Компания Secunia открыла публичный доступ к переработанной версии индивидуального сканера уязвимостей Secunia Personal Software Inspector (PSI), которая снабжена функцией автоматического обновления типовых сторонних приложений, работающих на платформе Windows. Новый программный продукт предлагается на правах участия в заключительной фазе тестирования.

Универсальный апдейтер создан на основе релиза PSI 1.5 с сохранением базовой технологии, позволяющей четко определять виды программ, установленных под ОС Windows, и отслеживать непропатченные уязвимости. Тем не менее, разработчики практически заново выстроили все приложение: переписали пользовательский интерфейс, усовершенствовали систему воспроизведения и группировки результатов сканирования, а также обеспечили интеграцию с коммерческим вариантом сканера, Corporate Software Inspector (CSI).

Первая статистика по результатам бета-тестирования появилась уже через сутки после публикации анонса. На 6,5 тыс. экспериментальных ПК PSI 2.0 установил в автоматическом режиме примерно 10 тыс. патчей. Около 30% из них пришлось на долю Adobe Flash Player (NPAPI и ActiveX), 10% — Adobe Reader 9.x, 8% Sun Java JRE 1.6.x / 6.x. И это несмотря на то, что 6 из Топ 10 пропатченных приложений обладают собственным функционалом автообновления. Продукты Apple не попали в десятку лидеров, так как, по словам экспертов, они не поддерживают фоновый режим установки патчей. Secunia надеется устранить эту проблему до окончания бета-тестирования.

Известный журналист и исследователь Брайан Кребс (Brian Krebs) тоже опробовал уникальный инструмент и отметил, что тот работает гораздо быстрее своего прототипа и потребляет меньше ресурсов. Правда, список приложений, которые автоматически обновляет бета-версия PSI 2.0, пока ограничен, но, видимо, будет дополняться по мере поступления заявок от участников тестирования. Для программ, которые новый PSI не может обновить в автоматическом режиме, предусмотрена опция Install Solution («установить приложение»), позволяющая скачать исполняемый файл непосредственно с сайта вендора.

Экспериментальная версия PSI 2.0 доступна с адреса http://secunia.com/PSI2SetupBeta.exe. Для тех, кто заинтересовался, но не хочет закачивать этот продукт на свой ПК, Secunia подготовила онлайн-версию — Online Software Inspector (OSI). Ее использование, в отличие от PSI, предполагает наличие Java.

Новая концепция фишинговой атаки, которую обрисовал разработчик из Mozilla Аза Раскин (Aza Raskin), делает ставку на невнимательность пользователя и подспудную веру в неприкосновенность страниц, открытых в окне обозревателя.

Ключевым элементом атаки является javacript-код, внедренный в веб-страницу. Если пользователь, путешествуя по интернету, попадает на нее, зловредный скрипт незаметно меняет одну из вкладок в браузере, включая значок сайта (фавикон), описание и содержимое самой страницы. Подмена происходит не сразу, а по истечении некоторого времени, когда пользователь уже ушел с зараженной страницы. Изменения вносятся в ту вкладку, к которой давно не обращались.

Вернувшись к этой вкладке, пользователь видит копию страницы регистрации одного из ресурсов, которые он часто посещает (например, вход в почтовый ящик). При обилии вкладок он может забыть, что уже авторизовался на этом сайте, и ввести на подставной странице идентификаторы, которые затем отправятся прямиком на сервер злоумышленника. При таком способе атаки фишеру даже не надо менять адрес в строке браузера.

Данная разновидность фишинга допускает проведение таргетированных атак, если подмена вкладки будет соответствовать регулярным запросам потенциальной жертвы. В этом случае пользователю предъявляется копия страницы авторизации конкретного банка, социальной сети, почтового сервиса, электронного кошелька и т.п. Если злоумышленник выяснит, к каким сервисам подключен его объект в момент нападения, его шансы на успех возрастут. В качестве поддельной страницы он получит возможность выводить убедительное сообщение, что интервал ожидания истек и для доступа необходимо произвести повторную авторизацию. После кражи идентификаторов пользователя можно перенаправить на соответствующий сервис, благо он с него и не выходил.

Разумеется, данный способ фишинговой атаки может сработать только в том случае, если у пользователя открыто несколько вкладок и нет запрета на исполнение javascript-кода на зараженной странице.

Всю прошлую неделю средства массовой информации без устали тиражировали новости, которые одна за одной выпускали антивирусные компании по всему миру. Такого слаженного хора уведомлений со стороны индустрии об одной и той же проблеме в этом году ранее удостаивались только червь Kido да очередные уязвимости в продуктах компании Adobe.

На этот раз источником переполоха стал Индюк. Нет, не птица, а вредоносная программа, называющаяся по нашей классификации Virus.Win32.Induc.a

История, приключившаяся с ним и со всей антивирусной индустрией в целом, столь необычна, что сначала мы ограничились только публикацией небольшого блог-поста на английском, решив проанализировать ситуацию более детально.

Но обо всем по порядку.

Начнем с самого названия вируса — Induc, которое можно читать и как Индюк (впрочем, некоторые решили, что это Индус, но это не так). Название прямым образом происходит из функционала самого вируса:

1. Будучи запущенным на компьютере жертвы (достаточно запустить какое-нибудь зараженное приложение), вирус проверяет, установлена ли Delphi. Его интересуют версии 4.0, 5.0, 6.0 и 7.0.

2. Если он обнаруживает, что Delphi установлена и версия правильная, он копирует из папки Source в папку Lib нужный ему .pas-файл, в данном случае это был sysconst.pas и дописывает в него свой код. Переименовав в .bak старый dcu-файл, зловред компилирует зараженный pas-файл и получает новый sysconst.dcu, который содержит зловредный код. Зараженный pas-файл больше не нужен, и он его удаляет.

Как видно, вирус внедряет свой код в файл с расширением dcu — "in dcu". Переставив пару букв местами, мы и получили название, которое нас вполне устроило — Induc.

В начале недели мы добавили детектирование вируса для калькулятора.

Резидентный вирус Virus.TI.Tigraa.a имеет размер всего 492 байта, в лучших традициях DOS-вирусов.

Работает на инженерных калькуляторах Texas Instruments серии TI-89 (TI-89, TI-89 Titanium) и модели Voyage 200, на которой запускается большинство программ, написанных для TI-89.

В этих калькуляторах используется процессор Motorola 68000.

Вирус может очищать экран и затем выводить надпись "t89. GAARA".

Вирус, конечно, является так называемым proof-of-concept. Работает только в контексте одного калькулятора и не может заразить другие, но само по себе существование этого вируса в очередной раз говорит о том, что список типов заражаемых устройств пополняется.

Полагаете, установка Linux на iPod — пустая трата времени? Если вы антивирусный аналитик, то нет — вы всего лишь подготавливаете устройство к тестированию на нём первого вируса для iPod.

Сам по себе вирус Podloso является не более чем доказательством того, что iPod теперь тоже можно заразить вредоносной программой. Вирус запускается с трудом, потому как содержит ошибки, которые иногда приводят к зависанию всей операционной системы.

Не думаю, что iВирусы станут причиной серьезных проблем в будущем. iPod существенно отличается от ПК и смартфонов. Владельцы iPod не устанавливают на свои плееры новые программы и не качают из Сети массу разнообразной информации, что уже существенно понижает возможность «подхватить» какую-нибудь заразу. Кроме того, за исключением безобидных мультимедийных файлов, с iPod нечего воровать.

Так что первый вирус для iPod является не более чем любопытной головоломкой для антивирусных экспертов.

Сегодня мы обнаружили новую версию вируса для StarOffice, о котором мы писали на прошлой неделе. Как и первая версия, эта содержит ошибки, делающие ее неработоспособной.

К слову, в предыдущем постинге этот момент не был оговорен с достаточной четкостью: мы подтверждаем, что Stardust содержит ошибки, предотвращающие его саморазмножение.

Подробности можно узнать в описании Stardust. Если кратко, то вирус содержит слишком много ошибок, чтобы работать.

Сегодня мы обнаружили нечто интересное: макро-вирус, получивший название Virus.StarOffice.Stardust.a.

Вы можете спросить, что в этом интересного — макро-вирусы уже давно не в диковинку и в последние годы даже начали исчезать с вирусной сцены.

Ответ на вопрос кроется в названии: Stardust написан для StarOffice и является первым обнаруженным нами макро-вирусом для этого офисного пакета. Как правило, макро-вирусы создаются для приложений MS Office.

Stardust теоретически способен заражать документы StarOffice и OpenOffice. Вирус написан на Star Basic. Он загружает из интернета порнографическое изображение и открывает его в качестве нового документа.

Более подробное описание Stardust мы вскоре опубликуем в «Вирусной энциклопедии».

Весна оказалась на редкость плодовитой на разнообразные новые идеи и PoC-коды. К счастью, далеко не все из них опасны.

Например, несколько дней назад мы обнаружили первый вирус, заражающий документы Microsoft Publisher (PUB) — Virus.MSPublisher.Avarta.a.

Из-за грубости метода размножения и слишком очевидных деструктивных функций шансов вырваться на волю у Avarta нет никаких. Три-четыре года назад он был бы весьма интересным образцом новых вирусных технологий. Но в сейчас макро-вирусы практически вымерли, и появление Avarta является доказательством возможности, которая никогда не станет настоящей угрозой.

В среде специалистов по компьютерной безопасности шумиха: обсуждается идея «недетектируемого» руткита, основанного на технологиях виртуальных машин. Вопросы на повестке дня: о чем все это, и нужно ли начинать беспокоиться?

Проект руткита, работающего ниже уровня операционной системы, разрабатывается в Университете Мичигана и спонсируется Майкрософт. Широкой общественности стало известно о нем после публикации программы конференции IEEE Symposium on Security and Privacy, на которой будет представлена данная proof-of-concept-разработка.

Идея парней из Мичигана состоит в том, что можно вынести вредоносный код за пределы пользовательской операционной системы, сделав его принципиально невидимым изнутри нее. Для этого между операционной системой и оборудованием внедряется дополнительная прослойка, представленная монитором виртуальных машин (VMM). На стадии загрузки машины управление от BIOS переходит не к загрузчику пользовательской операционной системы, а к VMM, который в свою очередь загружает установленную операционную систему. Т.о., последняя оказывается «виртуальной машиной»; все взаимодействие между программами пользователя и оборудованием происходит через происходит через VMM.

Параллельно пользовательской, VMM скрытно запускает еще одну операционную систему. В ней исполняются вредоносные программы. Оборудование доступно им напрямую. Кейлоггер внутри «вредной» ОС может считывать нажатия клавиш клавиатуры, а троян-прокси — осуществлять сетевую коммуникацию. При этом следы их деятельности и код находятся за пределами ОС пользователя и, следовательно, не могут быть непосредственно обнаружены изнутри нее — даже при помощи сколь угодно мощного антивируса или фаервола.

Несмотря на кажущуюся опасность данной proof-of-concept-разработки, поводов для беспокойства я не вижу.

Во-первых, реализация такого руткита сложна и не под силу большинству вирусописателей — даже несмотря на то, что в качестве его основы берется готовый движок VMM.

Во-вторых, наличие прослойки между оборудованием и операционной системой невозможно скрыть — оно сказывается на работоспособности системы и значениях некоторых системных переменных.

В-третьих, обнаружить присутствие виртуализованного руткита довольно просто. Помимо отслеживания вышеупомянутых признаков снижения производительности, самый простой способ обнаружения и детектирования кода руткита — загрузка компьютера с внешнего устройства (USB, CD) и сканирование жесткого диска с него.