В ходе расследования деятельности группы Winnti нам удалось обнаружить достаточно много самплов Winnti, нацеленных на различные игровые компании. Используя эту сложную вредоносную программу, злоумышленники получали удаленный доступ к зараженным машинам, после чего действовали уже вручную.

Нам, конечно же, было важно узнать, каким образом вредоносная библиотека распространялась по локальной сети. Для этого мы последили за тем, что делают злоумышленники на зараженном компьютере.

Первая попытка: виртуальная машина 1

На раннем этапе исследования мы запускали вредоносные программы на виртуальной машине, и они нормально работали. Мы даже зафиксировали кое-какую активность со стороны злоумышленников. Но они быстро поняли, что это не тот компьютер, который они хотели бы поймать в свои сети, поэтому серверы злоумышленников перестали отвечать на запросы ботов с виртуальной машины.

Вот, что нам удалось узнать на этом этапе мониторинга.

Сначала, злоумышленники посмотрели, что происходит на рабочем столе жертвы. Потом, используя командную строку, атакующие вышли в корневой каталог текущего диска, просмотрели содержимое, поискали файл winmm.dll, уточнили версию операционной системы. После этого включился в работу плагин ListFileManager.dll, с помощью которого удобно просматривать содержимое каталогов, и анализу подверглись папки C:\Windows и C:\Work. Далее злоумышленники хотели перезагрузить компьютер (он должен был бы перезагрузиться через 1 секунду), но ошиблись в параметрах команды shutdown, введя 'shutdown /t /r 1'. Через некоторое время они уже в правильном формате вообще выключили компьютер командой 'shutdown /s /t 1'.

Сотрудники 4 управления МВД РФ пресекли деятельность ОПГ, занимавшейся сбытом пиратских копий мобильного приложения с довеском, способным скрытно отправлять SMS на короткие номера.

Как показало расследование, сообщники создали 10 веб-сайтов и, выдавая их за официальные ресурсы компании-разработчика, предлагали для скачивания якобы лицензионную программу «Навител Навигатор». На самом деле это была модифицированная версия, которая могла работать без лицензии и сертификата правообладателя. Для получения кода активации пользователь должен был отправить на короткий номер текстовое сообщение стоимостью 300 руб.

По свидетельству экспертов Group-IB, которые приняли участие в расследовании, сей контрафактный продукт работал некорректно. Более того, после взлома злоумышленники снабдили его дополнительным функционалом, позволявшим отправлять SMS на короткие номера без ведома пользователя.

За год пиратский софт был скачан более 38 тыс. раз. Компания Навител потеряла при этом свыше 90 млн. руб. и планирует взыскать эту сумму через суд. Размер ущерба, причиненного пользователям, пока не определен. Против участников преступной группировки возбуждено уголовное дело по ч. 3 ст. 146 УК РФ (нарушение авторских и смежных прав, совершенное в особо крупном размере).

Трое подельников, постоянно проживающих в Саратове, отпущены под подписку о невыезде. Один из фигурантов уже имеет судимость за аналогичное преступление. В ходе обыска у задержанных была изъята компьютерная техника, которая передана Group-IB для проведения экспертизы. По ее итогам будет решаться вопрос о возбуждении уголовного дела по ч.1 ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ). Интернет-провайдерам направлены представления о блокировании ресурсов, созданных пиратами.

Новая разновидность троянских вымогателей терроризирует пользователей требованием заплатить 400 долларов штрафа за нелегально скачанные файлы.

Зловред, получивший в F-Secure наименование Rogue:W32/DotTorrent.A (ЛК детектирует его как Trojan-Ransom.Win32.CardPay.a), выводит на экран сообщение об обнаружении контента, якобы скачанного с нарушением авторских прав. Здесь же приводятся некий перечень файлов и ссылки на «свидетельства пиратской деятельности», а также адрес сайта «правозащитников». Пользователя ставят перед выбором: урегулировать «конфликт» во внесудебном порядке или предстать перед судом.

Владелец зараженной машины, не ведая за собой греха, может проигнорировать это уведомление. Но тогда при каждом перезапуске его будет преследовать напоминание о суровых последствиях отказа от сотрудничества — с рекомендацией согласиться на полюбовную сделку.

Первые пиратские копии с носителей формата HD DVD (High Definition DVD — цифровые видеодиски высокой четкости) появились в пиринговых сетях, сообщает блог о новых технологиях hdtvblogger.com. Автор поста разместил скриншот с серверов файлообменной сети BitTorrent с описанием копии фильма «Миссия "Серенити"» (Serenity) в формате HD DVD.

Первый скриншот появился в блоге 12 января. В информации о файле с фильмом сообщается, что его размер составляет 19,6 Гб. Позднее в блоге появились скриншоты из BitTorrent с информацией о HD DVD-копиях еще нескольких фильмов.

BitTorrent — файлообменная сеть с открытым кодом, которая позволяет пользователям обмениваться большими файлами, передавая их по частям. В конце декабря прошлого года хакер с ником Muslix64 представил утилиту для обхождения защиты HD DVD от копирования. Правда, для работы утилиты пользователям все равно требовался код title key, который необходим для дешифровки данных на дисках.

3 января этого года пользователи форума Doom9.org, участником которого является и Muslix64, нашли метод декодирования title key. В течение 24 часов на форуме появилось свыше 50 доступных кодов.

Первые официальные поставки HD DVD-плейеров разработчик формата — компания Toshiba — начала в апреле 2006 года. Формат находится в жесткой конкуренции с форматом Blu-ray, разработанным компанией Sony.

Бюро расследований Швеции (Informations Byran) намеревается провести расследование по факту недавнего выхода из строя правительственного сайта, сообщает Reuters. Заявление бюро расследований звучит на фоне сообщений о том, что к отказу сайта могут быть причастны хакеры, мстившие таким образом за борьбу с онлайн-пиратством.

Сайт шведского правительства перестал работать в воскресенье утром. Интернет-ресурс полиции Швеции аналогичным образом вышел из строя тремя днями раньше. Проблема с сайтом полиции возникла через день после того, как был закрыт ресурс Pirate Bay. Представители издательской индустрии называли его крупнейшим источником пиратских копий музыки и фильмов.

«Правительство обратилось к нам с официальным заявлением о том, что что-то случилось с их сайтом. Теперь нам предстоит выяснить, было это преступление или что-то еще», — заявил пресс-секретарь Informations Byran Андерс Торнберг (Anders Thornberg).

По данным шведским СМИ, сайты правительства и полиции были атакованы хакерами после закрытия Pirate Bay. Сейчас работа ресурсов восстановлена, равно как восстановлена работа и Pirate Bay.

Ранее шведское управление по чрезвычайным ситуациям (SEMA) предупреждало представителей 31 ведомства и органов местной власти о необходимости обеспечить защиту своих интернет-ресурсов от атак. Газета Aftonbladet в одном из материалов процитировала заявление хакеров из группы World Wide Hackers, в котором они взяли на себя ответственность за атаку на сайт правительства.

В прошлом году шведские власти под напором критики из Голливуда запретили скачивать из сети музыку и фильмы, защищенные авторскими правами. Закрытие Pirate Bay было одной из последних акций против онлайн-пиратов.

Французские парламентарии одобрили проект закона о программном обеспечении для распространения музыкальных файлов, сообщает Associated Press. Согласно этому закону компания Apple должна отказаться от эксклюзивности формата файлов, продаваемых через онлайн-магазин iTunes. Требования предоставить друг другу сведения о своих технологиях защиты от незаконного копирования обращены также к Sony и Microsoft.

Депутаты Национальной ассамблеи Франции полагают, что таким образом пользователи получат продукты, пригодные к использованию на все трех платформах. Вместе с тем законопроект содержит положения об усилении ответственности за пиратское распространение музыкальных файлов. Рассмотрение законопроекта в Сенате намечено на май.

«Французская адаптация директивы ЕС о защите авторских прав в результате ведет к спонсируемому государством пиратству. Если это случится, легальные продажи продуктов сразу упадут. Продажи плееров iPod, вероятно, возрастут, поскольку пользователи смогут свободно загружать в них «совместимые» музыкальные файлы без адекватной защиты от копирования. Затем появятся и бесплатные фильмы для iPod», — прокомментировали инициативу французских законодателей представители Apple.

Джин Мюнстер (Gene Munster), старший аналитик компании Piper Jaffray полагает, что Apple скорее уйдет с французского рынка, чем откроет защиту своих файлов: «Несмотря на то, что это кажется радикальным решением, мы уверены, что это не повредит бизнесу Apple. По нашим оценкам, за пределами США продается около 20 процентов iPod. На долю Франции при этом приходится всего около 2 процентов продаж».

Представители Apple никак не комментируют заявления о своем возможном уходе с французского рынка.