http://www.securelist.com/ru/ 11 Feb 2012 06:30:36 +0400 http://www.securelist.com/ru/rss/klogo.gif http://www.securelist.com/ru/ webmaster@securelist.com (Дмитрий Бестужев) <p>Будет ли сервис Bouncer эффективным инструментом в борьбе с вредоносным ПО в приложениях на базе Android?</p><p><p>Компания Google приняла правильные и, безусловно, необходимые меры, однако полностью проблема пока не решена. Судя по опубликованным об этом сервисе данным, все приложения будут проверяться на наличие уже известного вредоносного ПО. Другими словами, будет применяться система мультисканирования или нечто подобное, а значит, качество детектирования будет напрямую зависеть от того, какой антивирусный движок для анализа приложений будет использовать Google. Качество у всех движков очень разное, поэтому существует вероятность того, что некоторые вредоносные приложения не будут квалифицированы как вредоносные. Еще одним шагом Google станет эмуляция. Прием хороший, однако и его можно обойти: с помощью «обмана» эмулятора или запрограммировав приложение «вести себя» во время эмуляции как невредоносное. Короче говоря, те же приемы, которые используются для преодоления защиты Windows, теперь могут применяться и на Android. </p> http://www.securelist.com/ru/blog/41024/Deystvitelno_li_Google_Bouncer_izbavit_Android_Market_ot_vredonosnogo_PO http://www.securelist.com/ru/blog/41024/Deystvitelno_li_Google_Bouncer_izbavit_Android_Market_ot_vredonosnogo_PO 09 Feb 2012 19:09:00 +0400 webmaster@securelist.com (Дмитрий Бестужев) <p>Наверное, самая плохая ситуация - когда веб-сайт банка содержит вредоносную рекламу: неизвестно, какие программы и когда будут установлены на ваш компьютер, если кликнуть на рекламный баннер. </p> <p>Нечто похожее происходит и с веб-сайтами, посвященными IT-безопасности, на которых размещена вредоносная реклама. Предполагается, что подобные сайты предоставляют сведения о том, как защитить свой компьютер от IT-угроз. Заходя на такой сайт, пользователи уверены в том, что его содержимое полностью безопасно, однако на деле из-за рекламных баннеров этим ресурсам нельзя доверять. </p> <p class=c><a href="http://www.securelist.com/ru/images/pictures/klblog/41023.png" target=_blank><img src="http://www.securelist.com/ru/images/pictures/klblog/41023.png" border=0 width=400 alt=''></a></p> http://www.securelist.com/ru/blog/41022/Vredonosnaya_reklama_na_veb_saytakh_posvyashchennykh_IT_bezopasnosti http://www.securelist.com/ru/blog/41022/Vredonosnaya_reklama_na_veb_saytakh_posvyashchennykh_IT_bezopasnosti 09 Feb 2012 19:01:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Недельный опрос, проведенный российским регистратором REG.RU среди владельцев доменных имен, <a href=http://www.reg.ru/announce/domain_names_poll_results' target=_blank>показал</a> хорошую осведомленность об интернет-угрозах и способах самозащиты в этой сфере. </p><p><p>В качестве главных угроз респонденты отметили размещение дезинформации, фишинговых и мошеннических сайтов на домене или его двойнике; рассылку спама с домена; потерю технического контроля над доменом, прекращение работоспособности ресурса, незаконную смену администратора, дефейс. Как оказалось, около половины владельцы доменов никогда не сталкивались с такими угрозами. Четверть опрошенных знакомились с ними от 1 до 5 раз, 19% - лишь однократно, 7% более 5 раз. </p><p><p>Среди неприятных инцидентов на домене, пережитых участниками опроса, были названы размещение недостоверного или поддельного контента (совокупно 21% ответов), отказ ресурса (18%), потеря технического контроля над доменом (13%), дефейс и потеря административного доступа (по 3%). Пострадавшие также отметили кибератаки, подрывающие доверие к брэнду или доменному имени: киберсквоттинг и тайпсквоттинг (совокупно около 20% ответов), рассылку спама с именем домена (16%), размещение фишинговых и мошеннических сайтов на схожем домене (15%). (Все цифры в этом абзаце указаны в соответствии с текстовой частью новости на REG.RU и несколько отличаются от статистики, представленной в виде диаграмм.) </p><p><p>Судя по результатам опроса, наиболее распространенными мерами безопасности являются системы email- или SMS-уведомлений об операциях с доменом/аккаунтом (57% респондентов), практика подтверждения операций по SMS-каналу (56%), а также использование HTTPS-протокола и SSL-сертификатов подлинности (44%). Эти варианты защиты и профилактики зачастую применяются комплексно и в комбинациях с другими средствами: привязкой к аккаунту «секретного вопроса», ограничением входа в личный кабинет по IP-адресу, усилением защиты почтовых систем, запретом операций с доменами на стороне реестра, регистрацией доменов-двойников. </p> <p><p>В минувшем году REG.RU обработал более 2,5 тыс. жалоб на спам, размещение противоправного контента и прочие абьюзы, связанные с доменными именами. Владельцам доменов рекомендуется внимательней относиться к безопасности почтовых сервисов и личного кабинета, при регистрации указывать корректные данные администратора, а также дублировать регистрацию в популярных доменных зонах и выкупить схожие имена. </p> http://www.securelist.com/ru/blog/41021/Informirovan_znachit_vooruzhen http://www.securelist.com/ru/blog/41021/Informirovan_znachit_vooruzhen 09 Feb 2012 16:31:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Неутомимый исследователь Брайан Кребс <a href=http://krebsonsecurity.com/2012/02/whos-behind-the-worlds-largest-spam-botnet/' target=_blank>взял</a> на мушку еще один ботнет, используемый для рассылки спама. В темных аллеях интернета нашлись зацепки, позволившие распознать оператора Grum среди участников фармпартнерок. </p><p><p>Grum, он же Tedroo, появился на спам-арене три года назад и специализируется, в основном, на рассылке рекламы фармпрепаратов. Зловред, лежащий в основе <a href=http://thompson.blog.avg.com/2009/01/something-interesting-tonight-and-boy-we-have-a-great-community-.html' target=_blank>ботнета</a>, распространяется посредством эксплойта уязвимости в браузере и использует руткит режима ядра. В начале прошлого года Grum <a href=http://www.symantec.com/connect/blogs/recent-drop-global-spam-volumes-what-happened' target=_blank>насчитывал</a> порядка 65 тыс. зараженных машин с совокупной производительностью свыше 1 млрд сообщений в сутки. По данным M86 Security, в настоящее время этот ботнет <a href=http://www.m86security.com/labs/bot_statistics.asp' target=_blank>опережает</a> всех конкурентов и ответственен за четверть спам-трафика в интернете. </p> <p><p>Среди наиболее удачливых участников <a href=http://www.securelist.com/ru/blog/32965/Padenie_doma_spamerov' target=_blank>почившей</a> SpamIt числился некий GeRa, владелец нескольких аккаунтов и активный покупатель эксплойт-трафика. Из фрагментов приватных чатов, слитых конкурентами одиозной фармпартнерки, Кребс узнал, что благодаря спам-рассылкам, проводимым этим подрядчиком и его протеже, SpamIt за 3 года осуществила не менее 80 тыс. продаж через интернет-аптеки, выручив свыше 6 млн. долларов. Общая сумма комиссионных по ним составила более 2,7 млн. долл. Как удалось установить, GeRa получал свои комиссионные на электронный кошелек WebMoney, открытый в 2006 году в московском офисе по паспорту некого Николая Алексеевича Костогрыза. </p><p><p>GeRa часто обращался к администраторам SpamIt, жалуясь на неадекватное поведение хостинг-провайдеров или проблемы с серверами. Названные им IP-адреса были опознаны экспертами как центры управления Grum. Со временем GeRa покинул SpamIt и переметнулся к ее конкуренту, партнерке Rx-Promotion, которую Кребс ассоциирует с именем экс-главы ChronoPay <a href=http://www.securelist.com/ru/blog/40565/Vremya_vnov_delat_stavki' target=_blank>Павла Врублевского</a>. По данным университетских исследователей из Сан-Диего, Rx-Promotion перечисляла все комиссионные за спам, генерируемый Grum, на один и тот же номер счета, открытого пользователем «gera». </p> http://www.securelist.com/ru/blog/41020/Novye_otkroveniya_Krebsa http://www.securelist.com/ru/blog/41020/Novye_otkroveniya_Krebsa 09 Feb 2012 15:05:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Barracuda Networks <a href=http://www.barracudalabs.com/wordpress/index.php/2012/02/02/attackers-use-fake-friends-to-blend-into-facebook/' target=_blank>опубликовала</a> результаты статистического исследования, позволившего выявить ключевые различия реальных и поддельных профилей на Facebook. </p><p><p>Основой для исследования послужили данные о зловредной активности на Facebook и Twitter, собранные с помощью Barracuda Profile Protector, а также открытая информация о типовом поведении пользователей в Сети. Эксперты проанализировали тысячи подставных профилей на Facebook, созданные спамерами и мошенниками, чтобы определить характерные особенности, отличающие их от рядовых участников социальной сети. По результатам этого анализа была написана эвристическая подпрограмма, способная выявить имитаторов, примкнувших к социальному сообществу с недоброй целью. </p><p><p>Согласно итоговой статистике, собранной Barracuda по случайной выборке из 2884 активных Facebook-профилей, почти все подставные участники этой соцсети (97%) представляются дамами, тогда как у рядовых пользователей этот показатель составляет 40%. Около 60% имитаторов именуют себя бисексуалами &#8213; в 10 раз больше, чем в реальности. Дружеских контактов у них почти в 6 раз больше, чем у обычных «фейсбукеров», они чаще причисляют себя к выпускникам колледжей и не делают легкомысленных записей в графе «Интересы». Интересно, что в фейковых профилях тэги к фотографиям проставляются в 100 раз чаще, чем это делают реальные пользователи. Все эти ключевые моменты в наглядной форме <a href=http://www.barracudalabs.com/fbinfographic/' target=_blank>представлены</a> на сайте компании. </p> http://www.securelist.com/ru/blog/41019/Viden_skamer_po_poletu http://www.securelist.com/ru/blog/41019/Viden_skamer_po_poletu 09 Feb 2012 14:55:00 +0400 webmaster@securelist.com (Андрей Костин) <p>Зима - время морозов, горнолыжных курортов и распродаж. Самое время для того, чтобы утеплиться, купить новую горнолыжную куртку или же просто обновить гардероб.</p> <p>Предприимчивые мошенники активно пользуются интересом покупателей к распродажам и создают поддельные онлайн-магазины, которые якобы продают зимнюю одежду топовых брендов. На сайты таких «магазинов» покупателей заманивают скидками на товары.</p><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/41000.jpg" border=0 alt='' style="margin-bottom:15px;"> <span class=small><i>Неплохие скидки на куртки<b> &#8220;The North Face&#8221;</b> на фальшивом сайте</i></span><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/41001.jpg" border=0 alt='' style="margin-bottom:15px;"> <span class=small><i>Огромные скидки на товары модного бренда «Burberry» на фальшивом сайте</i></span><p><p>Цель мошенников - заполучить персональные данные пользователей. Если на таком сайте ввести всю необходимую для оплаты кредитной картой информацию (номер кредитной карты, фамилию и имя держателя карты, срок действия карты и секретный номер cvv), она попадает к злоумышленникам, а покупатель останется не только без оплаченного товара, но и без средств на счете.</p><p><p>Напомним, что мошенничество такого рода называется фишингом.</p><p><p>Сайтов фальшивых онлайн-магазинов в Сети много, и сделаны они качественно. </p><p><p class=c><a href="http://www.securelist.com/ru/images/pictures/klblog/41002.jpg" target=_blank><img src="http://www.securelist.com/ru/images/pictures/klblog/41015.jpg" border=0 alt=''></a> <a href="http://www.securelist.com/ru/images/pictures/klblog/41003.jpg" target=_blank><img src="http://www.securelist.com/ru/images/pictures/klblog/41016.jpg" border=0 alt=''></a> <a href="http://www.securelist.com/ru/images/pictures/klblog/41004.jpg" target=_blank><img src="http://www.securelist.com/ru/images/pictures/klblog/41017.jpg" border=0 alt=''></a> <a href="http://www.securelist.com/ru/images/pictures/klblog/41005.jpg" target=_blank><img src="http://www.securelist.com/ru/images/pictures/klblog/41018.jpg" border=0 alt=''></a> <span class=small><i>Фальшивые сайты</i></span> </p> <p>Нередко их дизайн в точности повторяет дизайн настоящих магазинов мировых брендов. Поэтому отличить поддельный сайт от официального очень нелегко.</p><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/41006.jpg" border=0 alt='' style="margin-bottom:15px;"> <span class=small><i>Официальный сайт бренда «Burberry»</i></span> <p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/41007.jpg" border=0 alt='' style="margin-bottom:15px;"> <span class=small><i>Сайт-подделка под «Burberry»</i></span><p><p>Как распознать фальшивки?</p> http://www.securelist.com/ru/blog/40999/Opasnye_skidki http://www.securelist.com/ru/blog/40999/Opasnye_skidki 08 Feb 2012 19:34:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>По данным компании Internet Identity (IID), специализирующейся на защите сетевых ресурсов, в начале нового года DNS Changer был <a href=http://www.internetidentity.com/news/iid-press-releases/520-release-iid-reports-half-of-fortune-500-and-major-us-government-agencies-infected-with-dnschanger-malware' target=_blank>обнаружен</a> в сетях половины Fortune-500 компаний и ключевых федеральных служб США. </p> <p><p>Одноименный ботнет, использовавшийся операторами для перенаправления трафика на рекламные сайты заказчиков, был <a href=http://www.securelist.com/ru/blog/40865/Tenevoy_biznes_pones_tyazheluyu_utratu' target=_blank>обезврежен</a> в минувшем ноябре. Американские власти при поддержке зарубежных коллег временно отключили основные DNS-серверы ботнета, заменив их подставными. Однако процесс идентификации и очистки зараженных машин далек от завершения, а срок поддержки альтернативных DNS-каналов истекает 8 марта. После этой даты владельцы инфицированных ресурсов рискуют остаться без интернета. Кроме того, резидентный DNS Changer препятствует обновлению ОС и антивирусных баз на зараженной машине, лишая жертву защиты от других зловредов. </p> <p><p>Чтобы не повторилась история с Conficker, который до сих пор обитает на <a href=http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionTracking' target=_blank>миллионах</a> пользовательских ПК, представители ИТ-индустрии и федеральные власти создали специализированную рабочую группу, к которой присоединилась и IID. Подробные инструкции по локализации и очистке DNS Changer можно получить у любого участника рабочей группы, их список <a href=http://dcwg.org/cleanup.html' target=_blank>опубликован</a> на общем веб-сайте. Корпоративные пользователи могут напрямую связаться с IID, обратившись к разделу <a href=http://www.internetidentity.com/contact-us' target=_blank>«Контакты»</a> на сайте компании. </p> http://www.securelist.com/ru/blog/40998/IID_prognat_DNS_Changer_s_nasizhennykh_mest http://www.securelist.com/ru/blog/40998/IID_prognat_DNS_Changer_s_nasizhennykh_mest 08 Feb 2012 18:07:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Компания Adobe <a href=http://blogs.adobe.com/asset/2012/02/flash-player-sandboxing-is-coming-to-firefox.html' target=_blank>объявила</a> о выпуске бета-версии Flash Player, снабженной «песочницей», для Mozilla Firefox. </p><p><p>Flash Player Protected Mode использует тот же механизм, который был реализован больше года назад в <a href='http://www.securelist.com/ru/blog/40189/Adobe_Reader_versiya_10_dopolnitelnyy_uroven_zashchity' target=_blank>Adobe Reader X</a>. Загружаемый объект (в данном случае swf-файл) обрабатывается в изолированной среде; все запросы на действия, требующие повышения привилегий, подаются через посредника («брокера»), реакция которого определена жестким набором правил и корректируется белыми списками. </p> <p><p>Такой подход не избавляет от попыток эксплуатации брешей в популярном приложении, но помогает существенно ограничить неприятные последствия таких кибератак, усложняя задачу вирусописателям. С момента взятия «песочницы» на вооружение Adobe не зафиксировала ни одной успешной itw-атаки на Reader X. Работа Flash Player в безопасном режиме тоже доказала свою эффективность &#8213; в этом уже имели возможность убедиться пользователи Google Chrome. Разработчики надеются, что интеграция Flash Player Protected Mode в Firefox окажется не менее полезной, и обещают перенести опыт на другие браузеры. </p><p><p>Безопасный режим Flash Player доступен для версий Firefox 4.0 и выше, работающих под Windows Vista или Windows 7. Пробная сборка пока предлагается для <a href='http://labs.adobe.com/technologies/flashplatformruntimes/incubator/' target=_blank>скачивания</a> лишь сообществу разработчиков, актуальная информация уже опубликована на <a href='http://googlemobile.blogspot.com/2012/02/android-and-security.html' target=_blank>сайте</a> компании. Результаты бета-тестирования будут учтены при подготовке финальной версии, выпуск которой запланирован на текущий год. </p> http://www.securelist.com/ru/blog/40997/Flash_Player_Protected_Mode_poshel_v_brauzery http://www.securelist.com/ru/blog/40997/Flash_Player_Protected_Mode_poshel_v_brauzery 08 Feb 2012 17:56:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Google <a href='http://googlemobile.blogspot.com/2012/02/android-and-security.html' target=_blank>объявила</a> о запуске нового защитного сервиса, который будет автоматически проверять Android Market на наличие вредоносного контента. </p> <p>Система Bouncer подвергает анализу новые и уже загруженные приложения, а также учетные записи разработчиков. Как только продукт появляется на сайте, он подвергается проверке по антивирусной базе. Bouncer также прогоняет новую программу на симуляторе, отслеживая признаки потенциальной угрозы, и производит сравнение с проанализированными ранее приложениями. Проверка репутации разработчиков введена с целью пресечения нежелательных рецидивов. </p> <p><p>По словам Google, новый сканер был запущен в тестовом режиме в прошлом году и уже позволил сократить число зловредных загрузок на 40%. В условиях роста интернет-угроз, ориентированных на платформу Android, это можно считать серьезным достижением, если только этот спад не является <a href='http://googlesystem.blogspot.com/2012/02/android-markets-malware-scanner.html' target=_blank>следствием</a> низкой эффективности нововведения. Последняя авральная чистка Android Market от зловредов была проведена в середине <a href='http://www.securelist.com/ru/blog/40934/Dorogie_igrushki' target=_blank>декабря</a>, и SMS-троянцев в магазине Google обнаружил не Bouncer, а сторонние эксперты. </p><p><p>Справедливости ради стоит отметить, что разработчики Android снабдили свое детище средствами самозащиты. Они реализовали на этой платформе «песочницу» и встроили систему запроса привилегий для приложений. К сожалению, практика показывает, что при установке новых программ многие пользователи игнорируют этот список, выводимый на экран, и бездумно соглашаются со всеми требованиями. </p> <p><p>Безусловно, введение нового уровня защиты на Android Market можно только приветствовать, хотя более настоятельная проблема пока не решена. С нетерпением ждем от Google новостей об исправлении <a href='http://www.securelist.com/ru/blog/40329/Zlovredy_na_Android_Market_chast_3' target=_blank>ситуации</a> с обновлениями и о сокращении сроков закрытия уязвимостей по клиентской базе. </p> http://www.securelist.com/ru/blog/40996/Antivirus_dlya_Android_Market http://www.securelist.com/ru/blog/40996/Antivirus_dlya_Android_Market 06 Feb 2012 17:05:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Группа организаций-участниц проекта DMARC.org <a href='http://www.dmarc.org/news/press_release_20120130.html' target=_blank>опубликовала</a> спецификации нового механизма, призванного повысить эффективность процесса аутентификации источников электронных сообщений и уменьшить риски в отношении абьюзов. </p><p><p>Существенным недостатком существующих технологий аутентификации, таких как SPF и <a href='http://www.securelist.com/ru/analysis/208050372/Sovremennye_sistemy_autentifikatsii_otpravitelya_SIDF_i_DKIM' target=_blank>DKIM</a>, является отсутствие обратной связи между получателем и легальным отправителем. В такой ситуации почтовый провайдер, применяющий эти механизмы, достоверно не знает, в каком объеме ими пользуется отправитель. Посему он вынужден полагаться на сложные и далекие от совершенства методики, чтобы как-то различать мошеннические подделки и легитимные сообщения, не обеспеченные средствами проверки на подлинность. </p> <p><p>Протокол <a href='http://dmarc.org/index.html' target=_blank>DMARC</a> (Domain-based Message Authentication, Reporting and Conformance) призван освободить оператора почтового сервиса от игры в «угадайку», помогая ему поддерживать тесную взаимосвязь с массовым отправителем. Он определяет интеграцию техник аутентификации в инфраструктуру отправителя и позволяет сигнализировать интернет-провайдерам о наличии таких средств защиты, а также публиковать политику в отношении писем, не прошедших проверку на аутентичность (например, отправлять их в спам-карантин или блокировать). DMARC предусматривает также получение от провайдера подробной статистики, позволяющей корректировать возможные упущения. </p> <p><p>Разработчики новой технологии надеются, что ее освоение ускорит повсеместное развертывание систем аутентификации и создание доверенной среды. Безусловно, DMARC предполагает поддержку как на стороне отправителя, так и на стороне получателя, однако у этого протокола уже есть солидная база: его полтора года активно используют 15 участников проекта. Среди них &#8213; ведущие почтовые сервисы (AOL, Gmail, Hotmail, Yahoo), финансовые организации (Bank of America, Fidelity Investments, PayPal), социальные службы (American Greetings, Facebook, LinkedIn), поставщики защитных решений (Agari, Cloudmark, eCert, Return Path, Trusted Domain Project). По оценке Google, в настоящее время <a href='http://gmailblog.blogspot.com/2012/01/landing-another-blow-against-email.html#!/2012/01/landing-another-blow-against-email.html' target=_blank>около 15%</a> легитимных писем на ее почтовом сервисе приходит с доменов, поддерживающих DMARC. </p><p><p>Возможно, внедрение новшества потребует дополнительных усилий по обеспечению приватности, а также финансовых затрат. Последние, по мнению участников проекта, не должны оказаться обременительными, так как новый протокол предполагает использование действующих стандартов и технологий. Разумеется, DMARC не гарантирует 100%-ную защиту от фишинга, но поможет оперативно отсеивать явные подделки. Авторы разработки предлагают использовать новую технологию в дополнение к существующим механизмам аутентификации. Заинтересованные организации могут ознакомиться с рабочим вариантом спецификаций на сайте <a href='http://www.dmarc.org/draft-dmarc-base-00-01.html' target=_blank>DMARC.org</a>. Новый протокол будет представлен на февральских конференциях MAAWG и RSA. После его обкатки в полевых условиях участники проекта планируют обратиться в IETF для утверждения DMARC в качестве отраслевого стандарта. </p> http://www.securelist.com/ru/blog/40995/Chastnyy_sektor_boretsya_so_spufingom_v_pochtovom_servise http://www.securelist.com/ru/blog/40995/Chastnyy_sektor_boretsya_so_spufingom_v_pochtovom_servise 06 Feb 2012 16:52:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>По данным Imperva, в июне-ноябре интенсивность попыток эксплойта уязвимостей в веб-приложениях, осуществляемых с помощью ботнетов, в среднем <a href='http://www.imperva.com/news/press.html' target=_blank>составляла</a> 130-385 тыс. в месяц. На пике этот показатель взмывал почти до 38 тыс. в час (10 запросов в секунду).</p><p><p>К 30 объектам, <a href='http://www.securelist.com/ru/blog/40662/Imperva_ob_atakakh_cherez_veb_prilozheniya'>отобранным</a> для мониторинга полгода назад, эксперты добавили еще десяток популярных программ и расширили классификацию вредоносного трафика до 7 категорий. Как показывает статистика, хакеры отдают предпочтение «техничным» методикам, основанным на эксплойте типовых уязвимостей, которые, к сожалению, нетрудно отыскать. Наибольшее распространение получили такие техники, как RFI (Remote File Inclusion), SQL-инъекции, LFI (Local File Inclusion), XSS и DT (Directory Traversal). На долю двух последних пришлось больше половины вредоносного трафика, зафиксированного в отчетный период. </p><p><p>В новом отчете Imperva рассматривает также 2 новых разновидности кибератак, которые она называет business logic attacks, BLA &#8213; атаки, использующие логику бизнес-приложения. Данная техника не нарушает функционала атакуемой программы и использует легальные входные значения, поэтому такой абьюз трудно обнаружить. Путем несложных манипуляций атакующий может выудить из приложения приватную информацию, изменить объем совместно используемых ресурсов, исказить данные, находящиеся в общем доступе, и т.п. &#8213; зачастую в обход защитных механизмов. </p><p><p>Эксперты различают две вида BLA: коммент-спам и извлечение email-адресов. Оба легко поддаются автоматизации, а их результаты приносят хакерам материальную выгоду. Внедрение рекламных ссылок в поля комментариев является одним из способов накрутки рейтинга спамерских сайтов в поисковых системах. Согласно статистике Imperva, эти атаки особенно популярны в Восточной Европе. Возможность извлекать из веб-приложений почтовые адреса и прочую личную информацию помогает спамерам формировать списки для грядущих рассылок. Сбором адресов увлекаются африканские хакеры. В минувшем полугодии вклад BLA в зловредный трафик составил 14%. </p> http://www.securelist.com/ru/blog/40994/Imperva_khakery_idut_po_puti_naimenshego_soprotivleniya http://www.securelist.com/ru/blog/40994/Imperva_khakery_idut_po_puti_naimenshego_soprotivleniya 03 Feb 2012 18:22:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Некоммерческая организация HostExploit <a href='http://hostexploit.com/blog/14-reports/3536-cybercrime-friendly-hosts-or-industry-victims.html' target=_blank>опубликовала</a> Тор 50 неблагополучных AS-провайдеров за октябрь-декабрь. В составлении квартального отчета принимала деятельное участие российская Group-IB.</p><p><p>Новый рейтинг был составлен по итогам исследования <a href='http://www.group-ib.ru/group-ib-i-hostexploit-razmer-ne-imeet-znacheniya.html' target=_blank>39,8 тыс.</a> автономных систем. Его возглавляет литовский хостер Hosting Media (AS47583), который в предыдущем квартале занимал <a href='http://www.securelist.com/ru/blog/40811/HostExploit_SShA_i_Rossiya_lidery_po_kriminalnoy_aktivnosti'>2-е место</a>. На его площадках по-прежнему много эксплойтов, зловредов, их активно используют фишеры и спамеры, а по количеству серверов, управляющих ботнетами, Hosting Media вновь нет равных. </p> <p>Прежний лидер непочетного списка, американский провайдер Oversee.net (AS33626) улучшил свои показатели в полтора раза, что позволило ему опуститься на 12-ю строку. США вновь заняли половину мест в ведущей десятке, а в Тор 50 их присутствие увеличилось до <a href='http://www.group-ib.ru/media/top_50_bad_hosts_201112_ru.pdf' target=_blank>20 позиций [PDF 1,68 Мб]</a>. Россияне находятся за пределами первой 20-ки, в Тор 50 их четверо: ОАО «Вебальта» (AS41947), «Мегафон» (AS31133), «Агава» (AS43146) и SpaceWeb (AS44112). «Вебальта», похоже, почистила свои сети и смогла опуститься на 28-ю строку; тем не менее, этой компании было присвоено 4-е место в категории «Зараженные сайты». «Мегафон» с регионами занимает 3 позиции в десятке лидеров по спаму, столько же пришлось на долю России в категории «C&C ZeuS». </p> http://www.securelist.com/ru/blog/40993/Kto_na_svete_vsekh_gryaznee http://www.securelist.com/ru/blog/40993/Kto_na_svete_vsekh_gryaznee 03 Feb 2012 18:17:00 +0400 webmaster@securelist.com (Мария Наместникова) <p> В январе традиционно начинаются рассылки, посвященные Дню святого Валентина. В этом году первую довольно небольшую спам-рассылку, предлагающую подарки к празднику, мы получили 14 января. С этого момента «валентинов» спам стал появляться в почтовом трафике довольно регулярно. Как показывает практика, рассылки посвященные Дню святого Валентина, обычно не столь многочисленны, как новогодние. В 2011 году доля таких рассылок в пиковый период (на второй неделе февраля) составила 0,21% от всех спамерских сообщений. Вероятно, на следующей неделе и за пару дней до праздника доля валентинова спама окажется ничуть не меньше, чем год назад. На уходящей неделе доля такого спама составила всего 0,004% от всего спам-трафика. И хотя эта цифра не слишком впечатляет, необходимо напомнить, что спамеры ежедневно распространяют миллиарды сообщений, а это значит, что в Сети ежедневно распространяется несколько сотен тысяч сообщений, посвященных Дню святого Валентина. </p> <p><p> Подавляющее большинство спамерских валентинок англоязычны. Разумеется, в разных сегментах интернета встречаются рассылки и на других языках, однако англоязычные рассылки наиболее многочисленны и встречаются в спам потоках в разных странах. В свою очередь подавляющее большинство англоязычных рассылок относятся к «партнерскому» спаму. Англоязычные партнерские рассылки, посвященные дню святого Валентина, можно поделить на три группы: во-первых, это рассылки традиционно спамерских товаров - медикаментов и реплик элитных товаров - наполненные праздничной атрибутикой, с помощью которой спамеры пытаются привлечь внимание пользователей к своим сообщениям. Второй вид рассылок - это предложения от сезонных партнерских программ. Сюда входят предложения подарков для любимых, цветов и прочей продукции с праздничной символикой. Третий и наиболее опасный вид рассылок, посвященных Дню святого Валентина - вредоносные рассылки, подделанные под открытки с поздравлениями. В последние годы такие рассылки нечасто встречались в спам-потоках, но их не стоит сбрасывать со счетов. </p><p><p> На днях мы зафиксировалил рассылку, которая занимает промежуточное положение между вторым и третьим видом. Это англоязычное письмо, предлагающее отправить любимым бесплатные электронные открытки. </p> <p class=c><img src="images/pictures/klblog/207766954.jpg" border="1" alt="" title=""></p><p><p> Вопреки ожиданиям, по ссылке в письме не было вредоносной программы, однако и электронных открыток там тоже не было. </p> http://www.securelist.com/ru/blog/207766953/Takie_nadoedlivye_valentinki http://www.securelist.com/ru/blog/207766953/Takie_nadoedlivye_valentinki 03 Feb 2012 13:17:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Британская компания NCC Group, специализирующаяся в области информационной защиты, <a href="http://www.nccgroup.com/NewsAndEvents/Latest/12-02-01/Origins_of_Global_Hacks.aspx" target="_blank">опубликовала</a> Тор 10 стран, с территории которых осуществляются хакерские атаки. </p><p><p>Географический рейтинг хак-плацдармов возглавляют США и Китай, на долю которых в минувшем году приходилось 22 и 16% попыток взлома соответственно. По совокупности эти нападения ежегодно обходятся мировой экономике в 43 млрд. долл. Третье место с большим отрывом занимает Россия с показателем 3,6%; годовой ущерб от действий российских хакеров составляет порядка 4 млрд. долл. Пятерку лидеров замыкают Бразилия (3,5%) и Италия (3,1%).</p> <p><p>Примечательно, что половину позиций в Тор 10 занимают страны Западной Европы. С территории Италии, Голландии, Франции, Дании и Германии было произведено почти 200 млн. непрошеных вторжений, обошедшихся жертвам в 16 млрд. долл. Великобритания оказалась за пределами ведущей «десятки», заняв 15-е место. Однако, по оценкам исследователей, деятельность британских хакеров причиняет значительный ущерб; в минувшем году его размеры составили 2 млрд. долл. </p> . <p>Рейтинг NCC был составлен на основе данных о несанкционированных вторжениях, представленных добровольцами в рамках проекта DSHield (автор &#8213; американский институт SANS). Итоговая статистика учитывает все попытки взлома, как успешные, так и провальные. </p> http://www.securelist.com/ru/blog/40991/NCC_opredelila_propisku_khakerov http://www.securelist.com/ru/blog/40991/NCC_opredelila_propisku_khakerov 02 Feb 2012 18:19:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>В Румынии <a href="http://nakedsecurity.sophos.com/2012/01/31/tinkode-arreste/" target="_blank">задержан</a> 20-летний студент, подозреваемый во взломе сайтов Пентагона и НАСА. </p> <p><p>Полицейские убеждены, что будущий ИТ-профи Маноле Разван Чернэяну (Manole Razvan Cern&#259;ianu) &#8213; не кто иной, как <a href="http://www.securelist.com/ru/blog/40962/Obidchik_NASA_otdelalsya_uslovnym_srokom" target="_blank">TinKode</a>. Сей азартный взломщик известен тем, что атакует именитые сайты для забавы, похваляется своими «подвигами» в социальных сетях и публикует обнаруженные уязвимости. На счету TinKode немало «боевых трофеев», хотя предпочтение он отдает американским ресурсам. Два года назад от его проделок пострадал официальный сайт британских ВМС, лишившись ряда паролей. TinKode также причастен к взлому сайтов Европейского космического агентства и MySQL, куда он цинично проник посредством SQL-инъекции. </p><p><p>Поскольку в расследовании, помимо румын, принимали участие ФБР и НАСА, Чернэяну инкриминируются лишь незаконное вторжение в американское пространство и нарушение нормального функционирования компьютерных ресурсов. В доказательство новых успехов хакер успел опубликовать видеоролик с демонстрацией кибератак, а также предлагал в своем блоге поделиться хакерским инструментарием. </p> http://www.securelist.com/ru/blog/40990/U_rumynskikh_khakerov_ocherednaya_poterya http://www.securelist.com/ru/blog/40990/U_rumynskikh_khakerov_ocherednaya_poterya 02 Feb 2012 18:12:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>По наблюдениям ZeuS Tracker, ботоводы ZeuS <a href="http://www.abuse.ch/?p=3581" target="_blank">начали</a> мигрировать из российской национальной зоны .ru в зону .su. </p><p><p>Согласно статистике швейцарских экспертов, зона .ru на протяжении нескольких лет активно использовалась злоумышленниками для размещения центров управления этим зловредом. Однако в начале текущего года количество таких C&C площадок заметно уменьшилось. Сократилось также время жизни новых ru-доменов, приобщаемых к командной инфраструктуре ZeuS. Если раньше оно измерялось неделями и даже месяцами, то в настоящее время составляет от 4 до 24 часов. </p><p><p>Активисты полагают, что главной причиной такого успеха является обновление правил регистрации доменных имен в зонах .ru и .рф, которые были <a href="http://cctld.ru/ru/press_center/news/news_detail.php?ID=1985" target="_blank">введены в силу</a> в минувшем ноябре. В <a href="http://cctld.ru/ru/docs/rules.php" target="_blank">новой редакции</a> пункт 5.7 разрешает регистратору прекратить делегирование домена по запросу некой компетентной организации, если она представила доказательства, что этот домен используется для фишинга, несанкционированного доступа к чужим ресурсам, распространения зловредов или для управления ботнетом. Список компетентных организаций Координационный центр домена .ru обещает публиковать на страницах своего сайта. </p> <p><p>Как бы то ни было, ботоводы ZeuS начали искать tld-зону с более благоприятным климатом и остановились на полузабытой, но еще активной .su. В настоящее время число su-доменов в списках ZeuS Tracker растет, 2 из 4-х C&C долгожителей-рекордсменов тоже размещены в этой зоне. При отсутствии в логах легальных запросов, ассоциированных с этим доменным пространством, эксперты советуют просто блокировать его на шлюзе. </p><p><p>Согласно статистике ZeuS Tracker по состоянию на 1 февраля, число активных центров управления ZeuS в Сети <a href="https://zeustracker.abuse.ch/" target="_blank">приближается</a> к 200. Больше половины из них <a href="https://zeustracker.abuse.ch/statistic.php" target="_blank">находятся</a> на территории США, вдвое меньше &#8213; в России. Из регистраторов хуже всех ситуация у российских «Наунет СП» (94 домена, ассоциированных с ZeuS) и REG.RU (78), из AS-провайдеров &#8213; у азербайджанской ADaNET (15 C&C серверов) и американской GNAXNET (12). </p> http://www.securelist.com/ru/blog/40989/Zevs_nashel_tikhuyu_gavan http://www.securelist.com/ru/blog/40989/Zevs_nashel_tikhuyu_gavan 02 Feb 2012 17:58:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Во второй половине минувшего года эксперты Sophos <a href="http://www.sophos.com/en-us/press-office/press-releases/2012/01/security-threat-report-2012.aspx" target="_blank">регистрировали</a> в среднем 30 тыс. вредоносных страниц в сутки &#8213; в полтора раза больше, чем в предыдущем полугодии. Более 80% этих страниц были обнаружены на взломанных серверах безвинных организаций. </p><p><p>В настоящее время главным видом кибератак являются drive-by загрузки. В 10% случаев вредоносные объекты, обнаруженные Sophos в интернете, были отнесены к разряду эксплойтов, две трети из них были представлены набором Blackhole. 67% детектов пришлось на долю редиректов, около половины которых были привязаны к ресурсам с Blackhole. Согласно статистике Sophos, в настоящее время этот эксплойт-пак является главной угрозой в Сети и атакует в первую очередь уязвимости в Java, Flash Player и Adobe Reader. Blackhole быстро обновляется с появлением новых брешей и в случае успешной эксплуатации награждает пользователя ботом (чаще всего ZeuS), руткит-дроппером (TDSS или ZeroAccess) или фальшивым антивирусом. </p> <p><p>Присутствие последних в Сети с середины года пошло на убыль, однако с ними все еще приходится считаться. По данным Sophos, в июле-декабре на долю лжеантивирусов приходилось 5,5% детектов. Эксперты полагают, что этот спад &#8213; явление временное, злоумышленники, скорее всего, просто перейдут на другие механизмы распространения этих поддельных продуктов. </p> <p><p>Наиболее атакуемой платформой, вопреки регулярным починкам, остается Windows. Подавляющее большинство современных кибератак на этой платформе проводятся посредством эксплойта сторонних приложений &#8213; в первую очередь, Adobe Reader и Flash. Однако, как показал минувший год, пользователи Mac OS тоже не застрахованы от назойливого внимания злоумышленников. Появление череды поддельных антивирусов типа MacDefender тому прямое свидетельство. </p> <p><p>Особый раздел в полугодовом отчете Sophos посвящен Conficker/Kido, который, несмотря на давность, все еще сильно досаждает владельцам ПК. Согласно статистике компании, этот могучий червь до сих пор возглавляет рейтинг опасных зловредов. В минувшем полугодии он был ответственен за <a href="http://www.sophos.com/medialibrary/PDFs/other/SophosSecurityThreatReport2012.ashx" target="_blank">14,8%</a> заблокированных попыток заражения. Его живучесть эксперты объясняют агрессивной способностью к самораспространению и небрежением пользователей, не удосужившихся вовремя установить надлежащие заплатки. </p> http://www.securelist.com/ru/blog/40988/Sophos_ob_ekspansii_setevykh_ugroz http://www.securelist.com/ru/blog/40988/Sophos_ob_ekspansii_setevykh_ugroz 02 Feb 2012 17:46:00 +0400 webmaster@securelist.com (Мария Гарнаева) <p>Прошло четыре месяца с тех пор, как Microsoft и «Лаборатория Касперского» объявили о прекращении работы ботнета <a href='http://www.securelist.com/ru/blog/40767/Kak_Laboratoriya_Kasperskogo_otklyuchila_botnet_Hlux_Kelihos'>Kelihos/Hlux</a>. Использовавшийся в ходе этого отключения метод sinkhole-маршрутизатора имеет преимущества, так как с его помощью можно обезвредить ботнет достаточно быстро без взятия под контроль главных командных серверов. Однако, как стало ясно позже, этого не достаточно, если хозяева ботнета остаются на свободе.</p> <p>Вскоре после того, как был взят под контроль Kelihos/Hlux, мы наткнулись на новые самплы, которые очень напоминали исходную версию бота. Проведя сравнительный анализ, мы нашли все отличия новой версии от исходной. Здесь будет представлено краткое резюме этого исследования.</p> <p>Начнем с самого нижнего уровня, с криптования и упаковки сообщений Kelihos/Hlux в коммуникационном протоколе, которые представлены в виде древовидной структуры:</p> <table class=fullbrd align=center> <tr> <td> &#8470; </td> <td> <b>Старый Hlux </b> </td> <td> <b>Новый Hlux </b> </td> </tr> <tr> <td> 1 </td> <td> Blowfish с ключом 1</td> <td> Blowfish с новым ключом 1 </td> </tr> <tr> <td> 2 </td> <td> 3DES с ключом 2 </td> <td> Распаковка с помощью Zlib </td> </tr> <tr> <td> 3 </td> <td> Blowfish с ключом 3</td> <td> 3DES с новым ключом 2</td> </tr> <tr> <td> 4 </td> <td> Распаковка с помощью Zlib </td> <td> Blowfish с новым ключом 3</td> </tr> </table> http://www.securelist.com/ru/blog/40982/Vozvrashchenie_botneta_Kelihos_Hlux_s_novymi_tekhnikami http://www.securelist.com/ru/blog/40982/Vozvrashchenie_botneta_Kelihos_Hlux_s_novymi_tekhnikami 02 Feb 2012 12:12:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>По свидетельству KrebsOnSecurity.com, партнерская программа GlavTorg, специализирующаяся на продвижении поддельных предметов роскоши, с февраля <a href='http://krebsonsecurity.com/2012/01/glavmed-sister-program-glavtorg-to-close/' target=_blank>прекращает</a> свою деятельность.</p><p><p>Запуск этой российской «партнерки» был объявлен в 2010 году, в День независимости США. Кребс утверждает, что операторами GlavTorg.com являлись соучредители аналогичных предприятий, опекавших нелицензированные интернет-аптеки, &#8213; Главмеда и <a href='http://www.securelist.com/ru/blog/32965/Padenie_doma_spamerov'>SpamIt</a>. Во всяком случае, первый анонс о новой партнерской программе появился на форуме Glavmed. Подопечные интернет-магазины GlavTorg занимались сбытом дешевых имитаций модных сумок, часов, солнцезащитных очков и обуви &#8213; такие подделки часто рекламируются через спам. </p><p><p>По всей видимости, новая «партнерка» оказалась убыточной. В минувшем декабре участникам GlavTorg было объявлено, что программа будет свернута по причине «ухудшения качества продукции, предлагаемой поставщиками», а выплаты будут производиться лишь до 31 января. Судя по объявлению на стартовой странице русскоязычного сайта, домен glavtorg.ru уже выставлен на продажу. </p><p><p>Кребс полагает, что реальной причиной закрытия GlavTorg является прессинг со стороны владельцев торговых марок, незаконно использующихся для продвижения подделок. В сентябре прошлого года Chanel подала иск против владельцев интернет-магазинов, торгующих репликами ее товаров. Среди десятков доменов, переданных по суду компании, оказался и topbrandclub.com, крупнейший контрактор GlavTorg. На домашней странице этого ресурса теперь красуется предостережение от Chanel, адресованное потенциальным покупателям контрафакта. </p> http://www.securelist.com/ru/blog/40981/Rossiyskiy_torgovets_kontrafaktom_soshel_s_distantsii http://www.securelist.com/ru/blog/40981/Rossiyskiy_torgovets_kontrafaktom_soshel_s_distantsii 01 Feb 2012 14:48:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Городской суд Йошкар-Олы <a href='http://genproc.gov.ru/news/news-74791/' target=_blank>вынес</a> приговор по уголовному делу 32-х участников криминальной группы, которая за 3 года выманила у иностранцев свыше 5,5 млн. руб., поддерживая с ними переписку от имени перспективных «невест».</p><p><p>Как показало расследование, данная группировка действовала на территории республики Марий Эл с осени 2004 по июль 2007 гг. Аферисты <a href='http://www.securelist.com/ru/blog/40866/Mariyskiy_konveyer_dzhulett_vstal_na_prikol'>арендовали</a> несколько квартир в Йошкар-Оле и соседнем поселке Медведево, оборудовали каждую десятком компьютеров и наняли студентов, которые круглосуточно строчили послания сетевым романтикам. В ходе переписки жертву неоднократно просили перевести деньги для различных нужд, которые на самом деле шли на оплату аренды, покупку электронного оборудования и содержание охраны. По данным следствия, мошенникам удалось получить 225 денежных переводов от 125 обманутых иностранцев, большинство которых &#8213; граждане США, а также канадцы, немцы, британцы и австралийцы. </p><p><p>Йошкар-олинский горсуд признал всех участников преступной группы виновными в нарушении ч. 4 ст. 159 УК РФ (мошенничество, совершённое организованной группой). Один из главарей, Алексей Васин, приговорен к 4,5 годам лишения свободы с отбыванием срока в исправительной колонии строгого режима. Остальные подельники получили от 3 до 5 лет условно с испытательным сроком 3 года и оштрафованы на разные суммы, от 4 до 15 тыс. руб.</p><p><p>29 других сообщников были осуждены ранее, еще 23 находятся под следствием.</p> http://www.securelist.com/ru/blog/40980/Mariyskie_dzhuletty_platyat_po_schetam http://www.securelist.com/ru/blog/40980/Mariyskie_dzhuletty_platyat_po_schetam 01 Feb 2012 14:17:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Facebook и генпрокуратура штата Вашингтон <a href='https://www.facebook.com/notes/facebook-security/facebook-washington-state-ag-target-clickjackers/10150494427000766' target=_blank>обвинили</a> маркетинговую компанию Adscend Media в использовании противозаконных методов ведения бизнеса и рассылке спама. Параллельные иски были поданы в двух американских штатах по предварительному соглашению.</p><p><p>Согласно исковым <a href='http://www.atg.wa.gov/uploadedFiles/Another/News/Adscend%20complaint.pdf' target=_blank>заявлениям</a>, 80% доходов Adscend приносила реализация партнерской CPA-программы (Cost per Action, «Оплата за действие»). В соответствии с этой моделью участник «партнерки» получает оплату за активность посетителей на целевых ресурсах, т.е. потенциальный клиент должен не только перейти на рекламируемый сайт, но и совершить там определенные действия: заполнить анкету, подписаться на рассылку, заказать товар и т.п. По утверждению истцов, оператор «партнерки» не только одобрял использование Facebook в качестве полигона, но и поощрял своих подопечных использовать любые способы для привлечения участников социальной сети на сторонние сайты &#8213; вплоть до спама и махинаций с «кликами». </p> http://www.securelist.com/ru/blog/40979/Bespretsedentnoe_partnerstvo_v_borbe_so_skamom http://www.securelist.com/ru/blog/40979/Bespretsedentnoe_partnerstvo_v_borbe_so_skamom 01 Feb 2012 13:12:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Арбитражный суд Челябинской области <a href='http://chel.fas.gov.ru/news/5626' target=_blank>оставил в силе</a> постановление местного УФАС, в соответствии с которым ОАО «Мегафон» должно уплатить 100 тыс. руб. штрафа за ненадлежащую рекламу.</p><p><p>Административное наказание было назначено телеоператору по результатам расследования, проведенного по жалобе одного из его абонентов. Как оказалось, «Мегафон», действительно, прикреплял рекламные тексты к USSD-сообщениям, автоматически направляемым в ответ на запрос о состоянии абонентского счета. Челябинское УФАС заключило, что такая практика подпадает под статью 18 федерального закона «О рекламе», которая запрещает проведение коммерческих рассылок с применением средств автоматизированного выбора адресатов. </p><p><p>ОАО «Мегафон» попыталось опротестовать решение УФАС в суде, считая, что избранный им способ рассылки не является автоматическим, так как список получателей рекламы формирует оператор, т.е. человек. Однако суд отклонил эти доводы, установив, что при составлении списка адресатов оператор вводит в программный комплекс лишь критерии отбора группы абонентов. Итоговый выбор номеров производит автомат, отправляя рекламу только тем участникам списка, которые запрашивают баланс. Следовательно, утверждение «Мегафон», что в данном случае выбор адресатов осуществлялся человеком, не соответствует действительности.</p> http://www.securelist.com/ru/blog/40987/Megafon_otvetit_za_SMS_spam http://www.securelist.com/ru/blog/40987/Megafon_otvetit_za_SMS_spam 01 Feb 2012 12:57:00 +0400 webmaster@securelist.com (Курт Баумгартнер) <p>Южнокорейские интернет-власти не торопятся закрывать ресурс с открыто распространяемым вредоносным кодом, эксплуатирующим уязвимость CVE-2012-0003, закрытую патчем Microsoft MS12-004, выпущенным в январе 2012 года. Как мы уже обсуждали, вредоносный код доступен с 21-го января, и похоже, что в последние дни атакам через этот сайт подверглось достаточно небольшое количество корейских пользователей. В данное время сайт по-прежнему действует.</p> <p>Похоже, что сам эксплойт надежен и его легко воспроизвести, и мы ожидаем, что он будет включен в состав популярных наборов эксплойтов, распространяемых через интернет. Судя по обсуждениям создателей эксплойтов, очень скоро в Сети появится исходный код «концептуального» эксплойта, что приведет к дальнейшему распространению эксплойта в течение нескольких дней. До сих пор наши продукты распознавали исходный вариант кода с помощью generic-детекта, созданного несколько лет назад, однако сейчас ведется работа над созданием детекта, который позволит обнаруживать javascript и эксплойт как Exploit.x.CVE-2012-0003. Немногочисленные посетители вредоносного сайта получали код, предназначенный для установки руткита и набора шпионских программ. Похоже, что руткит-компоненты нацелены на аккаунты к онлайн-играм, созданным южнокорейскими производителями игр в последние полгода.</p> <p>Эксплойт использует уязвимость в библиотеке winmm.dll Windows Media Player с помощью механизма heap spray, который, как это ни странно, работает на большинстве версий Windows вплоть до 64-битной Windows Server 2008 SP 2.</p><p><p>Пожалуйста, не забывайте устанавливать обновления системы. </p> http://www.securelist.com/ru/blog/40992/CVE_2012_0003_Eksployt_ITWv http://www.securelist.com/ru/blog/40992/CVE_2012_0003_Eksployt_ITWv 31 Jan 2012 13:16:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>По данным Symantec, в декабре уровень спама в почтовом трафике <a href='http://www.symanteccloud.com/en/us/aboutus/general/itemdetails?a=xdpDI8FKOuo=&t=ufmF0TvVPTdu26gS7KOvWg' target=_blank>снизился</a> до 67,7%, а в январе подрос до 69,0%. Тем не менее, спамеры пока не дотягивают до среднегодовой отметки.</p><p><p>Основным источником мусорной почты остаются США, хотя по сравнению с ноябрем их вклад в спам-трафик сократился вдвое и в январе составил лишь 25,0%. Второе место заняла Индия с показателем 10,2%, третье &#8213; Бразилия (5,8%). В пятерку лидеров также вошли Россия (5,6% и Великобритания (4,4%). Самые высокие уровни спама наблюдались в Саудовской Аравии (75,5%), Китае (75,0%) и Бразилии (73,1%), а в разделении по отраслям хозяйственной деятельности &#8213; в сфере образования (71,0%).</p><p><p>В тематическом составе спама преобладала реклама фармацевтических препаратов, доля которой за 2 месяца выросла на 6,5 пунктов и в январе составила 38,0%. Еще заметней увеличилось количество рекламы поддельных предметов роскоши (27,5%), порноресурсов и сайтов знакомств (22,5%). В категории «Мошенничество» показатель уменьшился втрое и составил лишь 0,5%. 57,8% URL-спама содержало ссылки, привязанные к TLD-зоне .com, 9,4% &#8213; к зоне .ru. Общий размер нелегитимных сообщений несколько увеличился &#8213; в основном, за счет роста доли объемных писем (более 10 КБ), которая в январе составила 13,8%.</p> http://www.securelist.com/ru/blog/40978/Symantec_aktivnost_spamerov_po_prezhnemu_nevysoka http://www.securelist.com/ru/blog/40978/Symantec_aktivnost_spamerov_po_prezhnemu_nevysoka 31 Jan 2012 12:53:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>В Twitter <a href='http://www.lenta.ru/news/2012/01/26/twitter/' target=_blank>наблюдается</a> всплеск русскоязычного спама, содержащего вредоносные ссылки.</p><p><p>По всем признакам, вредоносные сообщения распространяются автоматизированными средствами. Все они предлагают разнообразные файлы для скачивания: сборники задач с решениями, дистрибутивы игр, аудиокниги, некие документы и т.п. Примечательно, что к вредоносным URL, указанным в этих записях, прикреплен один из нескольких популярных хэштэгов, таких как «#Россия», «#новости», «#интернет», «#Москва». По свидетельству Lenta.ru, соответствующие тематические разделы сейчас наполнены зловредным спамом, которого в несколько раз больше, чем релевантных записей.</p><p><p>Насколько известно, новая спам-атака началась в Twitter пару дней назад, накануне встречи Дмитрия Медведева со студентами МГУ. На тот момент в спам-шаблонах преобладал хэштэг «#жалкий», который часто используется в записях с критикой в адрес президента. В настоящее время интенсивность рассылки спама с этим хэштэгом составляет несколько десятков сообщений в минуту.</p> http://www.securelist.com/ru/blog/40977/Kogda_ssylki_ne_v_teme http://www.securelist.com/ru/blog/40977/Kogda_ssylki_ne_v_teme 27 Jan 2012 11:50:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Microsoft внесла <a href='http://blogs.technet.com/b/microsoft_blog/archive/2012/01/23/microsoft-names-new-defendant-in-kelihos-case.aspx' target=_blank>изменения</a> в исковые претензии к ботоводам Kelihos, добавив свидетельства против еще одного ответчика &#8213; россиянина Андрея Сабельникова.</p><p><p>По признанию экспертов, они вышли на это имя в результате анализа вредоносного кода. Новые находки позволили им заключить, что Сабельников принимал участие в создании зловреда и ботнета на его основе. Россиянин также регистрировал адреса, которые впоследствии использовались для управления Kelihos, в том числе 3,7 тыс. поддоменов в зоне cz.cc, вверенной dotFREE Group. Эта компания и ее владелец, Доминик Александер Пьятти (Dominique Alexander Piatti), фигурировали в качестве ответчиков в первоначальном варианте искового заявления Microsoft, однако при более тщательном расследовании Пьятти оказался обычным поставщиком веб-услуг, и обвинения с него <a href='http://www.securelist.com/ru/blog/40819/MS_khoster_Kelihos_ne_prichasten_k_ego_deyatelnosti'>были сняты</a>.</p> <p>Появление нового имени, которое Microsoft связывает с деятельностью Kelihos, породило волну журналистских расследований. В обновленном иске указано, что Сабельников &#8213; выпускник питерского университета по специальности «вычислительные системы и программирование». В настоящее время он живет в Санкт-Петербурге и работает как фрилансер в консалтинговой компании, занимающейся также разработкой софта, а ранее трудился в штате некоего поставщика защитных решений. Небезызвестный Брайан Кребс изучил профиль Сабельникова на LinkedIn и <a href='http://krebsonsecurity.com/2012/01/microsoft-worm-author-worked-at-antivirus-firm/' target=_blank>установил</a>, что нынешним местом его работы является Teknavo, создающая приложения для финансовых организаций, а прежним &#8213; Agnitum. Репортеры CNews <a href='http://www.cnews.ru/news/top/index.shtml?2012/01/25/474485' target=_blank>дополнили</a> этот послужной список еще двумя именами: R-Tools и Returnil, однако отметили, что Сабельников уже удалил с LinkedIn все данные о своей трудовой карьере. </p><p><p>Ботнет Kelihos, он же Hlux, был <a href='http://www.kaspersky.ru/news?id=207733584'>обезврежен</a> прошлой осенью стараниями Microsoft, ЛК и Kyrus. Злоумышленники использовали его для рассылки спама, кражи пользовательских данных, проведения DDoS-атак и многих других видов криминальной деятельности. Подменив управляющий центр ботнета, ЛК насчитала в его составе <a href='http://www.securelist.com/ru/blog/40767/Kak_Laboratoriya_Kasperskogo_otklyuchila_botnet_Hlux_Kelihos'>свыше 49 тыс.</a> уникальных IP-адресов. В настоящее время Kelihos неактивен, но истребить всю инфекцию на местах пока не удалось.</p> http://www.securelist.com/ru/blog/40976/Rossiyskiy_sled_Kelihos http://www.securelist.com/ru/blog/40976/Rossiyskiy_sled_Kelihos 27 Jan 2012 11:47:00 +0400 webmaster@securelist.com (Дэвид Эмм) <p>Как вы, наверно, помните, в 2011 году мы каждый месяц публиковали обои с антивирусным календарем. </p> <p>В этом году мы также публикуем антивирусные обои - с обновленными данными. Но мы решили подойти к делу немного иначе и опубликовать сразу 12 обоев на все месяцы года. </p> <p>Итак, обои на 2012 год лежат <a href='http://www.securelist.com/ru/calendar'>здесь</a>. </p> <p>Надеемся, вам понравится дизайн наших новых обоев, а данные будут вам интересны.</p> http://www.securelist.com/ru/blog/40975/Antivirusnye_oboi_na_2012_god http://www.securelist.com/ru/blog/40975/Antivirusnye_oboi_na_2012_god 25 Jan 2012 17:33:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>В Киото <a href='http://blog.trendmicro.com/kyoto-prefectural-police-arrests-suspects-related-to-one-click-billing-fraud' target=_blank>арестованы</a> шестеро местных жителей, подозреваемых в нарушении японского закона о киберпреступлениях. По предварительным оценкам, данная группировка, используя самопальную программу-блокер, выманила у пользователей 12 млн. иен (свыше 155 тыс. долл.).</p> <p>Подобные программы в Японии обычно распространяются через порносайты и маскируются под смачный видеоролик. Зловред загружается на машину жертвы при попытке его просмотра и препятствует дальнейшей работе, неустанно показывая провокационные картинки с требованием зарегистрироваться и оплатить доступ к веб-сервису. Оплату шантажисты рекомендуют производить прямым переводом на банковский счет. Суммы одноразовых «пожертвований» достаточно ощутимы, но никогда <a href='http://blog.trendmicro.com/the-ins-and-outs-of-one-click-billing-fraud/' target=_blank>не превышают</a> 100 тыс. иен (около 1,3 тыс. долл.) &#8213; порога, установленного японскими нормативами для банковских транзакций. </p><p><p>По свидетельству Trend Micro, эксперты которой участвуют в расследовании, названный способ вымогательства широко распространен в Японии. Мошенники делают ставку на чувство вины и стыда со стороны жертвы, которой легче выполнить их требования, чем нанять постороннего человека для избавления от одиозных заставок. При обнаружении блокировщика антивирусом его авторам достаточно изменить фрагмент кода, чтобы он вновь исчез с радаров. </p><p><p>В настоящее время в японском секторе интернета обнаружено 118 зараженных веб-сайтов, задействованных шантажистами. Японские власти поставили ситуацию на контроль и ежемесячно фиксируют в среднем 400 случаев вымогательства, осуществляемого по данной схеме. Однако многие жертвы предпочитают не оглашать свою промашку.</p> http://www.securelist.com/ru/blog/40974/Yaponskie_shantazhisty_predstanut_pered_sudom http://www.securelist.com/ru/blog/40974/Yaponskie_shantazhisty_predstanut_pered_sudom 25 Jan 2012 16:35:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Согласно результатам опроса, проведенного Check Point Software Technologies, за 2 года количество мобильных устройств в корпоративном обиходе <a href='http://www.checkpoint.com/press/2012/011812-check-point-businesses-admit-increase-security.html' target=_blank>увеличилось</a> более чем в 2 раза. Вместе с тем 71% компаний отметили, что расширение использования сотрудниками смартфонов и планшетов привело к росту числа киберинцидентов, чреватых потерей важной информации. </p><p><p>В опросе Check Point приняли участие 768 ИТ-специалистов из США, Канады, Великобритании, Германии и Японии, облеченных разной степенью корпоративной ответственности за защиту компьютерного парка. Все эти представители разных по величине и профилю компаний признают, что внедрение мобильного доступа к корпоративным ресурсам способствует повышению производительности труда и упрощает доступ к сетевым ресурсам. В то же время наличие большого количества рабочих мобильных устройств усложняет систему обеспечения безопасности и повышает риск утечки. </p> http://www.securelist.com/ru/blog/40973/Check_Point_otsenila_riski_mobilizatsii_biznesa http://www.securelist.com/ru/blog/40973/Check_Point_otsenila_riski_mobilizatsii_biznesa 25 Jan 2012 16:30:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>По словам вездесущего Брайана Кребса, на хакерских форумах появилась реклама отпрыска ZeuS под названием Citadel, который позиционируется как <a href='http://krebsonsecurity.com/2012/01/citadel-trojan-touts-trouble-ticket-system/' target=_blank>SaaS-продукт</a>. В обеспечение сопровождения и дальнейшего развития своего детища его авторы создали пользовательскую платформу, доступную через особый веб-портал.</p><p><p>Система Citadel CRM Store построена по принципу социальной сети, позволяя клиентам принимать непосредственное участие в процессе совершенствования продукта. Используя этот сервис, юзер может обратиться за помощью в службу техподдержки, сообщить о найденных багах, подать публичный или приватный запрос на добавочный модуль или доработку. Участники Citadel-сообщества имеют право решать голосованием судьбу новой идеи, участвовать в обсуждении предлагаемых инноваций, оценивать стоимость разработки и вносить предоплату для ускорения ее процесса. На сервисе будут публиковаться сообщения о статусе и времени, оставшемся до окончания разработки, предусмотрена также рассылка jabber-уведомлений об актуальных комментариях и новинках. </p> http://www.securelist.com/ru/blog/40972/Tsitadel_dlya_poklonnikov_Zevsa http://www.securelist.com/ru/blog/40972/Tsitadel_dlya_poklonnikov_Zevsa 25 Jan 2012 15:36:00 +0400