CyberSpy Software, LLC согласилась разрешить во внесудебном порядке конфликт с Федеральной торговой комиссией США (ФТК) относительно продаж мониторинговых программ с нарушением правил добросовестной торговли.

Согласно иску [PDF 442 Кб] ФТК, компания позиционировала RemoteSpy как универсальную программу-шпион, на 100% защищенную от обнаружения. Ответчик также снабжал покупателей подробными инструкциями о том, как установить ее на компьютер пользователя без его ведома — например, замаскировать под безобидный файл, прикрепленный к электронному письму.

По свидетельству ФТК, RemoteSpy способна скрытно регистрировать нажатия клавиш, делать скриншоты, записи бесед по каналам обмена мгновенными сообщениями, собирать пароли, информацию о системе, посещаемых веб-ресурсах и т.п. Собранные данные программа-шпион отсылает на сервер CyberSpy Software. По условиям лицензионного соглашения клиенты могут получить к ним доступ, авторизовавшись на сайте компании. Многие антивирусные компании классифицируют данный продукт как потенциально опасный или даже шпионский.

В соответствии с судебным приказом CyberSpy отныне воспрещается включать в рекламу RemoteSpy провокационные заявления и поощрять клиентов к ее несанкционированному использованию. Ответчик обязан соблюдать общепринятые правила, касающиеся торговли программными продуктами: информировать клиентов о наказуемости противозаконного использования RemoteSpy и установки ее без согласия донора; обеспечить программу соответствующими идентификаторами, сигналами присутствия в системе, опцией отказа от установки.

Поставщик также обязан проследить, чтобы в течение месяца все программы, установленные к моменту вынесения судебного приказа, были деинсталлированы. Наконец, заключение сделки не означает, что CyberSpy или ее партнеры могут в своей дальнейшей деятельности ссылаться на разрешение или одобрение со стороны ФТК.

PS: В ЛК данной программе присвоено наименование not-a-virus:Monitor.Win32.CyberSpy, и классифицируется она как Riskware — продукт, созданный с полезной целью, но в руках злоумышленника способный причинить вред пользователю. В антивирусах ЛК детектирование таких объектов по умолчанию отключено.

Эксперты Intego предупреждают о появлении нового многофункционального OSX-троянца, который загружается из Сети вместе с популярными приложениями и скринсейверами.

OSX/OpinionSpy (в классификации ЛК Trojan.OSX.Spynion.a) проникает на компьютер пользователя в процессе инсталляции легитимных продуктов, которые можно скачать на таких веб-сайтах, как MacUpdate, VersionTracker и Softpedia. Иногда он замаскирован под «исследовательскую программу», навязываемую вместе с легальным ПО как средство изучения пользовательского спроса.

Как показал анализ, OSX/OpinionSpy является модификацией зловреда, созданного для Windows-платформ еще в 2008 году. Его функционал, как и стоило ожидать, значительно шире объема задач, предусмотренных обычным маркетинговым исследованием, и позволяет классифицировать его как умелого шпиона.

OSX/OpinionSpy лишен интерфейса и работает с root-привилегиями (при инсталляции запрашивает пароль администратора). Его легального собрата по загрузке можно удалить, но троянского лазутчика такая деинсталляция не затронет, и он останется хозяйничать в системе. Если по каким-либо причинам исполнение OSX/OpinionSpy приостановлено, он возобновляет работу, используя механизм автозапуска launchd.

Зловред открывает http-бэкдор на порту 8254, сканирует доступное дисковое пространство, анализирует файлы, не стесняясь под завязку загрузить процессор. Анализу подвергаются также все пакеты, передаваемые по локальной сети, что позволяет шпиону собрать информацию о всех подключенных к ней компьютерах. OSX/OpinionSpy внедряет свой код в Safari, Firefox и iChat в процессе их работы и копирует все данные, которые сочтет полезными. Собранная информация о пользователе, его системе, привычках, контактах затем отсылается на серверы злоумышленников через порты 80 и 443.

Пользователю периодически приходится отбиваться от запросов на предоставление информации и заполнение анкет, которые зловред генерирует в форме диалогового окна. По истечении определенного времени зараженный компьютер начинает сбоить. В довершение всех бед троянец автоматом производит апгрейд — инсталлирует новую версию, которой в Intego присвоили наименование PermissionResearch.

По оценке экспертов, популяция OSX/OpinionSpy пока невелика, но его способ загрузки и зловредный потенциал — хороший повод для того, чтобы лишний раз напомнить владельцам Маков о двух «Б», бдительности и благоразумии, которые нелишне проявлять, скачивая софт из интернета.

Американский сайт Samsung содержит троянскую программу, считывающую логи клавиатуры, нейтрализующую антивирусные приложения и фиксирующую коды доступа к системам онлайн-банкинга. По информации антивирусной компании Websense, троянец, скорее всего, не представляет угрозы для посетителей сайта — сервер Samsung используется для атаки через спам-рассылки в электронной почте и системах мгновенного обмена сообщениями.

Samsung получил информацию о наличии угрозы, однако не удалил с сервера опасные файлы, сообщил интернет-изданию ZDNet Australia представитель австралийского офиса Websense Джоэл Кэмиссар (Joel Camissar). «Сервер, по-видимому, был взломан и на некоторое время стал местом размещения разных файлов. Код, который доступен для скачивания и сейчас, — троянская программа, которая пытается отключить антивирусные приложения, модифицировать ключи реестра, загрузить дополнительные файлы и фиксировать логи клавиатуры во время сессий на банковских сайтах», — говорится в предупреждении Websense.

Вполне возможно, что хакеры, взломавшие серверы Samsung, могли внести изменения в коды сайта компании. Таким образом, пользователи, использующие уязвимые браузеры, могут заразить свои машины непосредственно в ходе сессии на сайте. «Почему не взломать сайт, который люди посещают как ресурс проверенного бренда? Доверие так важно в эти дни. Банки убеждают людей не доверять ссылкам в спамерских письмах и люди начинают привыкать к этому. Поэтому если кто-то идет на проверенный сайт, очевидно, что такой сайт становится для хакеров очень простым инструментом», — заявил Кэмиссар.

Ранее представитель антивирусной компании Symantec Дэйв Коул (Dave Cole) отметил в своем блоге, что хакеры используют технологии Ajax и JavaScript для того, чтобы заражать вредоносными программами популярные веб-ресурсы. «Стоит заметить, что самые серьезные атаки могут исходить с популярных сайтов, на которых контент, комментарии и рекламные объявления размещают сами пользователи. Конечно, будут попытки заманить пользователей на незаконные ресурсы, перегруженные эксплойтами. Однако в ходе наиболее успешной атаки будет использоваться уровень доверия пользователя к известному и популярному ресурсу», — написал Коул, отметив, что пользователи только начинают сталкиваться с подобными угрозами.

В августе случай, подобный ситуации с Samsung, был зафиксирован в университете Нового Южного Уэльса. На одном из серверов университетской Школы медиа, кино и театра был размещен потенциально вредоносный файл, замаскированный под патч Microsoft.

Каждые 9 из 10 персональных компьютеров заражены шпионскими программами, сообщает сайт vnunet.com. После осени 2005 года, уровень распространения шпионских программ опять достиг своего высочайшего уровня, зафиксированного прежде в 2004 году, утверждают исследователи из компании Webroot Software.

«Менее года назад, многие эксперты по интернет-безопасности стали заявлять о снижении уровня распространенности шпионских программ и о том, что этот уровень в скором времени достигнет минимума. Пока данные о степени распространенности заражения шпионскими программами вроде бы подтверждали эти заявления, мы собрали за последние полгода сведения, которые недвусмысленно показывают — шпионские программы делают все, что угодно, только не исчезают», — рассказал генеральный директор Webroot Си Дэвид Молл (C David Moll).

Во втором квартале 2006 года исследователи Webroot обнаружили, что каждый из 89 процентов персональных компьютеров был заражен в среднем 30 шпионскими программами. Это небольшой прирост в сравнении с первым кварталом 2006 года. Этому росту способствовали новые онлайн-каналы, более совершенная технология шпионских программ и уверенность пользователей в бесплатных антишпионских утилитах. Благодатной почвой для распространения шпионских программ стали социальные сети, подобные MySpace.

Выгоду от использования шпионских программ уже уяснили спамеры — они добавляют эти программы в свои письма, а также киберпреступники, которые создают все больше сайтов для заманивания новых жертв.

Специалисты Webroot выявили на сегодняшний день 527136 опасных сайтов. Это значительно больше по сравнению с первым кварталом 2006 года, когда число таких сайтов составляло 427000. Только в последнем квартале рост числа заражений троянскими программами составил 31 процент. В первом квартале 2006 года он составлял 29 процентов, в последнем квартале 2005 года — 24 процента.

«Шпионские программы — угроза, которая подкрепляется финансово и пока существует доллар, киберпреступники будут делать все возможное, чтобы его украсть», — полагает Молл.

От шпионских программ страдают и организации, несмотря на то, что 70 процентов из них используют антишпионские программы. Самый высокий уровень распространения шпионских программ в Европе приходится на Великобританию — там на одном компьютере в среднем присутствует 30,5 шпионских программ. Среднеевропейский показатель равен 24,5 программам.

Каждая шестисотая страница на сайтах социальных сетей содержит какую-нибудь вредоносную программу, считают эксперты компании ScanSafe. Свое заявление они подкрепили результатами анализа содержимого более 5 миллиардов страниц, проведенного в июле. Кроме того, представители ScanSafe отметили, что на долю социальных сетей, наиболее популярных среди подростков, приходится около одного процента трафика, потребляемого на рабочих местах.

Генеральный директор ScanSafe Эльдар Тювей (Eldar Tuvey) полагает, что приведенная выше цифра должна стать предметом беспокойства для бизнеса. «Социальные сети стали поводом для новостных сообщений в связи с беспокойством за безопасность детей, однако эти сайты также представляют потенциальную угрозу поскольку могут распространять вредоносные программы», — сказал Тювей.

Большинство вредоносных программ, выявленных ScanSafe, относятся к шпионскому и рекламному программному обеспечению — от тех, что просто следят за путями пользователя в Сети до тех, что перенаправляют браузер на определенные адреса.

По данным ScanSafe, в июле доля шпионских программ выросла на 19%, в то время как доля вирусов снизилась на 14%, таким образом укрепив тенденцию прошлого года. Около 13% угроз пришлось на долю так называемых угроз нулевого дня, то есть, которые возникают до появления антивирусных сигнатур.

Эксперты американской компании Websense обнаружили новую троянскую программу, которая пересылает хакерам похищенные данные через несвойственный для вредоносных программ протокол и таким образом не позволяет себя обнаружить, сообщает интернет-издание The Register.

Троянец, у которого пока нет названия, передает украденную информацию через протокол управления сообщениями Internet (ICMP), а не через почтовые протоколы и HTTP, как это обычно делают другие вредоносные программы. После заражения компьютера троянец устанавливает себя в систему под видом BHO — плагина для браузера. Далее программа ожидает момента, в которой пользователь вводит какие-нибудь важные данные (например, пароль). Троянец перехватывает введенные данные и отправляет их организаторам атаки.

Используя алгоритм шифрования XOR, троянец кодирует перехваченные данные и передает их в виде пакетов через протокол ICMP.

«Для сетевых администраторов и выходных фильтров этот ICMP-пакет выглядит как обычный исходящий трафик. Однако в действительности ICMP-пакет содержит сведения, введенные пользователем. Хакеры, по-видимому, перехватывают этот пакет на своем удаленном сервере, где легко его расшифровывают», — описывают троянца специалисты Websense.

Более 10 тысяч компьютеров оказались заражены троянцем Haxdoor в Австралии, сообщает газета The Sydney Morning Herald. При этом большинство антивирусных программ присутствие троянца на компьютерах не обнаруживали.

Налоговое управление Австралии подтвердило факт того, что 178 налогоплательщиков непреднамеренным образом раскрыли номера своих налоговых файлов в ходе уплаты налогов в режиме онлайн. Налоговые служащие оповестили пользователей и предложили им новые номера налоговых файлов.

Налоговое управление получило сведения о распространении троянца от Оперативного управления Австралии по компьютерным инцидентам (Auscert). Auscert выпускает аналогичные предупреждения для банков и других крупных организаций, клиенты которых рискуют раскрыть свои данные.

По словам аналитика Auscert Маклеонарда Старки (MacLeonard Starkey), Haxdoor собирал логи клавиатуры, логины и пароли, которые пользователи вводили при заполнении онлайновых форм, в том числе используемых и для уплаты налогов. Украденные сведения преступники могли использовать для снятия денег с чужих банковских счетов или для подачи ложных сведений на возврат налогов.

Старки отметил, что наиболее распространенные антивирусные программы не обнаруживали троянца, разработанного российским программистом специально для продажи под названием A311 Death.

Троянец распространяется через электронную почту и сайты. При этом для того, чтобы заразить компьютер через электронную почту, пользователю не требуется открывать приложение с троянцем. По информации Старки, на долю Австралии пришлась одна треть всех компьютеров, зараженных Haxdoor. При этом главной целью злоумышленников были посетители сайтов австралийских банков.

Пока неясно, откуда началась атака на австралийские компьютеры. Единственый способ для австралийцев проверить, не подвергся ли компьютер заражению, это убедиться в том, что с их банковских счетов не проводилось неавторизованных транзакций. Избежать заражения можно, не посещая сайты под учетной записью администратора в ОС Windows.

Киберпреступники заманивают пользователей на фальшивые сайты, а затем, используя недавно обнаруженную уязвимость браузера Internet Explorer, устанавливают на их компьютеры шпионскую программу для считывания логов клавиатуры (кейлогер). Для привлечения пользователей на свои ресурсы, хакеры рассылают спам с анонсами новостей BBC и ссылками «читать дальше», уточняют сотрудники американской антивирусной компании Websense.

«Этот кейлоггер контролирует активность пользователя на сайтах финансовой тематики и передает записанную обновленную информацию преступникам», — говорится в предупреждении Websense. Вредоносная программа способна перехватить логины и пароли к сайтам — сведения, которые преступники впоследствии продают или используют для опустошения счета жертвы.

Уязвимость в Internet Explorer связана с тем, как он обрабатывает вызов метода createTextRange() языка DHTML. С момента заявления о сущестовании этой уязвимости, было создано, по меньшей мере, 200 сайтов, которые ее используют. Все эти ресурсы, как правило, устанавливают на компьютер пользователя шпионские и троянские программы.

Представители Microsoft заявили, что работа над ликвидацией проблемы ведется. Выпуск обновления для ликвидации уязвимости запланирован на 11 апреля. Впрочем, в компании не исключают возможности и более раннего релиза.

Между тем, две компании, занимающиеся обеспечением информационной безопасности уже опередили Microsoft. eEye Digital Security и Determina на этой неделе выпустили неофициальные патчи для Internet Explorer. Многие эксперты рекомендуют пользователям быть осторожными с возможной установкой неофициальных патчей и до появления официального релиза пользоваться либо другими браузерами, либо отключить поддержку Active Scripting. Эта технология используется для поддержки сценариев на любых скриптовых языках на стороне пользователя.

Полиция бразильского города Кампина Гранде задержала 2 недели назад 55 человек по подозрению в распространении программ для считывания логов клавиатуры. Члены преступной группы, в состав которой входили 9 несовершеннолетних, с помощью кейлогеров собирали информацию о пользователях банковских онлайн-услуг, сообщает сайт News.com. За время своей деятельности, начатой в мае прошлого года, преступники украли около $4,7 миллиона с 200 разных счетов в шести банках.

«Эти трояны-кейлогеры работают очень избирательно. Они контролируют доступ жертвы к интернету и начинают записывать информацию только тогда, когда пользователь оказывается на ресурсах, представляющих интерес для преступников», — прокомментировала арест преступной группы руководитель бразильского управления по борьбе с компьютерными правонарушениями Кристин Хоперс (Cristine Hoepers).

«Это тенденция будущего. Все эти программы становятся все более автоматизированными», — убежден генеральный секретарь Антифишинговой рабочей группы (APWG) Питер Кэссиди (Peter Cassidy). По данным APWG, число интернет-ресурсов, с которых кейлогеры проникают в компьютеры пользователей, с ноября по декабрь прошлого года удвоилось и составило в результате 1900.

Компания Symantec сообщает, что половина выявленных ей вредоносных программ предназначена не для повреждения, а для сбора данных. iDefense — подразделение компании VeriSign, предоставляющее сведения об информационной безопасности корпоративным и правительственным клиентам, насчитало в прошлом году более 6 тысяч вариантов различных кейлогеров. Их прирост по сравнению с 2004 годом составил около 65 процентов. Около трети всех вредоносных программ, обнаруженных iDefense сейчас содержит компонент для считывания логов клавиатуры, отметил представитель руководства компании.

Институт SANS, в стенах которого проходят обучение и сертификацию специалисты в области информационной безопасности, оценивает число американских компьютеров, зараженных кейлогерами, в 9,9 миллиона. Таким образом, преступники получают доступ приблизительно к 24 миллиардам долларов, лежащих на счетах пользователей зараженных машин, подчеркивают в SANS.

Компания Microsoft объявила о выпуске второй бета-версии своей бесплатной антишпионской утилиты. В новой версии программма называется Windows Defender, сообщает сайт Security Pipeline. По сравнению с предыдущим релизом Windows Defender имеет обновленный алгоритм обнаружения шпионского софта и серьезно переработанный интерфейс.

Windows Defender работает в среде Windows XP, Windows 2000 и Windows Server 2003. По словам продуктового менеджера новой утилиты Майка Чена (Mike Chan), антишпионская утилита, появившаяся в арсенале Microsoft одновременно с приобретением компании Giant Software и в дальнейшем будет предлагаться бесплатно всем пользователям лицензионных версий Windows.

Обновленный Windows Defender обладает усовершенствованными средствами защиты от шпионских программ, возможностью защищать пользователей с любыми учетными записями, способностью интегрироваться в браузеры Internet Explorer 6 и Internet Explorer 7 и способностью сканировать вложения в письма, приходящие через клиент Outlook Express.

Windows Defender более эффективно использует систему оповещений Windows — всплывающие напоминания и предупреждения появляются только в случаях, когда программа обнаруживает в системе шпионские программы.

Windows Defender Beta 2 доступна для бесплатного скачивания. Английская версия разработана для 32-битных и 64-битных версий Windows.

Локализованные версии будут доступны в течение нескольких недель. Размер скачиваемого файла Windows Defender составляет от 6,4 Мб (7,9 Мб для 64-битной системы) до 14,3 Мб в зависимости от опций, выбранных во время установки.