Бот Zeus – один из самых плодовитых. Как в «дикой природе», так и в средствах массовой информации. В последнее время в прессе появилась масса сообщений о различных аспектах жизнедеятельности Zeus, в том числе новые сведения о нем и данные об отключении от интернета сервис-провайдера Troyak.

Конечно, это прекрасно. Далеко не все еще осознали, с чем мы имеем дело, и благодаря потоку информации о Zeus многие стали лучше понимать, насколько сложно устроен мир киберпреступности. К сожалению, во многих сообщениях повторяется одна и та же ошибка. В них говорится о «ботнете Zeus», что неправильно.

В реальности бот Zeus лежит в основе очень большого числа – вероятно, нескольких сотен – различных ботнетов, и все они контролируются разными киберпреступниками. Киберпреступники, стоящие за ботом Zeus, готовы продать его любому, а покупатели создают собственные ботнеты. Более того, существуют «боковые ветви» проекта Zeus, за которыми стоят другие киберпреступники.

Учитывая это, нельзя исключать ситуацию, когда компьютеры в сети большого предприятия заражены разными вариантами бота Zeus, подконтрольными разным киберпреступникам и, соответственно, входящими в разные ботнеты.

В попытке более ясно провести различие одна антивирусная компания использовала в СМИ название, специально придуманное для обозначения конкретного ботнета, основанного на боте Zeus. Как мне кажется, новация не сработала: она, пожалуй, не уменьшила неразбериху, а только увеличила ее.

К сожалению, я вовсе не уверен, что в краткосрочной перспективе принятие системы обозначения разных вариантов одного бота поможет неспециалистам разобраться в проблеме. Что же делать? Мне кажется, есть простое решение.

Если специалисты сходятся в том, что бот X контролируется одной киберпреступной группировкой, то, говоря об угрозе, следует говорить о ботнете X. В качестве примеров можно привести Conficker, Storm и Mebroot. Если же бот можно приобрести на подпольном рынке, то следует говорить о боте Y или ботнетах, созданных ботом Y. Примеры: Zeus, SpyEye и Poison Ivy.

Во второй половине прошлого года Microsoft обнаружила [PDF 2,43 Мб] на компьютерах пользователей более 126 млн. уникальных вариантов вредоносных программ. Наиболее высокие темпы распространения интернет-угроз наблюдались в Китае и Бразилии. С середины лета количество заражений в этих странах выросло на 19,1% и 15,8% соответственно.

Одним из самых популярных инструментов для отъема денег у пользователей стали поддельные антивирусы. Число инфекций, так или иначе связанных с их распространением, достигло 7,8 миллиона — почти в полтора раза больше, чем в первом полугодии.

В отчетный период уязвимости в приложениях в процентном отношении по-прежнему преобладали над прочими, хотя их число значительно уменьшилось. Почти половина (46,2%) обнаруженных эксплойтов, атакующих через браузер, были нацелены на уязвимости в Adobe Reader, 18,4% — на уязвимости в IE.

Подмеченные экспертами Microsoft тенденции в целом согласуются с данными, уже представленными в аналогичных отчетах других компаний. Однако читателей может заинтересовать статистика, которую Microsoft приводит по каждой из 26 стран (выбор для просмотра можно осуществить на отдельной странице).

В России, по оценке экспертов Microsoft, вредоносные программы составили 72,8% детектируемых объектов, обнаруженных на пользовательских компьютерах. Они присутствовали в среднем на 9,8 ПК из тысячи – это в полтора раза меньше, чем в первом полугодии, но все равно выше среднемирового показателя (7,0). Наиболее распространенной угрозой в стране являются черви, на долю которых в отчетный период приходилось 26% заражений (например, в США и Соединенном Королевстве преобладают троянцы). Количество машин, зараженных червями, в России превысило 227 тыс. Угрозу номер два представляют PUPs (17,4% заражений), и за полгода их число заметно увеличилось.

Прошлая неделя ознаменовалась продолжающимся ростом количества рекламы контрафактных лекарств — в тематическом распределении спама рубрика «Медикаменты; товары/услуги для здоровья» вышла на первое место (+6,0%). Доли тематик «Отдых и путешествия» и «Образование» при этом заметно уменьшились.

Пятерка лидирующих тематик:

• Медикаменты; товары и услуги для здоровья — 21,9% (+6,0%)
• Отдых и путешествия — 17,0% (-4,2%)
• Образование — 16,4% (-2,6%)
• Компьютерное мошенничество — 6,8% (-1,8%)
• Компьютеры и интернет — 6,4% (+0,2%)

Доля спама в почтовом трафике Рунета на прошлой неделе немного понизилась и составила 81,6%.

Календарные поводы используются спамерами вовсю. Например, таким символическим способом предлагается поздравить ветеранов.

Флаг Победы.

Приветствую Поддержи всероссийскую акцию Памяти героев Великой Отечественной Войны ! Будь патриотом Родины ! Вспомни людей, кто проливал кровь за мир! Вливайся в наши ряды! ПОЗДРАВЬ ВЕТЕРАНА флагом Победы! На наших автомобилях флаги Победы! Закажи вовремя свой дизайн на флаге, стяге с предпраздничной скидкой - 1 о % На наших лоджиях и балконах стяги Красной Армии! Всегда рады проконсультировать {tel} На крышах домов, на балконах а также на участках полотнища с символикой Великой Победы! КУПИ ФЛАГ! ТОЛЬКО до 9 МАЯ СУПЕРНИЗКИЕ цены на абсолютно всю нашу продукцию с символикой Великой Победы! Желаем Вам доброго дня!

Весеннее предложение для тех, кому некогда заниматься своим садом.

Один из классических способов сетевого мошенничества: вы получаете письмо, в котором вас просят выслать конфиденциальные данные — логин и пароль от почтового ящика/интернет-кошелька/игрового аккаунта и т.п. Мнимые «службы поддержки» различных сервисов, от имени которых и приходит такой спам, грозят в случае неисполнения их требований ограничить или вовсе лишить пользователя доступа к сервису.

Сегодня в наши спам-ловушки попало одно из подобных писем, в котором мошенники пытаются выманить … коды активации продуктов Лаборатории Касперского (видимо, им очень не хватает антивируса!). Впрочем, кодами злоумышленники не ограничиваются — они требуют у получателя письма прислать им адрес проживания, номер мобильного телефона и… номер его кредитной карты. Ну, хорошо хоть ключи от квартиры не попросили.

Надеюсь, наши пользователи не настолько наивны, чтобы попасться на эту примитивную удочку. И им не нужно объяснять, что «Лаборатория Касперского» никогда не рассылает подобные письма, а все инструкции и страшные кары — лишь уловка мошенников, которые пытаются заполучить конфиденциальную информацию.

Справедливости ради стоит сказать, что в письме есть и правдивые утверждения. Хакеры, желающие воспользоваться нашим именем, действительно появляются. И, безусловно, «Лаборатория Касперского» заботится о безопасности своих пользователей.

За первый квартал количество жалоб на SMS-мошенничество, поданных абонентами в ОАО «Мобильные ТелеСистемы», сократилось, по внутренним оценкам, на 58%.

По мнению оператора, этому успеху способствовала реализация его программы по борьбе со злоупотреблениями в мобильном сервисе. Эта программа, запущенная осенью прошлого года, предусматривает ряд мер по пресечению противоправных действий с использованием средств мобильной связи, а также информационно-просветительскую деятельность.

В рамках проводимой кампании МТС укрепляет сотрудничество с правоохранительными органами. Теперь вся информация о мошенническом использовании коротких номеров передается в УВД. В марте 2010 года оператор ввел в тестовую эксплуатацию дополнительную платформу для работы с короткими номерами, которая обеспечивает оперативный контроль над процессом предоставления услуг. Ее внедрение позволит производить точечные отключения мошеннических сервисов без нарушения работы добросовестных провайдеров.

МТС также ужесточил санкции, применяемые к провинившимся партнерам, и следит за достоверностью информации о рекламируемых ими услугах. Контент-провайдеры, сервисы которых вызывают большое число нареканий, платят высокие штрафы, а злостных нарушителей отключают от сервисов, используемых мошенниками. В настоящее время, например, полностью остановлена работа сервиса подписок от контент-провайдера «Первый Альтернативный».

В октябре прошлого года для абонентов МТС была запущена бесплатная услуга «Инфоконтент»: теперь при отправке знака «?» на короткий номер можно бесплатно узнать стоимость услуги, предоставляемой по нему. Если жалоб на короткий номер много, оператор включает на нем фильтр: абоненту высылается уведомление о фактической стоимости услуги и запрос на подтверждение подключения к сервису. Информация о коротких номерах и стоимости предоставляемых по ним услуг содержится также на сайте МТС в разделе «Услуги по коротким номерам». О мошеннических схемах и защитных мерах можно узнать в разделе «Контентные услуги и безопасность».

За написание и использование вредоносной программы жителю г. Докшицы Витебской области грозит штраф в размере 10,5 млн. бел. руб. (около 3,5 тыс. долл.).

Как выяснилось, 24-летний вирусописатель вообще-то работает плотником, а программирование — это его хобби. Создав программу, обеспечивающую доступ к чужому компьютеру, молодой человек в качестве эксперимента поместил файл на своем сайте, предлагая скачать его под видом бесплатного видеофильма. По данным следствия, ему удалось таким образом заразить два десятка компьютеров, размещенных на территории Беларуси.

Воспользоваться информацией, найденной на чужих машинах, хакер-самоучка не успел или не пожелал, да и вину свою не отрицает. А вычислил его 14-летний школьник из Могилева, который обнаружил у себя зловреда, определил источник и опубликовал соответствующую информацию у себя на сайте.

На этой неделе я получил по почте письмо от компании American Express, в котором сообщалось, что моя кредитная карта временно заблокирована в связи с подозрениями в мошеннической деятельности. Мне предлагалось позвонить по указанному в письме номеру телефона, чтобы подтвердить последние операции по карте и разблокировать ее.

На первый взгляд, это совершенно разумное требование. Однако номер, по которому я должен был позвонить, отсутствовал на веб-сайте компании. Несмотря на то, что письмо не выглядело поддельным, я поступил единственно правильным образом — позвонил по основному номеру American Express, чтобы прояснить ситуацию. Несмотря на то, что нынче в моде цифровой фишинг, некоторые мошенники по-прежнему обманывают пользователей с помощью старой доброй бумажной почты.

Номер телефона из письма оказался прямым номером департамента American Express по борьбе с мошенничеством, и он действительно не указан на их сайте. Я попросил компанию изменить сложившуюся практику.

Продавцы поддельных антивирусов не преминули воспользоваться растерянностью пользователей, когда тысячи ПК вышли из строя и потеряли связь с Сетью из-за ошибки только что обновленного антивируса McAfee.

Поиск в Google по ключевым словам 'McAfee', '5958' и 'DAT' неизменно выводил в первых результатах ссылки на редиректы, навязывающие все те же зловредные программы под видом важной информации или помощи в решении проблемы. По словам экспертов Trend Micro, верными признаками атаки путем подмены записей кэша в поисковой системе является заголовок страницы, повторяющий все ключевые слова поиска, и шаблон, по которому сгенерирован URL:

(http://<имя домена>/<путь>/<файл>.php?<ключ>=<ключевое слово>)

Всем, кто еще не знает, как восстановить работоспособность компьютерных ресурсов, отказавших в связи с инцидентом, рекомендуется обратиться в службу техподдержки McAfee или поискать ответы на свои вопросы непосредственно на сайте компании.

Вкратце о событии, вызвавшем прилив энергии у 'черных' оптимизаторов поиска. Несколько дней назад после рассылки штатного обновления для VirusScan Enterprise по всему миру прокатилась волна системных сбоев. Виновником оказался дефектный файл, который после установки вызвал ложное срабатывание. Один из ключевых системных процессов Windows был опознан антивирусом как новый зловред и безо всякого предупреждения отправлен в карантин.

По оценке McAfee, число пострадавших не превысило 0,5% клиентской базы. В основном, это владельцы корпоративных ПК под ОС Windows XP SP3, на которых установлена версия VirusScan 8.7 и включена опция Scan Processes on Enable ('проверка текущих процессов при запуске'). Тем не менее, деятельность многих организаций и бизнес-структур была приостановлена, так как многие сегменты их сетей не функционировали.

McAfee принесла извинения и приняла срочные меры по исправлению ситуации. По ее оценкам, большинство пострадавших ресурсов уже восстановлено, однако процесс осуществляется вручную и на каждой машине занимает около получаса. Сотрудники компании заняты доработкой автоматической системы контроля качества обновлений и готовят 'белые списки' критических файлов, чтобы инцидент больше не повторился.

В первом квартале исследователи чешской компании ALWIL Software насчитали в Сети свыше 2-х млн. зараженных страниц и 252,6 тыс. зараженных доменов, из которых 20,6 тыс. были привязаны к зоне .ru. Общее число посещений на незаблокированных зараженных сайтах составило около 11,9 млн., а заблокированные ресурсы насчитывают до 3-х млн. хитов в сутки.

В список российских зараженных доменов попали сайты различных тематик, в том числе коммерческие и правительственные ресурсы. На сайте Morflot.ru, например, зловредные iframe были обнаружены 179 раз. Количество посещений зараженных доменов в Рунете за три месяца превысило 1,2 млн.

В целом статистика ALWIL по зараженным доменам и числу визитов в TLD-зонах выглядит следующим образом:

Все результаты были получены путем анализа данных, поступивших с сенсоров CommunityIQ, которые встроены в антивирус avast! По данным компании, аудитория CommunityIQ насчитывает более 100 млн. человек — в основном, рядовых пользователей, ежедневно выходящих в интернет. Эксперты планируют продолжить исследование и по его итогам выпустить статистический отчет по интернет-угрозам.

avast! публикует результаты работы крупнейшего в мире сообщества охотников за вирусами

Новый вариант ZeuS, обнаруженный недавно экспертами, наделен дополнительным функционалом, позволяющим ему заражать исполнимые файлы.

Он достаточно примитивен, при активации загружает с предписанного URL и исполняет дополнительный файл, а затем запускает оригинальный код троянца. Таким образом, если удалить основной компонент ZeuS, паразитный код останется в облюбованном файле, сможет загрузить обновления, и троянец будет вновь хозяйничать в системе.

По словам вирусного аналитика ЛК С. Голованова, новое направление эволюции ZeuS чревато тем, что этот популярный в криминальных кругах троянец, эффективно ворующий информацию, получит дополнительный механизм для распространения. Отвечая на вопросы «Вебпланеты» по поводу новой угрозы, эксперт отметил, что это «пробный шар»: «Элементарный механизм заражения, отсутствие механизмов защиты, выборочность в заражении файлов и т.д. пока говорят о слабой квалификации разработчика данного вируса». Однако по мере совершенствования вирусной составляющей распространение ZeuS может принять характер эпидемии. Ведь троянцы, указывает Голованов, вычисляются за несколько секунд, а детектирование вируса занимает до нескольких недель.

Загрузившись в систему, эта модификация, которую ЛК детектирует как Trojan.Win32.ZbotPatched.a, отыскивает в заданном месте exe-файлы и внедряет в них 512-байтовый код. Затем троянец изменяет точку входа таким образом, чтобы вначале выполнялся код-паразит.

Замысловатое название вулкана, проснувшегося в Исландии и посеявшего хаос в Западной Европе, обескуражило многие СМИ, не говоря уже о пользователях поисковых систем, но только не сетевых обманщиков. Торговцы фейковыми антивирусами и спамеры не могли оставить без внимания актуальную тему, и наиболее сообразительные из них именуют виновника транспортного коллапса просто «исландским вулканом».

Блиц-поиск соответствующих статей в Google, проведенный экспертами Panda Security, выявил, что новостные источники не добились консенсуса в написании исландского имени. И только один из предложенных ими вариантов был тут же использован для продвижения страниц, загружающих ложный антивирус. Однако поиск по другим релевантным ключам показал, что зловредных ссылок на аналогичные ресурсы предостаточно и ловкачи уже приняли меры, чтобы они появлялись первыми в результатах.

Список заголовков, встречающихся на зараженных страницах, представляет собой вариации на означенную тему. Кроме того, как известно, интернет-мошенники зачастую не в ладах с правилами английского языка:

Iceland Volcano News
Iceland Volcano Images
Iceland Volcano Eruption
Iceland Volcano Video
Icelandic Volcano
Iceland Volcano Satellite Image
Iceland Volcano 2010
Volcano in Iceland
South Iceland Volcano 2010
Volcano 2010

Фармаспамеры, активность которых исследуют в немецкой компании G Data, тоже не мудрят с темами писем:

Fears volcano chaos will continue
Iceland volcano disrupts flights
Sport left grounded by volcano
Volcano ash affects air travel

Между тем труднопроизносимое название Эйяфьятлайокутль, которое я здесь все же рискну воспроизвести, на самом деле относится к леднику, покрывающему вулканический массив Эйяфьятла и получившему от него свое имя. В дословном переводе оно означает «ледник островных гор».

Американские лингвисты подсчитали, что слово Eyjafjallajoekull встречается в результатах поиска в Google два миллиона раз, но правильно произносить его могут лишь 320 тыс. человек, и почти все они — граждане Исландии. По мнению экспертов, это имя собственное вряд ли будет включено в словари английского языка, пока его носители не научатся сносно его выговаривать. Первые шаги в этом направлении уже сделаны, в чем можно убедиться, заглянув на сайт ВВС.

Вчера нами было полученно крайне занимательное письмо, предлагающее пользователю заработать кучу денег за один час работы в день. Проще говоря, предложение вступить в финансовую пирамиду.

Занимательно оно тем, что спамер не поскупился на предоставленный пользователю объем информации — письмо вместе с двумя вложениями "весит" более 7 Мб. Это при том, что обычно, стараясь разослать как можно больше писем, спамеры стремятся к уменьшению размера письма. Их самым "любимым размером" является размер до 5 Кб.

Что же такое вложено в это письмо, что делает его "тяжеловесом"? Как видите, это два файла: один - в формате mp3 и один -документ с расширением doc.

Приложенный текстовый документ содержит в себе 18 (!) страниц подробно описывающих принцип работы финансовой пирамиды. Особенно подчеркивается в документе, что предлагаемая "суперпрограмма", хотя и имеет сходство с сетевым маркетингом, на самом деле есть нечто совершенно иное. На самом же деле в текст даже кое-где вставленны цитаты из известных книг по сетевому маркетингу. Утверждается, что, цитирую: "ДЕЛО В ТОМ, ЧТО В ПРОГРАММЕ ЗАЛОЖЕНА СЕКРЕТНАЯ ФОРМУЛА, КОТОРАЯ ОБЕСПЕЧИВАЕТ 100%-НЫЙ УСПЕХ ВСЕМ УЧАСТНИКАМ БИЗНЕСА ЗА СЧЕТ УЧЕТА ТАКИХ УТОНЧЕННЫХ ФАКТОРОВ, КОТОРЫХ ЧЕЛОВЕЧЕСКИЙ МОЗГ ПРОСТО НЕ СПОСОБЕН ОХВАТИТЬ. ЧТО ЭТО ЗА ФОРМУЛА? ЭТО СЕКРЕТ ЛЕГЕНДАРНОГО СОЗДАТЕЛЯ RMI МИЯМОТО ИЧИКАВА."

В текст вставлены и "отзывы уже воспользовавшихся предложением людей", разумеется, фонтанирующие восторгами. Пользователю обещается заработок в размере от 3 до 30 миллионов рублей за 6 месяцев.

При этом для получения невероятных денег, как и в любой другой пирамиде, необходимо приводить новых людей. Вы догадываетесь, какой способ поиска новых "клиентов" рекомендуется в данном случае? Спам-рассылка. Для начала — на 20000 адресов. 1000 адресов, при этом уже заложена в покупаемую программу. Остается только пособолезновать тем адресатам, кто попал в этот "стартовый набор".

Думаю, что этим и объясняется такой необыкновенно большой для спама размер письма — какой смысл экономить на трафике, если впереди ждет светлое будущее и три миллиона рублей в придачу?

Кстати, гигантомания автора рассылки распространяется и на аудио-файл, приложенный к письму. Дорожка длинной 43 минуты (!) представляет собой аудио-запись семинара для людей, купивших "суперпрограмму" и вступивших в пирамиду.

18 страниц текста и 43 минут звука — около часа времени, которое можно потратить на то, чтобы поверить, что вам просто необходимо вступить в сомнительное предприятие, базирующееся на рассылке спама, или которое можно потратить на что-нибудь более полезное, или приятное. Выбор за вами!

В годовом рейтинге киберкриминальной активности (malicious activity), который опубликовала [PDF 4,06 Мб] компания Symantec, первое место занимают США, вклад которых исследователи оценили в 19%.

На второй позиции оказался Китай (8%), на третьей — Бразилия (6%). При составлении рейтинга учитывались число зараженных веб-страниц, спам-ботов, фишинговых хостов, центров управления бот-сетями, а также количество источников кибератак. Что касается России, она поднялась в непочетном списке Symantec сразу на 5 позиций и теперь по совокупности показателей занимает 7-е место, а по размерам зомби-парка, ответственного за спам, — 2-е (после Бразилии).

В целом эксперты отметили повышенное внимание криминальных элементов к ресурсам развивающихся стран. Интернетизация в них идет полным ходом, правовая база устарела, а пользователи еще не доросли до осознания необходимости защищать свои ресурсы от сетевых угроз.

В прошлом году в антивирусные базы Symantec было добавлено почти 2,9 млн. сигнатур — на 71% больше, чем в предыдущем. Исследователи также обнаружили около 6,8 млн. резидентных бот-агентов и более 17,4 тыс. новых центров управления ботнетами, 69% которых используют http-протокол.

Основным методом распространения вредоносных программ в отчетный период были загрузки с зараженных веб-страниц. Большинство наблюдаемых эксплойтов ориентированы на уязвимости IE-браузера и приложений для работы с документами в pdf-формате. По оценке Symantec, около половины заражений через Сеть в 2009 году происходило путем загрузки зловредных pdf-файлов. Для привлечения посетителей на зараженные ресурсы злоумышленники нередко используют социально-инженерные приемы и рассылку рекламного спама.

За истекший период эксперты зарегистрировали 4,5 тыс. уязвимостей, из них 321 — в браузерных плагинах. Однако злоумышленников привлекает не количество «дыр» в программе, а ее статус на рынке. В пятерку главных мишеней года Symantec зачислила уязвимости в Microsoft Windows SMB2, Adobe Reader и Flash Player, Microsoft IE 7 и ActiveX.

На прошлой неделе в тематическом распределении спама произошли заметные изменения. Схлынула волна предложений недорого купить копию дорогих часов, зато резко возросла доля предложений средств для мужской потенции в рубрике «Медикаменты; товары/услуги для здоровья» (+9,9%). Несколько понизились доли лидирующих рубрик «Отдых и путешествия» и «Образование».

Пятерка лидирующих тематик:

• Отдых и путешествия — 21,2% (-3,2%)
• Образование — 19,0% (-0,9%)
• Медикаменты; товары и услуги для здоровья — 15,9% (+9,9%)
• Компьютерное мошенничество — 8,6% (+2,7%)
• Реплики элитных товаров — 6,9% (-6,1%)

Доля спама в почтовом трафике Рунета на прошлой неделе практически не изменилась и составила в среднем 82,8%.

Как всегда, мы делимся с вами интересными примерами спама.

Это предложение экскурсии на майские праздники порадовало способом привлечь клиентов — пускай они почувствуют себя героями и романтиками!

Побег на 3 дня от цивилизации

По следам Индианы Джонс (Великий Новгород - Валдай -Саблинские пещеры) Автобусом отправляемся 1 или 8 мая на 3 дня Вам, романтики. Вам, еще не окончательно приросшим к диванам и компьютерам! На три дня можно оставить пыльную, суетливую Москву и подняться на «Крышу Мира» - съездить на Валдай. Дикая первозданная природа, сплетение рек, речушек и озер..И исключительная природная благодать.. Кто хоть раз побывал здесь, тот уже покорен красотой этих мест навсегда. Великий Новгород и его живая древность, Святоозерский Иверский монастырь. Колокола - Душа Валдайских равнин.. Все это осмотрим, ощутим, сохраним во глубинах памяти своей. А Саблинские пещеры? Они таинственно манят, чаруют и завораживают. Пещеры - это нечто особое. Это свой мир, отличный от земного и небесного. Переполненные пережитым, очнемся вечером третьего дня в Москве. За все - 9200руб. (Включая питание, проживание в супер-отеле в Великом Новгороде, проезд, экскурсии) Звоните: 7.8.74.{num}

Компания Intego предупреждает о появлении нового варианта вредоносной программы для Мас-платформ, позволяющего удаленному злоумышленнику контролировать зараженный компьютер и выполнять на нем несанкционированные действия.

В Intego программу идентифицируют как OSX/HellRTS.D (она же HellRaiser Trojan Horse 4.2 и OSX/Pinhead-B, а в классификации ЛК — Backdoor.OSX.Reshe.a). По словам экспертов, зловреды этого семейства впервые появились в 2004 году. Новая модификация написана на языке RealBasic.и наделена функционалом бэкдора.

Загрузившись в систему, HellRTS.D создает копию своего серверного компонента, маскируя ее именем одного из легальных приложений (например, iPhoto). Этот сервер использует отдельный порт и защищен паролем. Бэкдор обеспечивает злоумышленнику прямую связь с инфицированной системой и выполняет удаленные команды. Он способен рассылать спам со встроенного почтового сервера, следить за активностью резидентного браузера, воровать сохраненную информацию, инспектировать буфер обмена, загружать и отсылать файлы, имитировать сеансы голосовой и видеосвязи — даже включать и выключать компьютер.

Интернет-угрозы, ориентированные на Mac OS X, пока редки. Что касается нового перла зловредного творчества, то есть и хорошая новость: в дикой природе HellRTS.D не найден. Его пока пасут на теневых онлайн-форумах, куда заходят только беспринципные бизнесмены, сетевые «медвежатники» и компьютерные профессионалы, представляющие силы Зла и Добра в виртуальном мире.

Специалисты по сетевой безопасности обнаружили новый способ распространения троянцев семейства ZeuS — в виде вложения в pdf-файл, присланный по электронной почте.

Вредоносные письма замаскированы под фальшивое уведомление о недоставке почтового отправления от имени британской службы Royal Mail. К письму прилагается «квитанция» — прикрепленный файл в pdf-формате, соответствующим образом поименованный. По свидетельству экспертов, этот файл содержит одноименное исполнимое вложение, которое активируется с помощью функции Launch программ для просмотра pdf-документов.

 
Часть вложенного ехе-файла со строкой запуска (развернута)

В итоге в систему пользователя инсталлируется новая модификация ZeuS, который пытается подключиться к китайскому серверу.

Согласно статистике Google, поддельные антивирусы составляют 15% от общего количества зловредов, поджидающих пользователей на веб-сайтах.

Результаты исследования масштабов проблемы будут представлены на семинаре по эксплойтам и новым интернет-угрозам (Workshop on Large-Scale Exploits and Emergent Threats, LEET), который состоится в конце апреля в Калифорнии. За минувший год эксперты проверили 240 млн. веб-страниц и установили, что в глобальную кампанию по распространению псевдо-антивирусов вовлечены более 11 тыс. доменов.

Одним из наиболее распространенных методов продвижения этих навязчивых и бесполезных, а порой и опасных программ является подделка записей кэша в поисковых системах. Ложные антивирусы составляли 60% зловредов, обнаруженных исследователями на страницах с актуальными ключевыми словами.

Нередко на такой странице размещена реклама нового антивирусного продукта, якобы способного избавить пользователя от всех проблем. По данным Google, в настоящее время половина вредоносных программ, загружаемых через рекламные баннеры, флэш-ролики и всплывающие окна, относится к категории псевдо-антивирусов — в пять раз больше, чем год назад.

Уже больше недели пользователи Gmail обмениваются информацией о множественных случаях взлома почтовых аккаунтов и бесконтрольной рассылке спама, пытаясь угадать причину странной эпидемии.

Спамовые сообщения рассылаются со взломанных аккаунтов на адреса корреспондентов владельца — по большей части, это контакты из адресной книги. Тема письма не указана, а в теле приведена только ссылка на некую интернет-аптеку в зоне .co.cc. Это редирект на недавно зарегистрированный веб-сайт mrapgyan.net, который к тому же не работает. Копии писем исправно сохраняются в папке «Отправленные», иногда их можно обнаружить в «Корзине». Некоторые письма не доходят до адресата и оседают в виде уведомлений о недоставке в папке «Входящие».

Как выяснилось, спамеры каждый раз подключались к чужому аккаунту через мобильный интерфейс и, скорее всего, использовали боты. IP-адреса, с которых осуществлялись несанкционированные входы, разбросаны по всему миру: США, Западная Европа, Ближний Восток, Азия, Африка…

Примечательно, что злоумышленники лишь использовали контакты своих жертв для рассылки спама. Они не меняли пароли к почтовым ящикам, не удаляли записи из адресной книги или письма из папок.

Пока не понятно, что объединяет всех потерпевших. Взломаны были и действующие аккаунты, и те, которыми владельцы давно перестали пользоваться. Надежность пароля и наличие/разновидность антивируса, видимо, тоже никакой роли при этом не играют. На большинстве компьютеров не обнаружено никаких зловредов. Платформы у всех жертв различны: XP, Windows 7, Windows Vista, Mac OS, Linux с разными версиями и комбинациями браузеров IE, Firefox, Opera, Chrome.

Количество взломанных аккаунтов не определено. Google пока молчит и, по слухам, ведет расследование. Всем пользователям Gmail-почты рекомендуется проверить отчет о последних случаях использования аккаунта, сменить пароли, сбросить авторизацию на всех компьютерах и не забывать выходить из почты по завершении сеанса.

Special thanks to S.Golovanoff :-)

По свидетельству BitDefender, «новая версия» утилиты для разблокировки iPhone, рекламируемая в спаме, закачивается вместе с троянским файлом, который меняет DNS-настройки на пользовательском ПК.

После загрузки и выполнения exe-файла на iPhone, подключенном к компьютеру, троянский «довесок» пытается поменять все адреса DNS-серверов, выставленные по умолчанию, на 188.210.ххх.ххх – IP-адрес в сетях румынского интернет-провайдера Hot Net.

Троянец, детектируемый в BitDefender как Trojan.BAT.AACL (в классификации ЛК Trojan.BAT.DNSChanger.a) представляет собой файл командного интерпретатора, упакованный вместе с утилитой для iPhone. Он атакует лишь пользовательский ПК, позволяя перенаправить DNS-запросы на зараженные веб-сайты злоумышленников. После его выполнения запускается само приложение разблокировки iPhone, так что пользователь даже не заподозрит, что его компьютер инфицирован.

Сайт с инструкциями по загрузке одиозного приложения указан ссылкой в спамовом письме.

Исследователи компании Webroot обнаружили вредоносные спам-рассылки, нацеленные на распространение новой модификации ложного антивируса XP Defender. При попытке от него избавиться зловред инициирует аварийный отказ системы.

По свидетельству экспертов, вредоносный файл может быть замаскирован под новый пароль, якобы высланный службой техподдержки Facebook вложением в письмо. Он может также прикинуться архивированной копией квитанции на посылку, присланной от имени американской службы UPS. Содержимым зловредного файла является очередной вариант даунлоудера Tacticlol (в ЛК детектируется как Trojan.Win32.Sasfis.akzx).

Подвергнуть эту программу анализу непросто: она отказывается демонстрировать свой функционал в виртуальной среде. Tacticlol и загружает псевдо-антивирус, способный вызвать системный сбой в отместку за попытку его удалить. Один из компонентов XP Defender помогает ему заблокировать веб-браузеры, Outlook Express и другие интернет-ориентированные приложения. Он содержит также пакетный файл, который при запуске удаляет загрузчик ОС и все ключевые файлы каталога Windows.

Командный файл выполняется только при попытке удалить сам компонент. Исследователи отмечают, что его активацию могут спровоцировать даже сканы легального антивируса. Хотя иногда его все же удается благополучно удалить.

Аналогичным деструктивным функционалом обладают многие современные банковские троянцы, например, ZeuS. Однако для них «синий экран смерти» — скорее отвлекающий маневр, позволяющий злоумышленникам выиграть время для перекачки денег со счета жертвы.

Американский регулятор фондового рынка FINRA (Financial Industry Regulatory Authority) оштрафовал D.A. Davidson & Co. на 375 тыс. долларов за безответственное отношение к безопасности персональных данных своих клиентов.

Из-за халатности брокерской компании интернациональная хакерская группировка смогла украсть из ее базы 192 тыс. записей, имеющих конфиденциальный характер. По свидетельству FINRA, информация о клиентах хранилась на веб-сервере в незашифрованном виде и не была защищена паролем. Ее владелец даже не удосужился установить систему защиты от вторжений, проигнорировав рекомендации независимых аудиторов, проводивших проверку за полтора года до инцидента.

Хакеры проникли в базу данных D.A. Davidson & Co. в конце 2007 года, воспользовавшись методом SQL-инъекции. Кибератака была зафиксирована в логах на сервере, но их никто не удосужился просмотреть. Утечка обнаружилась спустя две недели, когда один из сообщников написал в компанию письмо с требованием заплатить взятку за молчание, а в подтверждение взлома предъявил украденные данные 20 тыс. клиентов. Только на этом этапе брокер обратился в органы правозащиты и включился в начавшееся расследование.

В результате оперативно-розыскных мероприятий были идентифицированы четыре участника группировки, граждане Латвии. Они были переданы американским властям, трое из них уже признали свою вину и ожидают вынесения приговора. По имеющимся сведениям, воспользоваться плодами своей атаки они не успели.

Фальшивые антивирусные программы существуют уже давно. С их помощью злоумышленники пытаются запугать пользователей и заставить купить нелицензированный продукт. В этот раз речь пойдет о Desktop Security 2010, фальшивом антивирусе, который использует новую уловку, для того чтобы нас напугать.

Основной компонент фальшивки создает удаленный поток в Диспетчере задач, в котором вызывает функцию LoadLibrary из своего dll компонента: taskmgr.dll. Эта Динамическая библиотека является частью тактики запугивания.

Как видно из скриншота, процессы в Диспетчере задач помечаются словами «вирусов нет» и «заражение»:

Динамическая библиотека упакована с помощью специального упаковщика. После ее распаковки можно легко понять, как происходит заражение.

Вот небольшой фрагмент распакованной Динамической библиотеки, который дает представление о том, как она манипулирует Диспетчером задач.

Для изменения цвета текста использована функция SetColorText API. В цветовой параметр добавлен комментарий. И, наконец, для добавления текста использована функция DrawTextA API.

Это простой, но эффективный способ запугать тех, кто пользуется Диспетчером задач для обнаружения и удаления вредоносных программ.

Привет из Барселоны! Мы с коллегой Сергеем Новиковым участвуем в брифингах, проходящих в рамках конференции BlackHat Europe 2010.

Этот год стал новым этапом в истории этой конференции. Во-первых, потому что конференция сменила адрес — переехала из Амстердама в Барселону для того, чтобы в ней могло участвовать больше делегатов. Во-вторых, потому что в этом году обсуждались три тематических направления в отличие от прошлого года, когда их было только два.

С основным докладом на открытии конференции выступил Макс Келли (Max Kelly), руководитель отдела безопасности социальной сети Facebook.

Макс очень интересно рассказывал о том, как Facebook отражает атаки киберпреступников. Он заметил, что хотя уязвимости — важная составляющая кибератак, все же атакующие злоумышленники важнее. Такой подход может оказаться более перспективным, чем обычное «нашли и залатали», но в тоже время он, естественно, требует определенных затрат на судебные разбирательства и выслеживание киберпреступников.

Еще с одной очень интересной презентацией выступил Стефан Ченетт (Stephan Chenette) из Websense. Он представил новый бесплатный проект Fireshark, о котором уже в конце сегодняшнего дня можно будет почитать на сайте www.fireshark.org.

FireShark — это плагин браузера, который используется для автоматизации процесса просмотра вредоносных сайтов и извлечения из них вредоносных ссылок для того, чтобы с их помощью построить визуальные диаграммы преступных соединений и установить схемы внедрения вредоносных кодов. Если вы интересуетесь вопросами внедрения вредоносных кодов или исследованием угроз, таких как Gumblar и Pegel, уверен, вы оцените FireShark.

Если вы хотите быть в курсе того, что здесь происходит, читайте #BlackHatEU на Twitter.

В этом месяце бюллетени распространила не только компания Microsoft, Adobe также выпустила необходимые апдейты для Adobe Reader и Acrobat 9.3.1 для Windows, Mac и Unix, а также обновления для Reader и Acrobat 8.2.1 для Windows и Mac. Обновления позволяют решить различные проблемы, включая нарушение целостности памяти, переполнение буфера и межсайтовый скриптинг.

Adobe также было принято решение об активации нового апдейтера, который будет определять время, когда компьютер не используется, и автоматически устанавливать обновления. Это даст возможность пользователям с легкостью поддерживать продукты Adobe в актуальном состоянии.

Если принять во внимание тот факт, что продукты Adobe используются весьма активно, звучит великолепно, не правда ли? Однако дело обстоит так — Adobe запускает автоматические обновления, но в этом выпуске эта функция активироваться по умолчанию не будет. Это означает, что пользователи смогут получать автоматические обновления только в том случае, если включат апдейтер. Adobe заявляет, что для большинства пользователей это самая лучшая возможность. В настоящее время компания рассматривает варианты для лучшего долгосрочного решения. Одно из возможных решений — на следующем этапе развертывания предлагать пользователям активировать функцию автоматических обновлений с помощью открывающегося диалогового окна.

Как мне кажется, Adobe необходимо серьезно задуматься о безопасности и использовать больше защитных методов в настройках по умолчанию.

MS10-019 — закрывает две уязвимости в Windows Authenticode Verification. Эти уязвимости могут позволить хакерам модифицировать исполняемые файлы (PE и CAB), не делая сигнатуру недействительной. Обновление позволяет решить эту проблему с помощью дополнительных операций по верификации при подписывании и верификации PE и CAB-файлов.

MS10-020 — обновление, выпущенное компанией Microsoft для закрытия уязвимости клиента SMB. Обновление актуально для обеих версий клиента (SMBv1 и SMBv2). Клиент SMB используется в основном для предоставления совместного доступа к файлам и принтерам по сети. Эта уязвимость может использоваться для проведения DoS-атаки.

MS10-022 — обновление, закрывающее уязвимость в VBScript, которая может быть использована для удаленного выполнения кода. Заражение возможно при посещении пользователем специально созданной веб-страницы и нажатии клавиши F1. Данное обновление заявлено как важное для пользователей, работающих под Windows 2000, ХР и Server 2003; для работающих под Windows 7, Server 2008 или Server 2008 R2 рейтинг безопасности не заявлен. По сообщению Microsoft, это обновление — мера «глубокой обороны».

MS10-025 — обновление, закрывающее уязвимость, эксплуатируя которую киберпреступник может получить полный контроль над компьютером, изменив режим обработки в Windows Media Unicast Services сетевых пакетов при передаче информации. Следует заметить, что под Windows 2000 Server компонент Windows Media Services является опциональным и по умолчанию не устанавливается.

MS10-026 — обновление, закрывающее уязвимость, связанную с методом обработки аудиопотока MPEG Layer-3 (MP3) в Windows. Используя эту уязвимость, киберпреступник может получить полный контроль над компьютером, если пользователь откроет специально созданный .avi-файл.

MS10-027 — обновление, закрывающее уязвимость в Windows Media Player. Для эксплуатации уязвимости необходимо, чтобы пользователь открыл зараженный веб-сайт и запустил на нем специально созданный медиа-файл.

Информация об остальных обновлениях безопасности и подробные сведения об обновлениях от Microsoft и Adobe доступны здесь: Microsoft Security Bulletin Summery и Adobe Security bulletin.

При установке обновлений помните о том, что они требуют перезагрузки компьютера.

На прошлой неделе в тематическом распределени спама продолжили лидировать рубрики «Отдых и путешествия» и «Образование». Более чем в два раза возросла доля писем с предложениями за смешные деньги приобщиться к красивой жизни: купить неотличимую от оригинала копию элитных часов. Заметно меньше стало уведомлений о выигрышах в несуществующие лотереи и «нигерийских» писем.

Пятерка лидирующих тематик:

• Отдых и путешествия — 24,4% (+1,2%)
• Образование — 19,9% (-1,5%)
• Реплики элитных товаров — 13,0% (+6,8%)
• Медикаменты; товары и услуги для здоровья — 6,0% (-1,7%)
• Компьютерное мошенничество — 5,9% (-3,1%)

Доля спама в почтовом трафике Рунета на прошлой неделе в среднем составила 82,4%.

Сейчас самая актуальная тема для спамеров – близящиеся майские праздники.

Георгиевские и Триколор ленты в рулонах по 50 и 100м

Второй день подряд есть повод поговорить о нигерийских спамерах! И снова они пишут свои трогательные послания именно сотрудникам ЛК.

На этот раз один из наших сотрудников получил сообщение в социальной сети ВКонтакте в точности повторяющее шаблонные тексты нигерийцев:

В письме говорится, что к нашему сотруднику обращается представитель миллионера, погибшего в автокатастрофе вместе с семьей два года назад. Знакомое начало, не правда ли? Половина нигерийских писем начинается приблизительно так. Далее следует упоминание 13,5 миллионов долларов, говорится, что на протяжении двух лет представитель искал других родственников погибшего, но не преуспел в этом деле. А так как получателю сообщения посчастливилось быть однофамильцем погибшего, то он, конечно же, и должен унаследовать все 13,5 миллионов, за вычетом стоимости транзакции. Разумеется, присовокуплен и "личный почтовый адрес" представителя.

В целом, все по шаблону, но помимо того, что письмо это пришло именно сотруднику ЛК есть еще одна интересная особенность: пришло оно не по электронной почте, куда обычно приходят нигерийские письма, а в соц сети. К тому же в соцсети Российской.

Профиль отправителя не несет в себе практически никакой информации, кроме разве что имени, родного города и номера школы с датой выпуска. Забавно, что "юридический представитель погибшего миллионера", если судить по профилю, только в этом году заканчивает школу.

Появление на ВКонтакте такого интернационального спама говорит, в том числе, о постепенной интернационализации ресурса. Но главное, о чём оно говорит, - это о том, что "нигерийцы" разведывают просторы web2.0.

Один из сотрудников «Лаборатории Касперского» получил вот такое «нигерийское» письмо:

From: MINISTRY OF FINANCE [mailto:minfin@minfin.ru]
Sent: Tuesday, April 13, 2010 12:52 PM
Subject: NOTIFICATION LETTER

Address: 109097 Moscow, Ilyinka Street, 9 Tel. + 7 (951)861 0508 (information) Fax + 7 (908) 1428-362 http://www.minfin.ru/ru/ Email:minfinn@nm.ru

В кратком изложении это выглядит следующим образом: получателя от имени министерства финансов РФ уведомляют, что он имеет шанс получить больше 5 млн. долларов из некоего фонда экономической помощи. Претендент может быть физическим или юридическим лицом, должен представлять какую-либо из азиатских стран, прочно стоять на ногах в финансовом отношении и (внимание!) представить свои документы на проверку. Почему-то соответствующие бумаги должен при этом подписать Верховный суд РФ (кстати, никогда не встречала столь превосходной степени в англоязычных названиях судов высшей инстанции — сразу и Supreme, и High). Заинтересовавшихся просят связаться с замминистра Антоном Силуановым (таковой, действительно, занимает эту должность) через факс или электронную почту.

Опустим пару огрехов в англоязычном спеллинге и перейдем к анализу предлагаемых контактов. Первое, что бросается в глаза, — несоответствие адресов электронной почты министерства финансов в строке «From:» и в подвале письма. Правильное имя домена — minfin.ru, а адрес @nm.ru приводит нас на сервис бесплатной почты. Физический адрес правительственного органа скопирован прилежно. Позвольте, а чьи номера указаны для отсылки факса и связи по телефону? Такие на официальном сайте министерства не числятся!

Вот такие неутешительные результаты дал поверхностный анализ контента. Может, кто еще что-нибудь заметит?

В завершение быстренько погуглим электронный адрес minfin@nm.ru. Ну вот, пожалуйста: this email address has been used in a known scam. И в качестве примера типового «нигерийского» скама — тот же образчик творения сетевых охотников за легкой наживой.

Будьте внимательны, получая нежданные уведомления о подарке судьбы. И — вас в детстве учили не вступать в разговор с незнакомцами?

На прошлой неделе мы получили рассылку, которая на первый взгляд ничем не выделялась из общего потока. Были это письма на немецком с рекламой он-лайн казино. Удивительного в такой рассылке мало «азартный» спам является одним из самых популярных видов немецкоязычных мусорных писем.

Однако, ничем не выделялась эта рассылка только на первый взгляд. На деле же, прелесть рассылки состояла в том, что все ссылки из писем вели на странички созданные на взломанных легальных сайтах. Ссылки имели следующий вид: *******.com/news_.php или *******.com/1500.php.

Новая разновидность троянских вымогателей терроризирует пользователей требованием заплатить 400 долларов штрафа за нелегально скачанные файлы.

Зловред, получивший в F-Secure наименование Rogue:W32/DotTorrent.A (ЛК детектирует его как Trojan-Ransom.Win32.CardPay.a), выводит на экран сообщение об обнаружении контента, якобы скачанного с нарушением авторских прав. Здесь же приводятся некий перечень файлов и ссылки на «свидетельства пиратской деятельности», а также адрес сайта «правозащитников». Пользователя ставят перед выбором: урегулировать «конфликт» во внесудебном порядке или предстать перед судом.

Владелец зараженной машины, не ведая за собой греха, может проигнорировать это уведомление. Но тогда при каждом перезапуске его будет преследовать напоминание о суровых последствиях отказа от сотрудничества — с рекомендацией согласиться на полюбовную сделку.

Proxy-auto config (pac)-файлы — это интересный и малоизвестный инструмент, используемый некоторыми системными администраторами в крупных корпоративных сетях по всему миру. Инструмент легитимен и поддерживается всеми современными веб-браузерами; здесь мы приводимего подробное описание. Суть данного инструмента — переадресация web-запросов на определенный прокси-сервер.

К сожалению, этот простой и удобный инструмент широко используется бразильскими вирусописателями для переадресации web-запросов, исходящих с зараженных компьютеров, на фишинг-страницы, которые являются клонами официальных страниц онлайн-банкинга. URL-адрес, ведущий на .pac-скрипт, прописывается в настройках браузера под закладкой «Использовать скрипт автоматической настройки»:

Во вторник, 13 апреля, Adobe активирует новый сервис обновлений для Reader и Acrobat последних версий под Windows и Mac OS X.

Новая система предусматривает опцию установки обновлений без вмешательства пользователя, в фоновом режиме. Сервис будет предложен вместе с версиями 9.3.2 и 8.2.2 упомянутых продуктов в составе регулярного пакета обновлений. Технология успешно прошла бета-тестирование, оптимизирована для каждой платформы и уже запущена на более ранних версиях Reader и Acrobat. Разработчики надеются, что автоматизация процесса обновления поможет поддерживать в актуальном состоянии многочисленную армию приложений, обладающих большой привлекательностью для киберкриминала.

Автоматическая установка обновлений не будет включена по умолчанию, новый механизм активируется с теми настройками, которые выставлены в пользовательской системе. Чтобы задать автоматический режим, пользователю придется самому произвести соответствующие изменения в разделе «Установки». В дальнейшем Adobe предполагает предоставлять пользователю право выбора с помощью специального диалогового окна.

Следует помнить, что на платформах Windows Vista и Windows 7 установка обновлений в автоматическом режиме не всегда возможна в связи с присутствием компонента UAC (User Account Control). Например, при обновлении самого Adobe-апдейтера система потребует у пользователя подтверждения действия. Та же проблема ожидает пользователей ПК под Mac OS X, на которых установка новых программ осуществляется только при вводе пароля.

Adobe также сокращает интервал между выпуском обновлений. Теперь обновления будут доступны не еженедельно, а раз в три дня. Новый сервис запущен только для Reader и Acrobat. Если это начинание окажется успешным, компания введет такую же услугу и для других своих программных продуктов, в том числе для Flash.

Согласно статистике Symantec, в марте спам составлял [PDF3,02 Мб] 89,34% почтового трафика.

Большая часть нелегитимных писем (44,7%) отсылалась с компьютеров, расположенных на территории стран ЕМЕА. При этом за 62% спам-трафика в этом регионе были ответственны Голландия, Германия, Великобритания, Польша, Румыния, Италия, Испания, Россия и Чехия. В глобальном масштабе среди стран-источников спама по-прежнему и с большим отрывом лидируют США (24% от общего количества).

В тематическом разделении спам-рассылок первенство сохраняет категория «интернет-услуги» (34%). На долю рекламы промтоваров в отчетный период, по данным Symantec, приходилось 18% от общего объема спама, фармацевтических изделий — 12%, финансовых услуг 12%. Вклад фишинговых и мошеннических посланий (в том числе «нигерийских») в спам-трафик совокупно составлял 17%.

Около половины (47%) ссылок в URL-спаме были привязаны к доменной зоне .com. Спамеры продолжают осваивать российский веб-хостинг; в марте российский национальный домен присутствовал в 29,8% URL, указываемых в спаме. На адреса в зоне .cn приходилось лишь 4,1% спамовых ссылок.

В минувшем месяце эксперты также отметили увеличение объемов спама с вложениями. Соответственно возросло и количество спамовых сообщений большого размера: 5-10 КБ — на 10%, до четверти от общего числа; свыше 10 КБ — до 11%.

Больше половины фишинговых страниц, по оценке Symantec, размещается на территории США. Количество URL, генерируемых фишерами с помощью готовых комплектов для проведения кибератак, уменьшилось на 35%. 12% поддельных страниц было обнаружено на ресурсах легальных хостинг-провайдеров.

Участник хакерской группировки Алексей Волынский, проживающий на территории США, приговорен к тюремному заключению сроком 3 года и 1 месяц.

Данная группировка под руководством россиянина Александра Бобнева занималась хищением денежных средств с онлайн-счетов клиентов американских банков и брокерских компаний. Доступ к клиентским счетам они получали с помощью троянского кейлоггера, воровавшего пароли и номера банковских карт. Украденные деньги переводились на подставные счета, открытые на территории США, а затем переправлялись в Россию через Western Union.

Волынского обвинили также в продаже 180 персональных идентификаторов для изготовления поддельных кредиток. Правонарушителю вменили преступный сговор с целью мошенничества с использованием каналов проводной связи, несанкционированное использование защищенных компьютерных ресурсов с нанесением вреда, отмывание денежных средств и мошенничество с использованием средств доступа. Помимо пребывания под стражей, ему предстоит уплатить 30 тыс. долларов в возмещение нанесенного ущерба. Решением суда такая же сумма будет конфискована из его личных сбережений.

Другой подельник-эмигрант, Алексей Минеев, в ноябре прошлого года был приговорен к 1,5 годам тюремного заключения. Бобнев как резидент другого государства остается на свободе.

С 27 марта на различных международных сайтах, посвященных бесплатному программному обеспечению для смартофонов под управлением операционной системы Windows Mobile и позволяющих это программное обеспечение скачать, появилась новая игра "3D Antiterrorist". Внутри полуторамегабайтного архива, помимо самой игры, можно найти файл с именем reg.exe, который в действительности является троянской программой, звонящей на международные платные номера, что чревато ощутимыми денежными потерями для владельцев смартфонов. С 8 апреля вредоносная программа детектируется «Лабораторией Касперского» как Trojan.WinCE.Terdial.a. Что же представляет собой данный зловред?

После запуска установочного файла antiterrorist3d.cab происходит инсталляция игры в директорию "Program Files", а также копирование вредоносного файла reg.exe размером 5632 байт в системную директорию под именем smart32.exe.

Румынские власти арестовали 70 участников трех криминальных группировок, укравших у посетителей онлайн-аукционов около 800 тыс. евро.

Сообщники работали по типовой схеме. Они выставляли на торги предметы роскоши, электронику, автомобили престижных моделей и даже самолеты. Когда претендент заключал сделку и оплачивал покупку, ему высылались дешевые подделки или товар вовсе не отгружался.

По имеющимся сведениям, данные группировки открыли охоту в Сети в 2006 году. От их действий пострадали жители Испании, Италии, Франции, Новой Зеландии, Дании, Швеции, Германии, Австрии, Швейцарии, США и Канады. На настоящий момент выявлено более 800 жертв мошеннических схем, реализованных этими преступниками.

В расследовании, начатом год назад, помимо румынских правоохранительных органов, принимали участие ФБР и Секретная служба США. По его итогам было проведено более сотни обысков, в том числе на территории Чехии и США. Весьма вероятно, что правонарушители прибегли к фишингу, чтобы торговать на аукционах с легальных аккаунтов.

Некоторое время назад была опубликована моя статья про то, как работают бразильские троянцы-банкеры. Однако ситуация меняется, бразильские кодеры совершенствуют свои навыки, изобретая более сложные методы заражения. Пример тому — образец вредоносной программы, попавший в поле моего зрения сегодня.

Этот вредонос действует по классической схеме:

Новая (для Бразилии) идея реализована между вторым и третьим этапом, когда загрузчик загружает и устанавливает банкера-троянца. Бразильские кодеры, с одной стороны, разными методами осуществяют обфускацию ссылки на загрузку файлов, а с другой — шифруют банкера, который должен быть внедрен в систему.

На прошлой неделе заметных изменений в распределении спама по тематикам не наблюдалось. Письма с предложениями чему-нибудь научиться и с рекламой туристических услуг вместе составили почти половину всего потока спама.

Пятерка лидирующих тематик:

• Отдых и путешествия — 23,2% (+3,8%)
• Образование — 21,4% (+1,2%)
• Компьютерное мошенничество — 9,0% (+0,3%)
• Медикаменты; товары и услуги для здоровья — 7,7% (-1,1%)
• Реплики элитных товаров — 6,2% (-0,1%)

Доля спама в почтовом трафике Рунета на прошлой неделе в среднем составила 83,6%.

Наступившее на прошлой неделе 1 апреля — отличный информационный повод для спамеров. Например, в этом письме рекламируется целый сайт для любителей розыгрышей. Оплата услуги производится посредством sms, и, что интересно, это тот случай, когда ее стоимость не скрывается и не занижается.

По данным Всероссийского центра изучения общественного мнения (ВЦИОМ), 38% россиян регулярно пользуются интернетом.

В опросе, проведенном ВЦИОМ в конце марта, приняли участие 1600 человек из 140 населенных пунктов, расположенных в 42 областях, краях и республиках России. Согласно итогам опроса, почти половина (46%) населения страны уже обзавелась персональным компьютером или ноутбуком, но не у всех есть доступ к интернету.

Из тех, кто использует эту возможность, 23% выходят в Сеть ежедневно, 11% — еженедельно, 4% ежемесячно, а 1% эпизодически. Наибольшее число поклонников интернета проживает в Уральском и Центральном округах (48 и 45% респондентов соответственно). В Москве и Санкт-Петербурге этот показатель значительно выше и составляет 68%. Завсегдатаи «всемирной паутины» — это молодые люди 18-24 лет (70%), обладатели высшего образования (57%) или представители материально обеспеченных слоев населения (51%).

Судя по результатам опроса, россиянам интернет нужен, в основном, для работы или учебы (58%). Однако таких пользователей становится все меньше. Половина опрошенных признались, что пользуются Сетью для ведения переписки, 49% — для расширения кругозора. 48% российских пользователей регулярно ищут новости, 39% общаются с другими людьми. Растет также число тех, кто скачивает из интернета музыку, фильмы, книги (38%). 21% участников опроса указали, что играют в онлайн-игры, а 12% — что используют интернет как средство для совершения покупок.

Основная масса российских пользователей (82%) выходит в Сеть с домашних компьютеров. В первую очередь, это пожилые люди (96%) и неквалифицированные рабочие (89%). На рабочем месте интернет используют лишь 13% жителей России, из которых 22% относятся к возрастной категории 45-59 лет. Наиболее активное время пребывания россиян в Сети — с 19.00 до 23.00 часов (60% опрошенных).

По свидетельству экспертов, почти все страницы, используемые спамерами для продвижения интернет-аптек, перекочевали с китайских доменов на российские.

Согласно результатам исследований, проводимых в университете штата Алабама, г. Бирмингем (UAB), до недавнего времени почти три четверти URL, указываемых в спаме, были привязаны к зоне .cn. Большинство из них содержали рекламу нелицензированных интернет-аптек. К концу января число спамерских доменов, зарегистрированных в китайской национальной зоне, резко сократилось, а количество новых регистраций в зоне .ru заметно увеличилось.

Число доменов, зарегистрированных спамерами в зонах .cn и .ru (источник: UAB)

Symantec также отметила, что в начале февраля использование китайских доменов в спаме сократилось практически до нуля, а российских – увеличилось почти до 40% от всего URL-спама. И, в основном, это была все та же реклама скидок на фармацевтические изделия, изменился лишь TLD, присутствующий в ссылках.

Китайские и российские домены в URL-спаме (источник: Symantec)

Миграцию фармаспамеров подтверждают и последние данные Консорциума разработчиков сетевого ПО (Internet Systems Consortium, ISC). За сутки они насчитали более 10 тыс. уникальных доменных имен, используемых в спаме. Более 1870 из них идентифицировали новые сайты, торгующие медикаментами. При этом 490 доменов оказались зарегистрированными в зоне .com, 18 – в зоне .cn, а остальные были привязаны к зоне .ru.

По-видимому, такие результаты – следствие ужесточения правил регистрации в китайской национальной зоне. Остается надеяться, что аналогичная кампания в Рунете заставит спамеров покинуть новое пристанище и продолжить скитания, пока перед ними не захлопнут последнюю дверь.

По оценке Cloudmark, около 40% сервисов коротких ссылок регулярно используются спамерами.

За последнюю неделю марта исследователи обнаружили 707 веб-сайтов, предоставляющих услуги по сокращению URL. 275 из них были ответственны за генерацию коротких ссылок, привязанных к страницам со спам-рекламой. В целом Cloudmark насчитала 5868 сокращенных URL, направлявших пользователей на ресурсы спамеров.

Короткие ссылки снискали большую популярность в среде киберкриминала, так как позволяют замаскировать истинное местонахождение источника спам-рекламы, фишинговых страниц или зараженного ресурса. По словам экспертов, количество сервисов по сокращению ссылок с каждым днем увеличивается. К сожалению, участники этого рынка редко проявляют заботу о защите своих служб от злоупотреблений.

Согласно итогам опроса, проведенного недавно в Китае, в прошлом году 4,4% пользователей национального сектора интернета выходили в Сеть, не удосужившись установить защитное ПО на свой компьютер.

С учетом того, что интернетом пользуются 384 млн китайцев, количество машин, не оснащенных даже антивирусом, должно составлять около 17 миллионов. К сожалению, анкетирование не выявило число установленных, но не обновляемых средств антивирусной защиты. Надо полагать, статистика по незащищенным ресурсам могла бы быть еще более неутешительной.

Упомянутый опрос был проведен по инициативе Информационного центра интернет-инфраструктуры Китая (China Internet Network Information Center, CNNIC) и китайского Государственного центра быстрого реагирования на чрезвычайные ситуации в интернете (National Computer network Emergency Response technical Team, CNCERT). Анализ его результатов выявил и другие любопытные факты, свидетельствующие о плачевном состоянии сетевой безопасности в стране.

Известно, что китайцы – большие поклонники онлайн-игр. По данным опроса, около половины пользователей интернета являются владельцами виртуальных ценностей. Однако 14,6% респондентов признались, что лишились части игровых накоплений из-за пиратов, похитивших их регистрационные данные. Виртуальные ценности – важный объект охоты для сетевых злоумышленников, так как их всегда можно обменять на реальные деньги.

В прошлом году китайские интернет-пользователи потратили 15,3 млрд. юаней (свыше 2,2 млрд. долларов США) на очистку своих компьютеров после кибератак. Наиболее популярным средством защиты от них являются бесплатные антивирусы. В стране растет также армия пользователей, выходящих в Сеть с мобильных телефонов, – и, как правило, безо всякой защиты.

4 апреля во всем христианском мире наступит светлый праздник Пасхи.

Из года в год Пасха становится поводом не только для радости, но и для различных маркетинговых ходов с нею связанных. В магазинах появляются различные аксессуары, так или иначе связанные с праздником, тут и там проводятся разнообразные акции. А в спаме, конечно, появляются тематические рассылки

Спамеры используют Пасху, что называется, кто как может. Так, самой крупной российской рассылкой, приуроченной к светлому весеннему празднику, стала рассылка, рекламирующая экскурсионный тур в пасхальные выходные:

Англоязычные спамеры пошли дальше.

Российские банки предупреждают об учащении мошеннических SMS-рассылок, нацеленных на выуживание конфиденциальной информации у держателей пластиковых карт.

Владельца карты от имени кредитной организации извещают об окончании срока действия карты, ее блокировке, изменении PIN-кода или о превышении кредита. Для прояснения ситуации ему предлагается связаться по указанному телефону с неким «оператором». При контакте мошенники, представляясь сотрудниками банка, запрашивают личную информацию и данные банковской карты, включая PIN-код, — нетрудно догадаться, с какой целью.

Согласно правилам безопасности, разработанным Центробанком РФ, никто не имеет право интересоваться PIN-кодом карты, выданной кредитной организацией. Его ни в коем случае нельзя сообщать третьим лицам, даже представителям банка. Следует помнить, что любой эмитент пластиковых карт при высылке SMS указывает только прямые номера телефонов (без федеральных кодов) или бесплатный номер, начинающийся с 8-800. Кроме того, в тексте сообщения должны присутствовать последние цифры номера карты. По всем подозрительным сообщениям владельцев карт просят звонить в круглосуточную службу поддержки клиентов банка.

Специалисты MessageLabs проанализировали источники таргетированных атак, которые в марте проводились злоумышленниками, чтобы получить доступ к конфиденциальной корпоративной информации. 36,6% вредоносных сообщений были отправлены с американских веб-серверов бесплатной почты. Эти почтовые сервисы очень популярны, и их услугами пользуются жители разных стран мира. Тщательный анализ заголовков писем показал, что отправители шпионского спама находились на территории Китая (28,2%), Румынии (21,1%), США (13,8%), Тайваня (12,9%) и Великобритании (12,0%). В 84% случаев отправители базировались в Азии или Европе. Повышенным спросом у злоумышленников пользовалась информация о торговой политике и оборонных мероприятиях, касающихся взаимоотношений с азиатскими странами.

Исследователи MessageLabs также представили статистику по использованию спамерами вредоносных вложений в разных форматах. Наибольшее распространение в марте получили xls- и doc-файлы (по 15,4% от общего числа зараженных вложений). Однако самую большую опасность представляли вложения в формате rar: они оказывались зараженными в 96,8% случаев.

Согласно статистике MessageLabs, спам из новых и неизвестных источников в марте составлял 90,7% почтового трафика. Около половины таргетированных спам-рассылок были проведены с азиатских компьютеров.

Наиболее высокий уровень спама наблюдался в Венгрии (95,7%), а в разделении по отраслям хозяйственной деятельности — на предприятиях машиностроительной промышленности (94,7%).

Из необычных спам-рассылок эксперты отметили шифрованные сообщения, распространяемые по TLS-каналам. По оценке MessageLabs, их вклад в мартовский спам-трафик составлял 20%. Особое рвение проявляли операторы Rustock: в течение месяца на TLS-спам приходилось около 77% почтового мусора, отправляемого с использованием этого ботнета.