеет достаточно интересное содержание, а именно: создает пустую картинку, которая нигде не будет отображаться, затем эта функция получает «cookie», которые использует ваш веб-браузер для идентификации вас в сети «ВКонтакте» (в противном случае при открытии каждой последующей страницы данной сети вам пришлось бы вводить свой логин и пароль). Ну а дальше все просто — для того чтобы отрисовать какую-либо картинку, веб-браузер должен знать, где ее взять.

Другими словами, браузер при выполнении запроса на загрузку картинки передает ваши идентификационные данные некому PHP-скрипту «s.php» на сайте «vkontakte-*****.ru», а этот скрипт, в свою очередь, может автоматически делать с ними, что угодно. Например, просто отправлять на почту злоумышленнику, или сохранять в свою базу данных для будущего использования, или автоматически менять логин и пароль для доступа к вашей странице в сети «ВКонтакте», а за новый логин и пароль попросить отправить SMS на определенный номер, или… В общем, на что фантазии хватит и с помощью чего можно заработать побольше денег.

Так что, мораль сей басни такова — будьте предельно бдительными при пользовании современными сервисами «Web 2.0», особенно при использовании сторонних утилит, которые якобы должны облегчить вам жизнь! А тем, кто уже успел воспользоваться сомнительными удобствами данной утилиты, советую поскорей удалить со своей страницы данный скрипт и обязательно поменять логин и пароль для доступа к сервису «ВКонтакте».

В Атланте, штат Джорджия, выдвинуто обвинение по делу интернациональной группировки хакеров, которые взломали процессинговую систему местного представительства Королевского Банка Шотландии и за 12 часов украли более 9 млн. долларов со счетов держателей зарплатных карт.

Житель Эстонии Сергей Цуриков, петербуржец Виктор Плещук, молдаванин Олег Ковелин и некий Hacker 3 обвиняются в преступном сговоре, компьютерном мошенничестве, хищении конфиденциальной информации при отягчающих обстоятельствах, махинациях со средствами доступа и проводной связи — всего 16 пунктов. Еще четверо соучастников, жители Таллина Игорь Грудьев, Рональд Цой, Эвелин Цой и Михаил Евгенов, ответят по статье о мошенничестве с использованием незаконных средств доступа.

Согласно материалам следствия, год назад первый квартет проник на сервер автоматизированной платежной системы RBS WorldPay, обслуживающей зарплатные проекты, и завладел клиентскими номерами и PIN-кодами. Сообщникам были разосланы реквизиты 44 банковских карт, баланс соответствующих счетов был подправлен в системе в нужную сторону, а лимиты на снятие сумм увеличены. По сигналу главарей в один и тот же день исполнители, вооружившись картами-клонами, приступили к обналичиванию денежных средств. В мошеннической операции было задействовано не менее 2100 банкоматов в 280 городах США, России, Украины, Эстонии, Италии, Гонконга, Японии и Канады.

Хакеры следили за действиями сообщников, подключившись к платежной системе в Атланте. Сняв деньги в банкомате, налетчики оставляли себе 30-50% от украденной суммы, а остальное отсылали организаторам атаки. По окончании операции криминальный квартет попытался замести следы, уничтожив лишние данные в системе. Тем не менее, через пару недель администраторы RBS WorldPay обнаружили следы взлома и уведомили соответствующие инстанции. В расследовании приняли участие ФБР, Секретная служба США, полицейские подразделения Эстонии, Голландии и Гонконга.

Цуриков, Цои и Евгенов были задержаны эстонской полицией. Против них на родине выдвинуты аналогичные обвинения. Цуриков содержится под стражей и ожидает экстрадиции в США. Ковелин пока на свободе, но в сентябре против него было выдвинуто дополнительное обвинение в краже 4 млн. долларов с помощью 95 тыс. поддельных кредиток. Плещука пока не нашли. В Гонконге арестованы еще два участника группировки, снимавших деньги по поддельным картам.

По американскому законодательству, мошенничество с использованием средств проводной связи карается тюремным заключением на срок до 20 лет, компьютерное мошенничество — до 5-10 лет, хищение персональных данных при отягчающих обстоятельствах — не менее двух лет. Максимальная сумма штрафа за эти правонарушения составляет 3,5 млн. долларов. Второму квартету ответчиков грозит до 15 лет содержания под стражей и до 250 тыс. долларов штрафа. Федеральные власти также намерены конфисковать 9,4 млн. долларов, нажитых противозаконными методами.

Команда университетских исследователей из Индии, Израиля и Тайваня разработала систему CAPTCHA на основе трехмерных изображений, постепенно проявляющихся и составленных из информативных и шумовых пятен.

Специально разработанный алгоритм выделяет ключевые элементы в исходном изображении и преобразует их в массив «чернильных клякс». Затем отдельные «брызги» удаляются, чтобы затруднить автоматическое распознавание образа, но оставить достаточно информации для человеческого восприятия. Четкость воспроизведения рисунка и уровень шума при этом можно регулировать.

Облегченные тесты были предъявлены группе из 310 добровольцев. 98% участников правильно идентифицировали более 80% изображений, затратив в среднем 6,4 секунды. Когда те же картинки обработали тремя современными программами, разброс результатов составил 51-60% — немногим лучше, чем при случайном угадывании.

Однако с повышением степени сложности задачи показатели в контрольной группе явно ухудшились. Среднее время идентификации увеличилось до 12,5 с, а результативность снизилась до 74%. Создалась тупиковая ситуация, к которой приходят многие разработчики CAPTCHA, пытаясь оградить ее от взлома.

Тогда родилась идея использовать тот же алгоритм для преобразования 3D-анимации в видеоформат. Результат превзошел все ожидания: все участники эксперимента успешно идентифицировали движущееся изображение даже при жестком скрэмблировании. При этом статичные кадры из «видеоролика» смогли распознать менее 10% испытуемых. Выигрыш оказался двояким — «ожившие кляксы» стали легче восприниматься людьми и осложнили работу ботам.

Разработка будет представлена на декабрьской конференции SIGGRAPH Asia.

Октябрьский отчет по спаму, опубликованный [PDF 4,29 Мб] Symantec, не преподнес особых сюрпризов. На протяжении трех месяцев уровень спама в почтовом трафике в среднем остается неизменным — 87%.

А вот местоположение источников непрошеной корреспонденции неуклонно смещается в сторону регионов, активно осваивающих интернет, но не успевших позаботиться о безопасности новых участников. По оценке Symantec, в минувшем месяце 23% спама отсылалось из стран Азии и Тихоокеанского региона, 22% — из Южной Америки. Региональный рейтинг по-прежнему возглавляет EMEA, хотя вклад этих стран в спам-трафик с июня сократился на 6%.

В разделении по странам наблюдается та же картина, потоки «мусорной» почты из Индии, Чили, Тайваня, Таиланда растут. Вьетнам за пять месяцев поднялся на 13 позиций и теперь занимает третье место в этом непочетном рейтинге, сравнявшись с Индией по количеству рассылаемого спама. Список стран-спамеров пока возглавляют США (18% от общего объема спама) и Бразилия (14%).

В тематическом разделении спам-рассылок преобладала реклама интернет-услуг, вклад которой в спам-трафик увеличился на 7% и составил 39%. К этой категории Symantec причисляет предложения приобрести готовый диплом; в октябре 22 из 50 тем, доминировавших в спамовых посланиях, были посвящены этим «услугам». На долю товарного спама приходилось 17% от общего объема, финансового — 15%, «нигерийских» писем 10%.

Количество посланий, снабженных ссылками, (URL-спам) заметно уменьшилось и составляло менее 90% от общего количества спама. Почти половина этих ссылок была привязана к китайским доменам, 43% — к зоне .com. Число вложений продолжает расти, соответственно увеличивается и объем спамовых сообщений. По данным Symantec, в октябре количество посланий размером 5-10КБ увеличилось на 10% — до 38% от общего числа. Половина писем не выходила за рамки 2-5КБ, а 10% превышали 10КБ.

Число фишинговых атак (уникальных веб-страниц) в отчетный период увеличилось на 17%. 30% фишинговых URL было создано с помощью готовых комплектов — на 24% больше, чем в предыдущий месяц. Количество неанглоязычных страниц-подделок почти удвоилось, в особенности страниц на итальянском, французском и китайском языках. Приманки для франко-, итало- и испаноговорящих пользователей имитировали, в основном, банковские сервисы. Китайцев фишеры завлекали на фальшивые сайты электронной коммерции.

На прошлой неделе замолкли командные серверы Mega-D — одного из крупных ботнетов, преимущественно используемых для рассылки спама. Результат не заставил себя ждать: за несколько дней потоки «мусорных» сообщений, генерируемых его спамботами, практически иссякли.

Операция была спланирована и координировалась FireEye — небольшой калифорнийской компанией, специализирующейся на защите от угроз «нулевого дня». Согласованность действий экспертов, интернет-провайдеров, регистраторов и администраторов реестров позволила за сутки нейтрализовать не только ключевые центры управления ботнетом, но и все резервные механизмы его восстановления.

Активность Mega-D, он же Ozdok, стала особо заметной с начала прошлого года, когда его вклад в общий спам-трафик вырос до трети. Его ресурсы использовала также одиозная спамерская группировка Herbal King. С прекращением деятельности хостинг-провайдера McColo многие управляющие серверы ботнета оказались отрезанными от Сети. С тех пор инфраструктура Mega-D претерпела ряд модификаций, позволяющих быстро восстановить управление в аналогичной ситуации. По оценке M86 Security, в последнее время этот ботнет ответственен за 4,5% спам-трафика.

Последние несколько месяцев 8 из 10 управляющих серверов Mega-D хостятся в США. Локализация центров управления осуществляется также с помощью резервного списка доменных имен и списка специализированных DNS-серверов, которыми снабжено большинство ботов. Последним нововведением является алгоритм генерации доменов, который может воспроизводить одно имя в сутки. Наконец, операторы Ozdok (в классификации «Лаборатории Касперского» — Trojan.Win32.Pakes), как и большинства современных ботов, всегда могут воспользоваться услугами родственных группировок, которые будут загружать его компоненты с помощью своих зловредов.

В настоящее время активны только 4 из 16 IP-адресов и 10 из 45 доменов, задействованных в управлении ботнетом. Все домены из постоянного списка, которые не успели зарегистрировать злоумышленники, включая сгенерированные алгоритмом, оформила на себя FireEye. Эксперты насчитали около 265 тыс. «осиротевших» ботов, каждый из которых, по свидетельству M86 Security, способен рассылать до 15 тыс. сообщений в сутки. Как долго будет продолжаться противостояние, покажет время.

«Черные списки» SORBS выкуплены за полмиллиона и перенесены на ресурсы GFI Software — калифорнийской компании, специализирующейся на разработке средств сетевой защиты и управления.

До недавнего времени эту базу данных по открытым релеям и почтовым серверам, замеченным в рассылке спама, размещал у себя один из австралийских университетов. Когда ее ресурсоемкость стала чрезмерной, администратору Мишель Салливан (Michelle Sullivan) пришлось искать новый веб-хостинг.

Найдя достойного покупателя, Мишель последовала за своим детищем и теперь работает в GFI. Новый владелец и давний подписчик SORBS надеется, что приобретение репутационного сервиса благоприятно отразится на качестве услуг, предоставляемых клиентам, среди которых числятся два американских военных ведомства и такие отраслевые лидеры, как Coca-Cola, Toyota и Fujitsu. Контроль над SORBS откроет новые горизонты для анализа почтового трафика в реальном времени и определения тенденций в эволюции спама, укрепив позиции GFI в антиспам-сообществе.

Компания с энтузиазмом строит планы по усовершенствованию SORBS, в частности системы составления списков и механизма обратной связи. Отсутствие четких критериев в формировании этой базы, неэффективность процедуры делистинга, агрессивная политика блокирования подсетей и наложения штрафов неоднократно вызывали нарекания — даже со стороны борцов со спамом. Дальнейшее развитие базы будет осуществляться с учетом передового опыта по фильтрации спама, который диктует использование «черных списков» в тесной взаимосвязи с анализом контента и другими антиспам-технологиями.

По оценке Panda Security, с начала года боевые порядки ботнетов увеличились на 30%. Наибольшее количество резидентных бот-агентов было обнаружено на территории Испании — 44,49% от общего числа заражений, зафиксированных в прошлом месяце.

Вторую ступень октябрьской двадцатки стран, на территории которых выявлено больше всего зараженных ботами компьютеров, занимают США (14,41%), на третьем месте — Мексика (9,37%). Россия находится на восьмой позиции с показателем чуть выше двух процентов. Рейтинг был составлен на основе результатов онлайн-сканирования по базе пользователей бесплатной программы ActiveScan.

Спамеры (как и любые мошенники) — большие мастера наживаться на массовых бедах. Чем больше людей вовлечено в неприятное событие и чем больше СМИ трубят о нем, тем для них лучше. Год назад такой благодатной темой был финансовый кризис. Этой осенью спамерам снова повезло — в страну пришел свиной грипп.

Первая рассылка посвящена рекламе медицинских препаратов. Конечно, те препараты, которые действительно помогают против свиного гриппа, уже неоднократно названы и в дополнительной рекламе не нуждаются. Но разве спамеры не найдут лазейку? Приведенное ниже письмо изящно маскируется под информативное письмо, развенчивающее мифы о разных методах защиты от гриппа. Почти все факты повторяют уже сказанное в новостях и статьях специалистов. Но в один из пунктов включены названия препаратов, которые, собственно, и рекламируются данной рассылкой.

Другая рассылка предназначена уже не частным лицам, а организациям. Ее создатели чутко отреагировали на последние новости. Стоило появиться информации о грядущей вакцинации против свиного гриппа, как в спаме уже появилось предложение всем желающим организациям заказать прививки для своих сотрудников.

Как уже было сказано, массовые события, способные испугать многих людей, — хорошая кормушка для спамеров. Свиной грипп пока еще не начал сдавать свои позиции, и пока это так, продолжит укреплять свои позиции и спам про грипп.

AVAR — это одна из четырех крупнейших конференций по проблемам информационной безопасности, наряду с EICAR, CARO и Virus Bulletin. Конференция устраивается осенью, после проведения остальных антивирусных конференций.

Нынешняя конференция начала работу вчера в Киото, древней столице Японии. Среди докладчиков — известные специалисты в сфере компьютерной безопасности. «Лабораторию Касперского» представляют Евгений Касперский и Стефан Танасе.

В связи с набирающей обороты глобальной эпидемией гриппа организаторы решили выдать маски всем участникам вместе с программой конференции.

На фото — делегация «Лаборатории Касперского» во всеоружии. Слева направо: Костин, Стефан, Андрей, Александр, Михаил — и Никита по ту сторону объектива.

Всем привет из Киото и до следующих встреч!

Каждый, кто регулярно смотрит новости, слышал об эпидемии свиного гриппа. Слышали о ней и спамеры.

Не прошло еще и недели с первых сообщений о том, что на Украине начался ажиотажный спрос на марлевые повязки и противовирусные препараты, как спамеры подготовили свой ответ эпидемии.

Они запустили спам-рассылку с рекламой марлевых повязок.

Спамеры бросились на помощь, чтобы ликвидировать нехватку повязок и лекарсв? Это было бы очень благородно и романтично.

Но правда, скорее всего, очевиднее и прозаичнее. Вероятнее всего, что спамеры закупили марлевые повязки в тех же аптеках, поспособствовав обострению их дефицита. А теперь готовятся заработать, продавая их в несколько раз дороже.

На мой взгляд, было бы куда предпочтительнее, если бы спамеры продвигали идею защиты от гриппа с помощью шапочек из фольги. Вот это была бы идиллия - спамеры рекламируют, доверчивые пользователи покупают… А марлевые повязки приобретали бы не спекулянты, а те, кому повязки действительно необходимы.

Будьте здоровы!

M86 Security объявила о выкупе Finjan — частной калифорнийской компании, специализирующейся на сетевых решениях в области корпоративной безопасности. Неизбежность этого шага стала очевидной после того, как M86 Security переманила ведущих руководителей Finjan, предложив им равноценные должности.

Шлюзовые системы безопасности Finjan и ее гибридные SaaS-решения будут интегрированы в линейку продуктов, выпускаемых на рынок под брэндом M86 Security. Согласно условиям сделки, Finjan предоставляет M86 Security лицензию на свои патенты, а ее исследовательская лаборатория в Израиле сохранит статус самостоятельного подразделения.

В M86 Security надеются, что новое приобретение позволит повысить эффективность защиты корпоративных пользователей от интернет-угроз и объединить усилия по реализации безопасных сетевых шлюзов. Согласно статистике Gartner, в настоящее время менее 20% компаний отслеживают вредоносный трафик на шлюзе. Наработки Finjan по обнаружению вредоносных кодов в реальном времени и защите от Web 2.0-угроз помогут расширить возможности фильтрации веб-контента на этой платформе.

В совсем недавнем времени мы получили замечательную спамерскую рассылку. Замечательна она была тем, что рекламировала наш продукт - антивирус Касперского.

Больше половины текста представляет с собой ссылку, ведущую на...

Если вам пришло сообщение о замене пароля, снабженное zip-вложением и отправленное от имени службы техподдержки Facebook или MySpace, — не верьте. Это работа спамботов. Администрация социальной сети никогда не воспользуется электронной почтой, чтобы предупредить вас о взломе аккаунта, и уж тем более не будет высылать новый пароль вложенным файлом.

По свидетельству экспертов, первые спамовые послания на эту тему с поддельным обратным адресом Facebook появились 26 октября. Прикрепленный zip-файл, как и следовало ожидать, содержал сюрприз в виде вредоносной программы, которой в ЛК было присвоено имя Packed.Win32.Krap.w. В начале атаки ее детектировали менее трети антивирусов из списка VirusTotal. При запуске зловред соединялся с двумя командными серверами в Голландии и в Казахстане — и загружал другие вредоносные файлы, в том числе представителя семейства Bredolab (Backdoor.Win32.Bredolab). Эти троянские бэкдоры позволяют злоумышленникам установить полный контроль над зараженным компьютером.

В первый день атаки Websense насчитала более 90 тыс. таких писем. На следующий день, по оценке Cloudmark, их поток увеличился до 500 тыс., а на третий составил почти три четверти миллиона. Затем имя отправителя в строке From: было изменено на «Myspace», хотя текст «подтверждения смены пароля» и вредоносное вложение остались прежними. Не исключено, что в ближайшем будущем объектами спам-кампании могут стать пользователи других социальных сервисов. Вероятно, ее авторы надеются, что после и скандальной публикаци идентификаторов почтовых веб-аккаунтов такой предлог, как забота о безопасности пользователя, будет достаточным, чтобы убедить его открыть вредоносное вложение.

Интересно, что вы сделаете, получив по почте такое сообщение ?

(Примерный перевод:
От: начальник
Тема: вернись, есть разговор
Сообщение: Взгляни, пожалуйста, на документ в аттаче и зайди ко мне. Обсудим, как поступить.
Спасибо, удачного дня)

Обнаружив эти письма на спам-ловушках, исследователи Trend Micro не преминули поинтересоваться содержимым вложенного файла с расширением «zip». Им оказался спамбот Cutwail, с помощью которого операторы ботнета Pushdo во втором квартале ежедневно рассылали около 7,7 млрд. нелегитимных сообщений.

Cutwail автоматически активируется при каждом запуске инфицированной системы. Вдобавок он приводит с собой симбиотического приятеля — троянского дроппера. Так что, получив на «мыло» аналогичные инструкции от «босса», лучше подтвердить свою готовность по внутреннему телефону и послушать, как отреагирует ваше начальство.

Октябрь уж миновал… и по оценке MessageLabs, уровень спама из новых и неизвестных источников в октябре составил 88,1% почтового трафика.

Появились спам-рассылки, посвященные большим праздникам (Хэллоуин, День благодарения, Рождество и День Святого Валентина). Ожидается, что в разгар праздников объемы незапрошенной корреспонденции увеличатся до двух миллиардов писем в сутки.

Самый большой процент мусорной почты наблюдался в Датском королевстве — 96,2%. Немногим меньше спама получали жители России (95,4% почтовой корреспонденции), Германии (95,3%) и Франции (95,1%).

До самой середины октября тема Хэллоуина в спамовых письмах отражалась пунктирно (менее чем 0,5% посланий). Зато накануне праздника производительность спамеров взлетела до 500 млн. писем в сутки.

Большая часть хэллоуин-писем шла с ботнетов Rustock и Donbot, а продвигались в них фармацевтические препараты и дешевое ПО. С ботнета Pushdo, как возможные подарки к Рождеству и Дню благодарения, рекламировались копии часов престижных марок (около 2% спам-рекламы). Фармаспамеры использовали зомби-сети Pushdo и Rustock, рассылая с них призывы запастись их продукцией перед Днем св. Валентина.

Активность фишеров несколько спала, однако было отмечен ряд атак, приуроченных к окончанию подачи налоговых деклараций в США, Великобритании и Австралии. Во время пика активности мошенников поддельные письма от имени Налоговой службы США составляли 67% от общего объема фишинговых посланий. От имени британского Управления по налогам и таможенным сборам — 81%. Все фальшивки были сфабрикованы по одному шаблону, менялись только названия налоговой службы.

Увеличились также потоки фишинговых сообщений на итальянском и французском языках. Помимо банковских реквизитов, фишеры активно охотились за регистрационными данными пользователей на почтовых веб-сервисах. Эти данные нередко используются для авторизации и на других ресурсах — в социальных сетях, интернет-магазинах, онлайн-аукционах.

Из вредоносных рассылок особой масштабностью отличалась спам-кампания, нацеленная на распространение троянской программы Bredolab (Backdoor.Win32.Bredolab). Фальшивые уведомления о посылке, якобы отправленной адресату, отсылались с ботнета Pushdo и были снабжены троянским zip-файлом. По оценке MessageLabs, во время атаки на долю этих посланий приходилось 3,5% спам-трафика. Bredolab был обнаружен в 35,2% вредоносных сообщений, зафиксированных в октябре.

Как и предполагалось, еще больше компьютеров было заражено. На данный момент наш рейтинг выглядит следующим образом:

Данная статистика относится к уникальным хостам, из которых некоторые включают несколько пользовательских директорий и т.д., то есть в действительности цифры намного выше приведенных. Как мы уже говорили ранее, каждый из этих хостов распространяет набор вредоносных файлов, которые пересылаются пользователю в зависимости от компьютерной среды. Мы воспользовались сайтом virustotal.com для того, чтобы выяснить, сколько из участвующих в работе сайта 41 антивирусных вендоров детектируют вредоносный файл. Согласно полученным результатам, на данный момент только 3 из 41 производителей детектируют вредоносный *.php-файл, который осуществляет заражение машин на территориях вышеупомянутых стран. Вредоносный *.pdf-файл обнаружили 4 из 41, а flash-контент — 3 из 41 вендоров. Однако основная исполняемая часть (пейлоуд) была задетектирована 33 производителями. Конечно же, киберпреступники в любой момент могут изменить эти вредоносные файлы. Мы пристально следим за их дальнейшим развитием для того, чтобы при необходимости как можно быстрее обеспечить наших пользователей защитой.