Эксперты Fortinet обнаружили нового IM-червя, распространяемого через Skype и MSN Messenger.

После заражения компьютера данный зловред, нареченный W32/Rodpicom.A, проверяет наличие названных IM-приложений и терпеливо ждет их запуска, чтобы отослать по всем контактам жертвы спам-сообщение типа «lol is this your new profile pic?» («ха, это твой новый аватар?»), снабженное вредоносной ссылкой. Rodpicom также определяет языковую версию Windows по коду страны и применяет соответствующий шаблон, чтобы адресаты не заподозрили подмену отправителя.

Министерство юстиции США и ФБР объявили об успешном проведении полицейских рейдов в Боснии и Герцеговине, Македонии, Новой Зеландии, Перу, Великобритании и США. Международная операция по выявлению ОПГ, распространяющих многочисленные варианты IM-червя Yahos и владеющих многомиллионным ботнетом, проводилась при активной поддержке местных силовиков и закончилась 10 арестами.

Детали, представленные в пресс-релизе ФБР, скудны и туманны. Известно лишь, что речь идет об 11 млн. заражений и $850-миллионном ущербе. Федеральные агенты также отмечают, что большую помощь в выявлении распространителей Yahos им оказала служба безопасности Facebook. Дело в том, что пару лет назад этот червь, наделенный функционалом IRC бота, обрел дополнительные возможности, открывшие ему врата в социальную сеть. Экспертам Facebook удалось идентифицировать аккаунты, с которых осуществляется распространение зловредных ссылок, определить масштабы распространения, ― к слову сказать, весьма скромные ― и первоисточники.

Число онлайн-угроз, связанных с использованием пиринговых сетей (P2P) и систем мгновенного обмена сообщениями (IM), в первом квартале 2006 года существенно выросло по сравнению с аналогичным периодом прошлого года. К такому заключению пришли авторы специального исследования из американской компании FaceTime Communications.

Данные исследования FaceTime Communications получены из файлов с серверными логами, специально установленных компанией, сообщает сайт SearchSecurity.com. Исследователи использовали специальный термин для исследуемых программ — «серые сети» (greynets), поскольку P2P и IM-клиенты зачастую устанавливаются сотрудниками компаний самостоятельно, без привлечения специалистов IT-служб.

«Число угроз, поступающих через многочисленные P2P- и IM-каналы, показывает необходимость всестороннего подхода для управления этими угрозами. В то время как создатели вредоносных программ наращивают число атак против популярных приложений, администраторы должны быть уверены в том, что они способны контролировать эти приложения», — заявил руководитель исследований FaceTime Communications Тайлер Уэллс (Tyler Wells).

Всего в течение первого квартала 2006 года исследователи зафиксировали 453 инцидента, что на 723% больше по сравнению с прошлым годом. Рост числа угроз для IM-каналов в течение первого квартала стабилизировался, однако возросла сложность атак и увеличилось количество методов доставки вредоносных файлов. Число случаев одновременного распространения вредоносных файлов через несколько каналов возросло в 23 раза. Основным инструментом для проведения атак по-прежнему остаются IRC-чаты, однако их доля снизилась за счет атак через пиринговые сети — их стало в 15 раз больше и превысило число пиринговых атак за весь 2005 год.

В феврале американские компании IMlogic и Akonix Systems выпустили отчеты, в которых зафиксировали по итогам прошлого года существенный рост угроз, распространяющихся через IM-каналы. IMlogic отметила 1700%-ный рост IM-инцидентов в сравнении с 2004 годом. Akonix Systems опросила представителей более 100 организаций и обнаружила, что в большинстве из них нет контроля за IM-угрозами. Лишь 11% опрошенных заявили, что имеют средства для защиты от IM-угроз, в то время как электронную почту защищают уже 73%. При этом 50% заявили, что «решение для защиты IM-каналов никогда не приходило им в голову».

Агентство Reuters временно закрыло свою систему мгновенного обмена сообщениями Reuters Messaging (RM) в результате ее заражения новой версией червя Kelvir, сообщает сайт News.com.

Новая версия червя рассылала себя пользователям службы мгновенного обмена сообщениями, как и все предыдущие версии Kelvir. В посланиях содержалась ссылка, при переходе по которой пользователи заражали свои компьютеры.

«Чтобы защитить наших клиентов и других пользователей, а также избежать превращения RM в инструмент для распространения Kelvir, Reuters временно приостанавливает этот сервис и решает проблему», — было сказано в заявлении агентства в минувший четверг. Впрочем, о случаях заражения пользователей Reuters не сообщило.

В отличие от бесплатных служб мгновенного обмена сообщениями, подобных America Online, Microsoft и Yahoo, RM создавалась как корпоративный инструмент, предназначенный только для внутреннего использования в агентстве. Однако со временем, Reuters стало использовать RM для связи клиентов со своими сетями. В 2003 году агентство подписало соглашение с America Online и Microsoft, которое позволило пользователям этих систем контактировать с пользователями RM.

Технические специалисты Reuters полагают, что новая атака Kelvir может настигнуть и другие системы мгновенного обмена сообщениями. Однако сообщений от других компаний о проблемах, связанных с Kelvir, не поступало.

Промышленный консорциум IMlogic Threat Center во главе с производителем программного обеспечения IMlogic в своем недавнем докладе обозначил Kelvir как одну из трех самых распространенных вредоносных программ для служб мгновенного обмена сообщениями. В тройку «лидеров» входят также черви Bropia и Sumom.