Датская компания CSIS обнаружила новую интернет-угрозу, атакующую пользователей Facebook через спам-рассылки. Зловред, которого в компании классифицируют как червь, замаскирован под безобидное фото и при запуске загружает на зараженную машину другие вредоносные файлы.

По свидетельству экспертов, новый зловред использует краденые идентификаторы Facebook для распространения вредоносных ссылок по всем контактам жертвы. Эти сообщения содержат лишь URL страницы с вредоносным файлом, который позиционируется как скринсейвер в формате .jpg. При загрузке и активации исполняемый файл награждает жертву коктейлем из зловредов, один из которых опознан как ZeuS.

Вредоносная программа написана на Visual Basic и способна отследить запуск в виртуальной среде или песочнице. Она пока плохо детектируется антивирусами из списка Virus Total. CSIS обнаружила полтора десятка доменов, ассоциированных с новой угрозой. Злоумышленники используют взломанные серверы для сбора информации о зараженных машинах и раздачи вредоносных файлов.

Правительство Великобритании опубликовало рамочную программу действий, направленных на укрепление национальной кибербезопасности, а также повышение надежности и жизнестойкости британского киберпространства в ближайшие 4 года.

Предложенные меры призваны стимулировать дальнейшее развитие онлайн-бизнеса и снизить ущерб, причиняемый национальной экономике кибератаками. По мнению авторов британской Cyber Security Strategy, залогом успеха в реализации этих целей является усиление взаимодействия государственного и частного секторов. Британцы планируют совершенствовать работу на таких направлениях, как стимуляция информационного обмена между публичными и приватными структурами, развитие отечественной индустрии сетевой защиты, подготовка специализированных кадров, стандартизация безопасного ведения бизнеса в интернете, профилактика киберпреступлений и просвещение населения, повышение эффективности правовой базы.

Стратегия обеспечения национальной кибербезопасности предусматривает, в частности, пересмотр Закона о неправомерном использовании компьютерных технологий (Computer Misuse Act). Особое внимание планируется уделить практическому применению действующих статутов. Согласно британским законам, суд вправе ограничить рецидивисту доступ к интернету или наложить запрет на конкретный вид онлайн-деятельности, однако такие меры пресечения непопулярны, а надзор за соблюдением условий освобождения неадекватен. Чтобы автоматизировать мониторинг сетевой активности киберпреступников, отпущенных на свободу с поражением в интернет-правах, предложено использовать специальные кибертэги, которые будут срабатывать при нарушении действующих ограничений и автоматически оповещать соответствующего контролера.

ОАО «ВымпелКом» (Билайн) предупреждает о появлении новой мошеннической схемы, нацеленной на отъем денег с мобильных счетов в обмен на сомнительные услуги.

Электронные сообщения, распространяемые спамерами, продвигают веб-сервис «Будь на связи» и услугу «Дозвонись всем». Получателей призывают внести номер мобильного телефона в некий белый список, якобы гарантирующий, что в новогоднюю ночь абонент сможет дозвониться своим родственникам, друзьям и знакомым. По утверждению мошенников, в прошлом году этим предложением воспользовались около 8 млн. подписчиков.

Билайн поясняет, что утверждение спамеров, будто в новогоднюю ночь ведущие телеоператоры отключают основное оборудование, оставляя только запасное (якобы для обслуживания номеров из «белого списка»), не соответствует действительности. По информации Билайн, такой практики вообще не существует, ни в выходные, ни в будние дни. Что касается новогодних праздников, к ним технические службы операторов готовятся загодя, так как в этот период трафик увеличивается в 5-6 раз.

Для подписки на услугу, рекламируемую через спам, придется зарегистрироваться на веб-сайте с немудрящим названием «Белый список», отправив несколько SMS на короткий номер. Каждое такое сообщение обойдется отправителю в 108-130 руб. в зависимости от оператора сотовой связи.

Все короткие номера, ассоциированные с новой спам-рассылкой, уже заблокированы. Билайн планирует передать информацию о выявленном мошенничестве в правоохранительные органы.

Драйвер

Драйвер является первым компонентом Duqu, который загружается в систему. По нашим данным, драйвер и другие компоненты этой вредоносной программы устанавливаются с помощью дроппера, использующего 0-day уязвимость (CVE-2011-3402). Драйвер прописывается в реестре по следующему пути: HKLM\System\CurrentControlSet\Services\. Конкретное имя ключа реестра отличается в разных версиях драйвера Duqu.

После загрузки драйвер расшифровывает маленький блок, содержащий ключ реестра и имя значения реестра, которое будет считано из этого ключа. Этот блок также содержит имя устройства, которое будет создано драйвером.

Все версии драйвера, которые нам известны, имеют одинаковое имя значения реестра: «FILTER».

Некоторое время назад я писал про «доски предложений» (offer walls), которые используются для организации утечки пользовательских данных и их сбора. Но теперь появились основания считать, что жертвами атаки становятся не только отдельные пользователи. Недавно, просматривая новостной ресурс Reddit, я натолкнулся на рассказ популярного разработчика Android-приложений о том, что другой разработчик украл его приложение, добавил туда код, предназначенный для распространения рекламного спама, и загрузил его на Android Market под тем же названием, но уже через свою учетную запись. Спустя некоторое время я убедился в том, что это правда.

Приложение под названием ElectricSleep было создано Джоном Уиллисом (Jon Willis). Вы можете найти его ВОТ ЗДЕСЬ.

Согласно описанию, приложение может «улучшить качество вашего сна с помощью интеллектуального будильника. ElectricSleep – это будильник, записывающий циклы вашего сна и бережно пробуждающий вас во время фазы быстрого сна. Данные о вашем сне сохраняются и анализируются, чтобы помочь вам разобраться с тем, как вы спите, и выработать привычку к более здоровому сну».

Если сравнить ворованную версию приложения с исходной, следы вмешательства злоумышленников сразу же станут очевидны, стоит только взглянуть на разрешения, запрашиваемые программой:

Следуя распоряжению голландской полиции, RIPE NCC ― организация, распределяющая сетевые ресурсы в Европе, ― временно заблокировала доступ к записям по 4-м блокам IP-адресов, ассоциированных с ботнетом DNS Changer. Однако администратор регионального интернет-реестра не уверен в правомочности такой превентивной меры и планирует обратиться за разъяснениями в судебные инстанции.

Нейтрализация голландских ресурсов DNS Changer является неотъемлемой частью американской кампании по ликвидации ботнета, позволявшего своим хозяевам зарабатывать миллионы на накрутке кликов по рекламным ссылкам. По приказу федерального судьи C&C серверы DNS Changer были отключены от Сети. DNS-серверы, перенаправлявшие запросы с зараженных компьютеров на угодные ботоводам ресурсы, на время заменили подставными. Контроль над подставными сайтами поручен посреднику, утвержденному американскими властями. Все эти меры призваны помешать злоумышленникам вновь овладеть ботнетом.

Поскольку часть IP-адресов, задействованных в инфраструктуре DNS Changer, прописана в европейском регионе, департамент юстиции США обратился за помощью в голландскую прокуратуру. Там определили, что подобный запрос не противоречит местному законодательству, и подключили национальную полицию, которая, в свою очередь, связалась с RIPE. В соответствии с официальным распоряжением RIPE должна блокировать любые попытки внести изменения в записи по провинившимся IP-адресам вплоть до 22 марта будущего года.

Администратор реестра предупредил соответствующих регистрантов о репрессивных мерах, но поспешил переложить ответственность за этот шаг и возможные негативные последствия на правоохранительные органы. Позднее RIPE заявила, что собирается вызвать голландского прокурора в суд, чтобы «создать прецедент и удостовериться в своем праве подчиняться аналогичным приказам ». Администратор европейского реестра также обратился за поддержкой к интернет-сообществу: опубликовал на сайте распоряжение, полученное от голландской полиции, и свои заявления, пообещав держать всех в курсе дела по мере развития событий.

По оценке Bit9, американского поставщика защитных решений, 56% современных смартфонов на базе Android используют устаревшие и ненадежные версии этой ОС. Заключению экспертов вторит статистика самой Google: больше половины смартфонов, отметившихся с 20 октября по 3 ноября на официальном Android Market, оснащены версией 2.2 или ниже.

Android-смартфоны, пользующиеся наибольшим спросом в этом году, заняли все места в составленной Bit9 «грязной дюжине» популярных устройств, представляющих группу повышенного риска с точки зрения информационной безопасности. На долю этих 12-ти моделей приходится 33% глобального парка Android. Следует отметить, что 10 из 12-ти участников непочетного списка от Bit9 уже сняты с продажи или больше не получают обновления для ОС.

Наименее безопасной признана модель Samsung Galaxy Mini, второе и третье места заняли HTC Desire и Sony Ericsson Xperia X10 соответственно. 13-е место по уязвимости заняла линейка Apple iPhone.

Эксперты F-Secure обнаружили новую версию OSX-троянца, который использует вычислительные мощности зараженного компьютера для генерации биткойнов в пользу своих хозяев.

Первоначальный вариант зловредного майнера для Mac OS, известный как DevilRobber (в классификации ЛК Backdoor.OSX.Miner), объявился на торрент-трекерах в конце октября. Его компоненты скачали несколько пользователей The Pirate Bay в комплекте с копиями популярных легальных программ. DevilRobber обладает функционалом бэкдора, осуществляет сбор информации на зараженной машине и отправляет ее на удаленный ftp-сервер злоумышленника. При запуске троянец проверяет наличие Little Snitch (файервола) и производит установку лишь при его отсутствии. Он создает точку запуска ~/Library/LaunchAgents/com.apple.legion.plist и прописывается в домашней папке как ~/Library/mdsa1331.

В минувшем квартале количество DDoS-атак, отраженных защитными решениями Prolexic Technologies, на 66% превысило показатель годовой давности. Свыше 24% этих попыток представляли собой атаки типа SYN flood, 22% пришлось на долю ICMP flood, 19% ― на UDP flood.

Интенсивность DDoS-атак (число пакетов в секунду, pps) за год увеличилась почти вчетверо. 83% атак, зафиксированных в III квартале, использовали протоколы сетевого уровня (3-го), остальные 17% представляли собой атаки прикладного уровня (7-го). Средняя продолжительность DDoS-атак составила 1,4 суток, средняя скорость трафика ― 1,5 Гбит/с. Больше прочих от таких нападений страдал игорный бизнес; основными плацдармами злоумышленников являлись Китай, Индия и Турция, при этом больше половины DDoS-атак производились с китайских IP-адресов.

Эксперты отметили также устойчивый рост числа SYN/ICMP flood атак с высоким pps, направленных против защитных решений. Эти атаки незатейливы, но весьма эффективны, так как большинство популярных средств противодействия DDoS не справляются с входными потоками такой интенсивности. По оценке исследователей, главными группами риска в четвертом квартале станут сервисы розничной торговли и электронной коммерции, ― невзирая на анти-DDoS защиту. Сбудется ли этот прогноз, покажет следующий отчет компании Prolexic, которая планирует публиковать аналогичную статистику ежеквартально.

Бесплатные хостинги ― излюбленный инструмент мошенников, так как на них удобно размещать поддельные сайты. Фишинговые сайты, как правило, существуют недолго, от нескольких часов до нескольких дней, и фишерам невыгодно регистрировать и проплачивать домены на год вперед ради столь короткого времени. Кроме того, фишингом сегодня занимаются все, кому не лень, в том числе студенты и – даже – школьники, которым оплата домена и вовсе не по карману. По этим причинам огромное количество мошеннических веб-сайтов регистрируется на бесплатных хостингах. Такие сайты создаются и клонируются каждый день сотнями, и хостинг-провайдеры физически не успевают вовремя их отслеживать и закрывать.

Используя статистические данные, собранные нами в течение последнего года, мы выявили 13 самых популярных у фишеров доменов и хостингов и распределили их в порядке убывания количества мошеннических сайтов на каждом из них.

Чертова дюжина самых популярных скам-доменов

	Хостинг-провайдер	Домен
1	CO.CC	.co.cc
2	Национальная доменная зона (Токелау)	.tk
3	T35 hosting	t35.com ; t35.me
4	Altervista	altervista.org
5	free-domains.ce.ms	ce.ms
6	Hosting miarroba	webcindario.com
7	CU.CC	cu.cc
8	my3gb.com	my3gb.com
9	hut.ru	hut.ru ; hut1.ru ; hut2.ru
10	Blackapplehost	solidwebhost.com ; blackapplehost.com
11	Blogspot.com	blogspot.com
12	5gbfree.com	5gbfree.com
13	freehosting.com	freehosting.com

Остерегайтесь вводить свои конфиденциальные данные на веб-сайтах, зарегистрированных на таких доменах.

Не так давно мы писали о том, как злоумышленники используют зараженные компьютеры для создания виртуальной валюты BitCoin. На днях мы обнаружили вредоносную программу Trojan-Downloader.Win32.MQL5Miner.a, которая также использует мощности зараженных машин — на этот раз для того, чтобы заработать деньги в облачной сети распределенных вычислений MQL5 Cloud Network.

Сайт MQL5 Cloud Network

Крупнейший в Европе поставщик электроэнергии EDF оштрафован на 1,5 млн. евро, а два его управленца получили тюремные сроки за соучастие во взломе компьютерных ресурсов французского Гринпис и краже конфиденциальной информации.

Деятельность EDF (Еlectricité de France) давно раздражает французских активистов, протестующих против строительства ядерных объектов на территории страны. Компания, созданная при участии французского правительства, отвечает за эксплуатацию 58 отечественных и 8 британских АЭС и собирается расширить свое присутствие на мировом рынке за счет продвижения реакторов нового поколения. EDF также является ключевым спонсором грядущей лондонской олимпиады.

Согласно материалам дела, в 2006 году промышленники подрядили частное детективное агентство Kargus Consultants выявить планы «зеленых» в связи с закладкой новых атомных энергоблоков. В досье, составленном сыщиками, были обнаружены копии 1400 файлов, украденных с компьютера Янника Жадо (Yannick Jadot), когда тот возглавлял движение Гринпис во Франции. EDF поспешила отмежеваться от этой находки, заявив, что не санкционировала хакерство, поручив детективам лишь следить за действиями защитников окружающей среды.

По оценке поставщика маркетинг-услуг WebpageFX, энергозатраты на спам ежегодно добавляют в земную атмосферу 28,5 тонн углекислого газа.

По степени загрязнения окружающей среды подготовка к отправке, пересылка и обработка 1 спам-сообщения равноценны перемещению автомобиля на расстояние 3 фута (около 1 метра). Следовательно, так называемый углеродный след 95 трлн. писем, разосланных спамерами в прошлом году, эквивалентен совокупному выхлопу от 2 млн. автопробегов по экватору.

Больше половины расходуемых из-за спама энергоресурсов приходится на просмотр и ручное удаление нелегитимных сообщений (104 млрд. человеко-часов в год), 27% ― на поиск важных писем, по ошибке попавших в спам-карантин. 16% электроэнергии потребляют системы фильтрации, 2% уходит на передачу спам-писем средствами интернета. При современных объемах мусорных потоков изъятие спам-фильтров из этой цепочки привело бы к увеличению выброса парниковых газов на 270%.

Эксперты также поименовали географические источники спама, оказывающие наиболее пагубное воздействие на экологию. По данным WebpageFX, это США (21% спам-трафика), Китай (15%) и Индия (7%). Заметим, что попытки подсчитать углеродный эквивалент деятельности спамеров предпринимались и ранее. Достаточно вспомнить исследование, проведенное 2,5 года назад McAfee совместно с консалтинговой компанией ICF International Inc., которое показало примерно такие же результаты.

Прокуратура республики Марий Эл утвердила обвинительное заключение в отношении 35 участников криминальной группы, которая поставила на поток переписку с иностранцами от имени российских «невест» и за 3 года выманила у сетевых романтиков свыше 5,5 млн. рублей. Уголовное дело о коллективном мошенничестве направлено в городской суд Йошкар-Олы для рассмотрения по существу.

Как показало расследование, марийский интернет-сервис знакомств был поставлен на широкую ногу. Брачные аферисты арендовали под «офисы» несколько квартир в Йошкар-Оле и соседнем поселке Медведево, оборудовали каждую десятком компьютеров и поставили «к станку» наемников ― преимущественно студентов, которые работали посменно и в круглосуточном режиме. Последние и разыгрывали фарс перед иностранцами, увлекая тех перспективой серьезных отношений и сочиняя «романы в письмах».

В ходе переписки жертву неоднократно просили оказать материальную помощь, якобы на удовлетворение неотложных нужд и капризов «возлюбленной». Размер разовых денежных переводов составлял от 100 до 4 тыс. долл. Полученные «добровольные взносы» мошенники вкладывали в «развитие бизнеса»: оплату аренды, закупку электронного оборудования, содержание штата охранников. Оперативникам удалось выявить 125 жертв марийской брачной аферы, большинство которых ― граждане США, а также канадцы, немцы, британцы и австралийцы.

Расследованием деятельности йошкар-олинских скамеров занималось УФСБ по республике Марий Эл в тесном взаимодействии с Иммиграционной и таможенной полицией США (Immigration and Customs Enforcement, ICE). В ходе масштабной операции, проведенной несколько лет назад на территории республики, были задержаны более 60 участников мошеннической схемы, ликвидированы 14 компьютерных «офисов», изъяты свыше 100 ПК и 10 комплектов спутникового оборудования.

Подельникам вменили нарушение ч. 4 ст. 159 УК РФ (мошенничество, совершённое организованной группой). В июне прошлого года суд приговорил руководителя одного из захваченных «офисов» к 4 годам лишения свободы в колонии общего режима и штрафу в размере 10 тыс. руб.. Его 9 «подчиненных» отделались 5 годами условного срока и штрафом в 5 тыс. руб. Спустя 2 месяца были осуждены еще две команды, общим числом 15 человек. Все они, включая «топ-менеджеров», получили от 3 до 6 лет условно со штрафами от 4 до 10 тыс. руб.

В США выдвинуты обвинения против шестерых эстонцев и россиянина, практиковавших мошеннические методы получения прибыли средствами интернета. Обезврежен также крупный ботнет, с помощью которого подельники искусственно вздували трафик на сайтах рекламодателей и заработали на этой схеме не менее 14 млн. долл..

Согласно материалам следствия, Владимир Цацин, Тимур Герасименко, Дмитрий Егоров, Валерий Алексеев, Константин Полтев, Антон Иванов и Андрей Тааме учредили ряд фиктивных компаний, которые позиционировались как участники рекламной сети. Через них заключались договоры на размещение рекламных ссылок, ведущих на сайты рекламодателей. Для накрутки кликов по этим ссылкам, приносящих посредникам барыши, соучастники подняли ряд DNS-серверов и создали ботнет на основе троянца, скрытно изменяющего DNS-настройки на зараженном компьютере.

Вредоносные программы DNS Changer чаще всего распространялись в Сети под видом «кодека», якобы необходимого для просмотра видеоконтента (приманкой обычно служил порноролик). По оценке ФБР, злоумышленникам за несколько лет удалось заразить свыше 4 млн. ПК, размещенных на территории 100 стран. В США число жертв семейства DNS Changer превышает 0,5 млн., включая NASA, учебные заведения, коммерческие и общественные организации. Троянец ориентирован, в основном, на платформу Windows, однако отдельные его варианты совместимы с Mac OS. После изменения DNS-настроек все запросы с зараженной машины перенаправляются на один из DNS-серверов, контролируемых криминальной группой. В результате вместо искомого сайта жертва попадает на рекламную площадку, и каждый такой визит умножает доходы организаторов мошеннической схемы. Зловред также препятствует обновлению ОС и антивирусных баз на зараженной машине, создавая благоприятные условия для новых инфекций.

Как мы сообщали ранее, в последнее время мы вели исследование ряда инцидентов, связанных с заражением троянцем Duqu. Нам удалось значительно продвинуться в понимании истории Duqu и собрать еще несколько отсутствующих компонентов, без которых понимание происходящего было затруднено.

Прежде всего мы бы хотели выразить огромную благодарность специалистам CERT Sudan. Они оказали неоценимую помощь в нашем расследовании и продемонстрировали профессионализм, полностью отвечающий смыслам и целям любого CERT в мире. Наше сотрудничество с суданским CERT продолжается и будет охватывать еще три инцидента, обнаруженных в данной стране.

Наибольшего же успеха нам удалось добиться в расследовании инцидента под порядковым номером #1, описанным в прошлой публикации. Нам удалось не только обнаружить все недостающие файлы этого варианта Duqu, но также обнаружить источник заражения и сам файл-дроппер, содержащий эксплойт уязвимости в win32k.sys (CVE-2011-3402).

Сопоставляя обнаруженные нами данные с данными, полученными другими исследователями и антивирусными компаниями, мы выявили совпадающие общие черты, которые раскрывают приблизительную хронологию событий и общую схему, по которой действовали создатели Duqu.

В январе-июне текущего года Антифишинговая рабочая группа (Anti-Phishing Working Group, APWG) зафиксировала свыше 112 тыс. фишинговых атак ― на 70% больше, чем в предыдущем полугодии. Одной из причин увеличения этого глобального показателя является рост активности китайских фишеров, предпочитающих атаковать соотечественников.

По данным APWG, за полгода количество фишинговых атак (уникальных веб-сайтов) на территории Китая увеличилось на 44%. Около 90% этих эскапад были направлены против клиентуры Taobao.com ― местного аналога eBay и Amazon. На долю китайцев пришлось также 70% доменов, зарегистрированных фишерами в отчетный период. Из них 37% были привязаны к TLD-зоне .tk, 25% ― к .cc, 21% к .info, 12% к .com. Все фишинговые сайты, размещенные в зоне .сс, были оформлены через службы бесплатных поддоменов.

По свидетельству известного программиста и антиспамера Джона Левина (John R. Levine), серые списки не утратили своей эффективности и помогают блокировать на почтовом сервере от половины до двух третей потенциальных источников спама.

Серые списки IP-адресов используются почтовыми службами уже около 10 лет. Многие считают этот репутационный механизм важной частью защитного арсенала, позволяющей отсеять большинство посланий спамботов и прочих масс-мейлеров. При получении сообщения с неизвестного IP-адреса почтовый сервер отвергает его, предлагая отправителю повторить попытку позднее. Легальный почтовик, как правило, подчиняется этому требованию, и его сообщение на сей раз принимается. Автомат, напротив, сразу отключается и надолго исчезает с горизонта, оставляя свои координаты в «серой» базе.

Бурная эволюция интернет-угроз заставила некоторых сомневаться в целесообразности поддержки серых списков. Почтовые черви, например, давно обзавелись достаточно совершенными smtp-механизмами, которые могут легко свести на нет любые запросы на повторную отправку. Однако статистика, полученная Левиным за минувший год, наглядно свидетельствует о том, что серые списки рано сбрасывать со счетов.

Из 430 с лишним тысяч хостов, пытавшихся за год подключиться к его почтовому серверу, почти 300 тыс. отказались повторить попытку, свыше 60 тыс. подчинились и больше не выходили на связь, около 75 тыс. стали постоянными корреспондентами. Последняя неделя октября продемонстрировала несколько иные пропорции: отказ от услуг ― свыше 12 тыс., 1 повтор и безвозвратная потеря связи около 7,5 тыс., повтор и сохранение взаимоотношений около 5 тысяч. Левин полагает, что сокращение количества запросов от ботов напрямую связано с ликвидацией ряда ботнетов в минувшем году.

Голландский сертифицирующий орган KPN/Getronics объявил о приостановке выдачи цифровых сертификатов.

Причиной такого решения стал обнаруженный факт взлома веб-сервера KPN, связанного с инфраструктурой открытых ключей (PKI). Взлом произошел не менее четырех лет назад.

Компания KPN, наиболее известная своим бизнесом в сфере телекоммуникаций, купила компанию Getronics четыре года назад. До этого Getronics имела полномочия сертифицирующего органа, аналогичные полномочиям компании Diginotar.Как и Diginotar, KPN обладает разрешением выдавать «специальные» сертификаты для правительства Нидерландов и государственных служб. Многие организации, пострадавшие из-за инцидента с Diginotar, взамен получили сертификаты от KPN.

Пока неясно, можно ли исключить взлом одного или нескольких серверов какого-либо сертифицирующего органа – это станет известно чуть позже. Также требует ответа вопрос: как инструмент DDoS-атаки мог оставаться необнаруженным в течение четырех лет. С другой стороны, компании занялись повышением уровня внутренней безопасности, и я бы ожидал, что в будущем еще будут обнаружены факты подобных взломов, совершенных годы назад.

Касательно заявления KPN интересно то, что его можно проинтерпретировать в том ключе, что уже выданные сертификаты останутся действительными (в любом случае). KPN – значительно более крупный сертифицирующий орган, чем Diginotar. Возможно, пользователи считают, что KPN «слишком велик, чтобы рухнуть».

Учитывая, что память о крахе Diginotar еще свежа, люди естественным образом стремятся пойти путем наименьшего сопротивления. В конце концов, если бы что-то пошло не так, мы бы все это давно заметили, не так ли?

Факт остается фактом: в данный момент мы абсолютно доверяем сертифицирующим органам. В такой ситуации надо поступить правильно.

Мы продолжаем следить за развитием ситуации.

Инфраструктура открытых ключей (PKI) SSL, созданная 15 лет назад для защиты онлайн-коммуникаций, используется по сей день. Начиная с самых первых версий стандарта и в течение всего периода его реализации на его пути постоянно возникали сложности и проблемы. Сама инфраструктура и поддерживаемый ею протокол подают признаки старения: в последнее время мы сталкиваемся как с атаками на систему открытых ключей, так и с многократным внесением в нее поправок. Но теперь — через 15 лет после ее создания — у инфраструктуры центров сертификации появился конкурент в лице недавно выпущенного и широко обсуждаемого проекта Convergence с открытым исходным кодом. Этот проект претендует на то, чтобы заменить существующую систему центров сертификации. В таблице внизу приведен список наиболее важных событий, связанных с пятнадцатилетним развитием инфраструктуры открытых ключей, используемой протоколом SSL/TLS. Вы можете загрузить полноразмерный вариант картинки, кликнув по ней правой кнопкой мыши и выбрав соответствующий пункт в открывшемся контекстном меню.

Исследователи из Стэнфордского университета продемонстрировали уязвимость текстовых CAPTCHA к автоматизированным атакам, взломав 13 из 15 защитных решений, используемых на популярных веб-сайтах.

Полтора года американцы изучали современные средства противодействия алгоритмам сегментации и распознавания символов на живых примерах, взятых из Сети. По результатам исследования была создана полностью автоматизированная система для расшифровки тестов CAPTCHA, способная производить очистку от «шума», разбивать строки символов на отдельные фрагменты, нормализовать их размеры, опознавать знаки и осуществлять проверку правописания, если контрольное изображение представлено словом или фразой. Экспериментальный инструмент получил наименование Decaptcha и был применен для получения несанкционированного доступа к 15 разным по тематике сайтам, включая специализированные сервисы Captcha.net и Recaptcha.net.

В итоге на Baidu и Skyrock коэффициент результативности составил 1-10%, на CNN и Digg ― 10-24%; на eBay, Reddit, Slashdot и Wikipedia 25-49%; на Authorize.net, Blizzard, Captcha.net, Megaupload и NIH.gov 50% и выше. Бастионы Google и Recaptcha остались непокоренными. Следует отметить, что после проведения испытаний платежный сервис Visa Authorize и Digg поменяли свою защиту от ботов на reCAPTCHA.

Исходя из результатов исследования, академики составили список рекомендаций по усилению текстовых CAPTCHA. По их мнению, рандомизация длины цепочки символов и размера каждого знака не приведет в замешательство человека, но значительно усложнит работу автомата. Эффективными признаны также такие трюки, как волнообразная форма строки, слитное написание знаков и наложение шумовых штрихов произвольной длины. Использование большого набора контрольных тестов, верхнего регистра и похожих символов, против ожидания, оказалось малоэффективным и лишь увеличивает процент ошибок при авторизации легальных пользователей.

Работа университетских исследователей из Стэнфорда была представлена на чикагской конференции ACM по компьютерной и сетевой безопасности (CCS 2011). Ее авторы планируют продолжать совершенствование Decaptcha и техник противодействия автоматизированному взлому контрольных тестов.

Согласно результатам опроса, проведенного Bitdefender, мужчины больше рискуют своими личными данными в социальных сетях, чем представительницы слабого пола.

В опросе, нацеленном на выявление поведенческих рисков в социальных сетях, приняли участие около 1,65 тыс. британцев и американцев. Как оказалось, 64,2% женщин взяли за правило не принимать предложения дружбы от незнакомцев. У мужчин этот показатель заметно меньше (55,4%). 24,5% представителей сильного пола разрешают включать свои профили в поисковую выдачу, тогда как дамы решаются на этот шаг лишь в 16% случаев. 25,6% мужчин и 21,8% женщин регулярно извещают участников социального сообщества о своих перемещениях, не заботясь о том, что могут попасть в неловкое положение или спровоцировать непрошеный визит в опустевший дом. Нельзя также забывать о том, что многие штатные приложения на социальных веб-сервисах, в особенности заточенные под мобильные платформы, по умолчанию публикуют информацию в открытом доступе.

В целом исследование показало, что американцы несколько более легкомысленно относятся к безопасности персональных данных, чем жители Соединенного Королевства. Небрежность участников социальных сетей отметили и канадские академики, которым недавно удалось собрать на Facebook 250 ГБ информации личного характера. С университетскими ботами, внедренными в социальное сообщество ради эксперимента, с ходу «подружились» 19% участников случайной выборки, а затем ― 59% их знакомых.

За вторую декаду октября MSRT (Malicious Software Removal Tool, средство удаления вредоносных программ от Microsoft) очистил от SpyEye больше полумиллиона пользовательских ПК.

Сигнатуры Win32/EyeStye, как его называют эксперты Microsoft, были добавлены в базу MSRT в минувшем месяце. На настоящий момент зловреды этого семейства обнаружены и удалены на 605,825 тыс. компьютерах, работающих под ОС Windows. В итоге SpyEye возглавил десятку лидеров по числу детектов, составленную на основе данных MSRT за период 11-21 октября. По этому показателю он в 3 раза превзошел Sality, и в 8 раз ― ZeuS.

Большинство ПК, зараженных SpyEye, прописаны в Западной Европе. Больше половины срабатываний MSRT зафиксированы в Германии, около 12% ― в Голландии. На долю США пришлось порядка 7,5% обезвреженной популяции данного зловреда. По словам экспертов, SpyEye нередко проникает на компьютеры пользователей через спам или вредоносные ссылки на открытых форумах, препровожденные той или иной социально-инженерной уловкой.

В апреле в поддоменах .co.cc и .cz.cc появилось большое количество веб-сайтов, распространяющих вредоносное ПО. Вслед за необычно большим количеством DNS-регистраций в доменах .co.cc и .cz.cc наблюдался всплеск распространения фальшивых антивирусов для Apple. Позже регистрация DNS-имен, как и прогнозировалось, привела к всплеску в распространении фальшивых антивирусов для Mac.

Однако, распространение фальшивых антивирусов с начала года неуклонно падало. В последние шесть месяцев произошло несколько связанных с этим событий. Blackhole-операторы мигрировали в поддомены .info, а за ними последовали операторы других вредоносных сайтов. Становится ли домен .info «клоном».cc?

Итак, как же выглядел этот переход? Давайте посмотрим на то, что происходило в начале года. Регистраторы доменов .co.cc и .cz.cc предлагают бесплатную регистрацию в системе DNS и дешевый, а то и бесплатный хостинг. Распространители вредоносного ПО воспользовались предлагаемыми бесплатными ресурсами и использовали эти URL-адреса для хостинга пакета эксплойтов Blackhole, используемого для автоматизации загрузки фальшивых антивирусов и других зловредов. Эксплойты Java стали самыми эффективными и наиболее популярными в пакете Blackhole; вслед за ними идут эксплойты, направленные на уязвимости в Adobe Reader и в протоколе Microsoft HCP. Для привлечения трафика к этим пакетам использовались различные методы: искажение результатов поиска в Google Image, заражение легитимных сайтов, перенаправление браузеров на сайты, содержащие эксплойты, при помощи внедренных iframe и img src, и, наконец, успешная реклама вредоносных ресурсов на страницах крупных почтовых сервисов.

Почтовая служба Mail.Ru запустила новый веб-сервис, предназначенный для повышения качества и эффективности коммерческих рассылок.

Постмастер@Mail.Ru позиционируется как инструмент, позволяющий крупным отправителям писем отслеживать реакцию аудитории и вносить соответствующие коррективы в рекламные кампании. Не секрет, что многие получатели коммерческих бюллетеней отправляют их в корзину или спам-карантин только потому, что им просто не интересна присланная информация или они забыли вовремя оформить отказ от рассылки.

В настоящее время «Постмастер» предоставляет клиентам статистику по общему объему исходящих рассылок, эффективности доставки, числу жалоб, удаленных или помеченных как спам посланий, а также по отбивкам из-за некорректно указанного адреса. Все эти показатели доступны в динамике за суточный, недельный и ежемесячный периоды. В дальнейшем планируется вести раздельную статистику по тематическим категориям писем, внедрить систему автоматического уведомления о жалобах, детализировать ответную реакцию (прочтенные письма, удаленные без прочтения, удаленные после прочтения, занесенные в спам-карантин по личным настройкам и т.п.).

В помощь клиентам на сайте «Постмастер» выложено много полезной информации, в частности, свод правил в обеспечение успешной доставки, а также анализ типовых ошибок. Среди подписчиков нового сервиса числятся «Яндекс», сервис скидок GroupOn, шопинг-клуб KupiVIP и многоязычная социальная сеть Badoo.com.

18-летний житель Ярославля, укравший 1,8 млн. руб. из платежной системы подмосковного «Эльдорадо», приговорен к 3,5 годам условно.

Согласно материалам следствия, заезжий гастролер еще в марте установил на компьютеры магазина вредоносную программу. С ее помощью он за несколько дней получил логины и пароли сотрудников торговой точки, включая идентификаторы для доступа к системе электронных платежей. Воспользовавшись украденной информацией, молодой человек вывел выручку «Эльдорадо» на сторонние счета, а затем обналичил.

Очевидно, юного взломщика подвел непрофессионализм: оперативники установили его личность и координаты в течение нескольких дней. Задержание было произведено по месту жительства подозреваемого. Ему вменили нарушение 3-х статей УК: создание, использование и распространение вредоносных программ для ЭВМ (ст. 273); неправомерный доступ к компьютерной информации (ст.272); кража (ст.158).

В ходе следствия хакер полностью признал свою вину и возместил пострадавшей стороне ущерб, причиненный его действиями. Условно осужденному назначен испытательный срок ― 4 года. Ему также предстоит уплатить штраф в размере 12 тыс. руб.

На выходных нам поступила жалоба от пользователя о том, что наша компания распространяет спам. Разумеется, это заявление нас несколько удивило, поскольку ничем таким мы не занимаемся, а как раз наоборот – боремся со спамом. Естественно, мы захотели разобраться в ситуации – почему же у пользователя сложилось ощущение, что Лаборатория Касперского «спамит» его.

Письмо, на которое жаловался пользователь оказалось чистой воды мошенничеством – за красивыми картинками, напоминающими наши официальные рекламные изображения таилась ссылка никак не связанная с нашим продуктом. Злоумышленники неплохо поработали, сделав не только само письмо визуально похожим на официальное сообщение от нашей компании, но и подделав поле “From” таким образом, что оно выглядело как настоящее.

Мы продолжаем изучать целевую атаку Duqu, и вот новая информация, которая позволяет предположить, что этот зловред был создан специально, чтобы шпионить за иранской ядерной программой.

История вопроса и несколько фактов:

В апреле этого года Иран заявил, что стал жертвой кибератаки, содержащей вирус Stars. В этой статье изложены некоторые дополнительные детали атаки.

Сегодня мы можем подтвердить, что некоторые цели Duqu были поражены 21 апреля с использованием того же самого метода, включая использование уязвимости CVE-2011-3402, эксплойта базового уровня для win32k.sys, внедренного через True Type Font (TTF) файл.

По данным IrCERT (Iran's Computer Emergency Response Team) Duqu — это усовершенствованная модификация Stars.

Не так давно компания Google объявила о скором появлении версии Ice Cream Sandwich, Android 4.0. Казалось бы, Android далеко продвинулся за такое короткое время. Я хотел бы остановиться на усовершенствованиях в области безопасности и дополнительных возможностях этой версии Android.

Android от Google появился в ноябре 2007 года, и его популярность неуклонно росла. В то же время исследователи занялись поиском уязвимостей в нем. Было найдено некоторое количество уязвимостей, от таких, которые дают возможность получить права суперпользователя, например Rage Against the Cage, до ошибок типа cross-application scripting, таких как CVE-2011-2357.

С выпуском Ice Cream Sandwich можно ожидать прогресса в безопасности Android. Google обещает следующее:

Нигерийские спамеры крайне быстро реагируют на события в горячих точках. Стоило вести о смерти ливийского лидера Муаммара Каддафи облететь мир, как в почтовые ящики пользователей посыпались письма «от родственников покойного».

Скорбящие родственники Каддафи были бы сильно удивлены, если бы узнали, как много писем от их имени получают пользователи интернета по всему миру.

Выглядит это так, как будто сыновья, дочь, жена, братья и даже друзья семьи Каддафи вместо того, чтобы участвовать в поминальных обрядах засели за свои ПК и строчат и строчат письма простым гражданам этого мира, чтоб те помогли им вывести заграницу несметные миллионы, доставшиеся им по наследству.

Если верить нигерийцам, то только в «запасах» семьи ливийского лидера можно насчитать сотни миллионов долларов. Лично я только в письмах попавших мне в руки насчитала не менее трехста.

Более всех усердствует «жена Каддафи», именно от ее имени нигерийские спамеры рассылают наибольшее количество вариантов сообщений. По их мнению страшные истории, рассказанные ими, о том, как тяжело ей жилось в семье своего мужа могут объяснить такое рьяное желание женщины поделиться деньгами с ближним своим. Или с дальним. Смотря к кому придет электронное послание.

К общему неистовому желанию передать миллионы долларов заграницу присоединяются и «оппозиционно настроенные войска», и «юристы», и «банковские служащие, имеющие доступ к счетам покойного».

Нигерийский спам, разумеется, это мошенничество чистой воды. Никакие жены Каддафи, или даже юристы, никогда не станут писать электронные послания неизвестно кому ради того, чтобы передать миллионы долларов заграницу, выплатив при этом комиссию неизвестному посреднику. Из пользователя, попавшегося на этот обман будут тянуть деньги якобы на различные «издержки» до тех пор, пока «тянуть» станет просто нечего. Стоит все-таки критично относится к информации, полученной в интернете от непроверенного источника, называющего себя (ВНЕЗАПНО!) сыном полковника Каддафи.

Под катом можно посмотреть скриншот нескольких писем от семьи покойного ливийского лидера.

Четверть участников опроса, проведенного компанией «Код Безопасности» среди российских организаций, убеждены, что наибольшую опасность для бизнеса представляет несанкционированный доступ собственных сотрудников к конфиденциальной информации.

В опросе, нацеленном на выявление актуальных угроз информационной безопасности, приняли участие более 100 представителей российских компаний. Помимо инсайдеров, респонденты опасаются потери/кражи важной информации (23%), зловредов (19%) и кибератак (14%). Риски, связанные с распространением шпионских программ и спама, указали лишь 9% опрошенных.

Не менее интересной оказалась оценка соответствия российских организаций требованиям Федерального закона «О персональных данных». Больше половины участников опроса заявили, что их работодатели уже приняли надлежащие меры по защите внутренней информации. Компании, запустившие соответствующий проект, но не завершившие его реализацию, составили 37% опрошенных. 5% запланировали такие мероприятия на следующий год, 6% пока не думали над этим вопросом.

Прежде всего я должен сообщить об ошибке, допущенной в прошлом тексте.

При анализе 4-го инцидента в Иране мы констатировали факт двух сетевых атак на машину жертвы с IP-адреса 63.87.255.149. Это могло бы стать отличной версией происхождения Duqu, но оказалось потрясающей ошибкой.

Судите сами – Duqu в своей работе проверяет наличие подключения к интернету и пытается обратиться к серверу kasperskychk.dyndns.org, который должен находиться по адресу 68.132.129.18. Анализ информации по этому адресу показывает, что он находится в том же самом дата-центре, что и «обнаруженный» нами 63.87.255.149!

Но увы, на самом деле я ошибся при конвертации адреса. Ошибка была вызвана одним единственным аргументом – сравните “1062731669” и “-1062731669”. В первом случае это дает нам 63.87.255.149, а во втором – локальный адрес 192.168.0.107 – в котором, конечно, нет ничего интересного для нашего исследования :(

Дроппер и 0-day

Теперь перейдем к гораздо более интересным новостям. Как стало известно, продолжающееся расследование, проводимое венгерской лабораторией Crysys, привело к обнаружению главного недостающего звена – дроппера, который и проводил первоначальное заражение систем.

Как нами и ожидалось – здесь не обошлось без использования уязвимости. Был обнаружен MS Word doc-файл, который был направлен хакерами одной из жертв. Файл содержит в себе эксплоит ранее неизвестной уязвимости Windows, в результате использования которой из файла извлекались и запускались компоненты Duqu.

В настоящий момент Symantec и Microsoft все еще не предоставили другим антивирусным компаниям ни сам файл дроппер, ни информации о том, в каком компоненте Windows содержится уязвимость, приводящая к повышению привилегий, однако по косвенным признакам, мы можем предположить уязвимость в win32k.sys.

Похожая уязвимость, MS10-073, была обнаружена нами год назад, в ходе анализа червя Stuxnet. Еще одна аналогичная проблема в win32k.sys (MS11-077) была исправлена 11 октября этого года.

Компания Microsoft сообщила, что работает над исправлением новой уязвимости, однако похоже, что патч не будет доступен в ноябрьском обновлении.

Важно отметить, что обнаружение дроппера и пути его проникновения в систему (целевая атака на выбранную жертву, по электронной почте) доказывает правильность нашего предположения о том, что атаки Duqu нацелены на крайне малое число жертв и в каждом случае могут использоваться уникальные наборы файлов.

Для заражения других компьютеров в сети, Duqu использует создание на удаленной машине задач в Планировщике Windows (Scheduler). Точно такую же технику мы уже видели в Stuxnet и это один из любимых трюков атакующих при проведении целевых атак. Все это, вместе с другими уже известными деталями, усиливает теорию о том, что Stuxnet и Duqu были созданы одними и теми же людьми

Дополнительная информация показывает, что атакующие активно взаимодействовали с пораженными системами, тщательно собирая информацию с каждого компьютера и проникая все глубже и глубже в локальную сеть пострадавших. Также мы не исключаем того, что помимо уникального набора файлов Duqu для каждой жертвы – используются и уникальные сервера управления (C2), отдельный для каждого атакованного объекта.

Наше исследование зафиксированных нами инцидентов с Duqu в Судане и Иране продолжается. На данный момент мы насчитываем 3 пострадавших в Судане и 4 в Иране. С некоторыми из них мы уже ведем работу по обнаружению всех компонент Duqu и установлению путей первоначального заражения.

Мы ожидаем этих результатов в самое ближайшее время и опубликуем их в очередных выпусках Mystery of Duqu.

Мосгорсуд отклонил ходатайство об освобождении Павла Врублевского под залог в размере 30 млн. руб. Решение Лефортовского суда о продлении срока задержания подозреваемого до 23 декабря осталось в силе.

Владелец процессингового центра ChronoPay был арестован в июне как один из организаторов прошлогодней DDoS-атаки на сервис обработки платежей ASSIST. Как выяснилось, Врублевский затеял эту варварскую акцию против конкурента с целью переманить одного из его солидных клиентов ― Аэрофлот. В соответствии с российским законодательством заказчику DDoS-атаки предъявлены обвинения в неправомерном доступе к компьютерной информации и использовании вредоносных программ (ст. 272 и 273 УК РФ). Правонарушителю грозит лишение свободы на срок от 3 до 7 лет.

В настоящее время следствие практически завершено. Подавая прошение об освобождении Врублевского, его адвокат указала, что подзащитный полностью признал свою вину и активно помогает следствию. Тем не менее, бизнесмена решено пока оставить в СИЗО. Двое других подельников отпущены под подписку о невыезде.

Оба лидера интернациональной группировки, занимавшейся отмыванием денег, украденных с помощью ZeuS, осуждены британскими властями на 4 года и 8 месяцев.

Согласно материалам следствия, украинцы Евгений Кулибаба и Юрий Коноваленко создали на территории Великобритании агентурную сеть по выводу краденых капиталов за рубеж. Кулибаба, базируясь на Украине, вел учет жертв заражения и определял, с чьих счетов и в каком размере выкачивать деньги, а также распоряжался отчислениями на счета злоумышленников. Коноваленко выполнял функции зарубежного резидента Кулибабы и руководил действиями «дропов», общим числом 11, на территории Соединенного Королевства. Итоговая сумма ущерба от деятельности преступной группы пока не определена, однако известно, что с сентября 2009 по март 2010 гг. подельникам удалось похитить с британских счетов около 3 млн. фунтов стерлингов (4,6 млн. долл.).

Главари «денежных мулов» сознались в преступном сговоре с целью совершения мошеннических действий. Рядовые участники криминальной группировки тоже получили тюремные сроки, максимальный из которых превышает 3 года.

Окружной суд Теннеси приговорил 22-летнего правонарушителя к 3-м годам лишения свободы условно за взломы аккаунтов MySpace и использование их для рассылки заказного спама.

Джош Холи (Josh Holly) больше известен как хакер, укравший пикантные фото из электронной почты старлетки Майли Сайрус (Miley Cyrus). После серии неудачных попыток нажиться на этих находках он опубликовал их в интернете. Как оказалось, Сайрус использовала один и тот же пароль на Gmail и MySpace, когда Холи незаконно хозяйничал в социальной сети, подбирая достойных кандидатов для отправки спам-рекламы. По словам хакера, он получил доступ к административной панели MySpace еще в 2005 году, направив фишинговое письмо одному из сотрудников социального сервиса. Поскольку пароли участников сети хранились в открытом виде, Холи с успехом их выкрал, составил список из 20 профилей с громкими именами и использовал их для рассылки спама на все доступные контакты.

Заказы на проведение рекламных акций хакер получал от легальных компаний, которые платили ему от 5 до 12 долл. за каждый отклик на коммерческое сообщение. Заказчики и не подозревали, каким способом распространялась их реклама, а когда обнаруживали, что связались со спамером, разрывали договорные отношения и отказывались платить. И все же игра стоила свеч: менее чем за год Холи удалось заработать на спам-рекламе свыше 100 тыс. долларов, половину из которых он отдал своему израильскому подручному.

Юного хакера так и не обвинили во взломе почтового ящика Майли Сайрус, однако его бахвальство в Сети по этому и другим поводам не ускользнуло от внимания властей. В октябре 2008 года в квартире Холи был произведен обыск, в ходе которого полицейские обнаружили свидетельства спамерской деятельности и около 200 номеров чужих кредитных карт. В минувшем апреле хакер признал свою вину по всем вмененным ему пунктам правонарушений. Он также проявил готовность к сотрудничеству с властями, сдав многих «коллег по цеху». Смиренное поведение Холи смягчило решение судей, и срок ему назначили условно.

Наши новые антивирусные обои:

1280x800 | 1680x1050 | 1920x1200 | 2560x1600

В сентябре MSRT (Malicious Software Removal Tool, средство удаления вредоносных программ от Микрософт) обнаружил и удалил ZeuS на 185 тыс. Windows-компьютерах. Этот результат в 2-3 раза превышает показатели за предыдущие месяцы.

В октябре количество аналогичных заражений составило около 89 тыс., однако сбор статистики еще не завершен. По прогнозам экспертов, окончательный результат за минувший месяц может превысить 100 тысяч.

Рост числа детектов ZeuS на машинах пользователей Microsoft объясняет повышением эффективности обнаружения этой угрозы. В комплект сентябрьского обновления для MSRT были включены некие технические усовершенствования, основанные на годовом опыте детектирования ZeuS. По всей видимости, актуализация защитного инструмента компании оказалась успешной.

Эксперты также обнаружили еще одну возможную причину роста популяции ZeuS. По их словам, некоторые его варианты начали использовать для самораспространения встроенную функцию автозапуска под Windows. Этот канал давно освоен другими семьями зловредов, но «громовержец» обратился к нему впервые. В феврале текущего года Microsoft выпустила соответствующий патч для Windows XP и Vista, закрывающий autorun-лазейку, однако, как показывает статистика, далеко не все владельцы ПК им воспользовались.

Эксперты Symantec обнаружили на сайте Facebook мошенническую схему, помогающую злоумышленникам раздобыть анти-CSRF токены для публикации вредоносных ссылок в социальной сети.

Подделка межсайтовых запросов (Cross-site Request Forgery, CSRF) ― тип кибератаки, при которой атакующий повторно использует разрешение на связь, выданное законному пользователю, для совершения противоправных действий без ведома и согласия инициатора сеанса. Чтобы предотвратить такое вторжение, многие веб-сервисы, включая Facebook, применяют генераторы посеансовых токенов, которые при авторизации вводятся в веб-форму как скрытый входной параметр.

Когда разговор заходит о заражении легитимных веб-сайтов, обычно вспоминаются различные массовые инфекции. Речь в таких случаях идет о заражении большого количества сайтов, объединенных по какому-то признаку. Как правило, либо взламывается крупный хостинг-провайдер, и злоумышленник получает доступ к размещенным на нем ресурсам, либо обнаруживается уязвимость в популярной системе управления содержимым веб-сайтами. Существуют и более изощренные схемы — достаточно вспомнить очень распространенных в свое время троянцев Gumblar и Pegel.

Однако некоторые злоумышленники работают по другой схеме. Недавно мы обнаружили нетривиальную серию заражений веб-ресурсов: злоумышленники не гонятся за количеством и целенаправленно заражают сайты известных российских организаций, СМИ и различных государственных служб.

Ниже приведен неполный список ресурсов, которые были подвержены заражению:

Сегодня cмартфоны стали стандартом связи. Обычные трубки, без поддержки JAVA, можно увидеть разве что в ларьках в переходах метро.

Революция в развитии смартфона уже давно произошла, и сейчас мы пожинаем ее плоды. Но так ли все хорошо, как думает большинство пользователей?

Насколько безопасно пользоваться огромным количеством платных и бесплатных приложений, предлагаемых на разных маркетах и форумах? Насколько безопасно качать Opera Mini с сайта, который к Opera никакого отношения не имеет? Ответ известен: небезопасно. Как минимум, это грозит потерей пары-тройки долларов, которые снимет Trojan-SMS, отсылая сообщения на премиум номера.

Какой смартфон, какая мобильная платформа безопаснее? Однозначного ответа на эти вопросы нет. На разного рода конкурсах любые смартфоны "ломают" на скорость и время — чем быстрее, тем лучше. А случаи заражения зафиксированы практически для всех мобильных платформ, которые пользуются спросом у пользователей.

Если исходить из количества антивирусных записей в базе данных ЛК, то в течение последних двух лет и вплоть до недавнего времени на рынке вредоносного ПО для мобильных платформ доминировали разного рода троянцы и потенциально опасное ПО для платформы J2ME. Это объясняется тем, что почти в любом мобильном телефоне есть поддержка J2ME. Иногда с некоторыми ухищрениями эти приложения можно запустить и на смартфонах.

За три квартала 2011 года число новых сигнатур, детектирующих J2ME вредоносное ПО, составило 841, в то время как за весь 2010 год было добавлено 386 сигнатур. Таким образом, количество новых сигнатур увеличилось более чем в 2 раза.