http://www.securelist.com/ru/ 02 Sep 2010 19:43:57 +0400 http://www.securelist.com/ru/rss/klogo.gif http://www.securelist.com/ru/ Стефан Танасе <p>Наконец-то Twitter отменил возможность базовой аутентификации для сторонних приложений, <a href='http://blog.twitter.com/2010/08/twitter-applications-and-oauth.html' target=_blank>введя обязательную авторизацию по протоколу OAuth для всех приложений</a>, &mdash; давно пора. Это событие должно порадовать всех, кто заботится о безопасности своей учетной записи на Twitter.</p><br><p>Таким образом, закрывается потенциальная уязвимость в процессе предоставления доступа считывания/записи сторонним приложениям, что могло привести к взлому учетной записи на Twitter. Теперь это исключено. Вам больше не нужно сообщать имя пользователя и пароль сторонним разработчикам, если вы хотите использовать их приложение в своем аккаунте на Twitter.</p><br><p>Меня всегда интересовали вопросы безопасности, и я приветствую переход Twitter на OAuth. Это позволяет мне использовать приложение без необходимости сообщать имя пользователя и пароль на Twitter неизвестно кому. Также честь и хвала всем разработчикам, которые вовремя обновили свои приложения и сделали это максимально безболезненно для большинства пользователей.</p><br><p>Однако не стоит забывать, что OAuth не обеспечивает защиту от локальных атак, т.е. от кражи паролей непосредственно с компьютеров пользователей. При входе на Twitter убедитесь, что ваш компьютер не заражен. Также предлагаю вашему вниманию свое краткое руководство на сайте Threatpost, <a href='http://threatpost.com/en_us/blogs/how-avoid-getting-your-twitter-account-hacked-081810' target=_blank>How to Avoid Getting Your Twitter Account Hacked</a> (&laquo;Как избежать хакерской атаки на Twitter-аккаунт&raquo;), где можно найти дополнительные советы по безопасности.</p> http://www.securelist.com/ru/blog/32900/Twitter_perekhodit_na_OAuth_da_zdravstvuet_bezopasnost 02 Sep 2010 13:09:00 +0400 Алексей Клейм&pound;нов (Neko) <p>Packed &mdash; особый тип детектируемых объектов, используемый для определения зловредных файлов, защищенных вредоносным упаковщиком. Главная цель вредоносного упаковщика &mdash; максимальное усложнение детектирования на различных уровнях. Модификация Packed.Win32.Katusha.n появилась в конце мая 2010 года. Ее характерным признаком стала оперативная техническая поддержка: детектирование вирусописатели пытаются сбивать в течение кратчайшего времени после выхода свежих антивирусных баз. </p><p><p class=c><a href="http://www.securelist.com/ru/images/pictures/klblog/32892.png" target=_blank><img src="http://www.securelist.com/ru/images/pictures/klblog/32893.png" border=0 width=400 height=250 alt=''></a><br><span class=small><strong>Динамика распространения Packed.Win32.Katusha.n</strong></span></p><p><p>Как видно на графике, обновления данного упаковщика происходили с завидной периодичностью &mdash; им соответствуют пики на кривых. Также можно установить, что на одну зараженную систему приходилось в среднем по три вредоносные программы.</p><br><p>Конечная цель выполнения большинства зловредных упаковщиков &mdash; передать управление на исходный код упакованной вредоносной программы после его расшифровки. Katusha.n имеет довольно необычный способ получения адресов зашифрованного кода и ключа. С этой целью упаковщик ищет в системных библиотеках определенные сигнатуры и выбирает на некотором расстоянии от них всегда фиксированные на любых системах 4 байта (длина адреса на 32-х битных системах).</p><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/32894.png" border=0 alt=''><br><span class=small><strong> </strong></span></p><p><p>Затем к выбранным 4-м байтам добавляется заранее вшитое в код значение &mdash; и результат используется как адрес. Главная цель этих действий &mdash; обойти слабую эмуляцию и подложные библиотеки. Библиотеки специально выбираются различные (например, SHELL32.DLL, GDI32.DLL, VERSION.DLL).</p><br><p>После упаковщик выделяет память, куда копирует собственный зашифрованный код, и дешифрует его парой xor key/add key. Адрес ключа также получается динамически вышеуказанным способом. В ранних версиях использовалась тройная расшифровка каждых 4-х байт данной парой, затем разработчики оставили лишь одну:</p><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/32895.png" border=0 alt=''><br><span class=small><strong> </strong></span></p><p><p>После этого управление передается на расшифрованный код в выделенной памяти. В первую очередь там происходит восстановление импортов по хэш-функциям их имен:</p><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/32896.png" border=0 alt=''><br><span class=small><strong> </strong></span></p><p><p>После идет второй уровень расшифровки уже исходного кода обработанной вредоносной программы, который осуществляется в несколько приемов:</p><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/32897.png" border=0 alt=''><br><span class=small><strong> </strong></span></p><p><p>Затем управление передается на оригинальный код.</p><br><p>Несколько слов о том, как была реализована обфускация. Первые версии были разбавлены легко узнаваемыми &laquo;мусорными&raquo; инструкциями.</p><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/32898.png" border=0 alt=''><br><span class=small><strong> </strong></span></p><p><p>Затем инструкциями, которые немного отличались от первоначальных:</p><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/32899.png" border=0 alt=''><br><span class=small><strong> </strong></span></p><p><p>Однако уже через 5 дней создатели вредоносной программы отказались от данного способа.</p><br><p>В последних версиях вирусописатели постарались разбросать функциональный код упаковщика в разные функции, а также разделить его большим количеством более осмысленных бесполезных инструкций.</p><br><p>Данный упаковщик продолжает развиваться, реализуя новые способы обхода текущего детектирования. Судя по завидной периодичности выхода обновлений, можно предположить, что Katusha.n создан на заказ с условием техподдержки. Стоит отметить еще один интересный факт &mdash; иногда после выхода свежего обновления детектирования создатели останавливали на время распространение Packed.Win32.Katusha.n и распространяли с тех же сайтов Trojan.Win32.Monder. </p><br><p>Определить перспективы развития упаковщика непросто. Предполагаю, что рано или поздно его создатели ввиду нерентабельности постоянной поддержки уже столь изученной текущей версии приступят к созданию новой.</p><br><p>В настоящее время все продукты &laquo;Лаборатории Касперского&raquo; успешно находят и удаляют существующие версии Packed.Win32.Katusha.n. Детектирование новых версий добавляется в базы в кратчайшие сроки.</p> http://www.securelist.com/ru/blog/32891/Packed_Win32_Katusha_n 02 Sep 2010 11:27:00 +0400 Дарья Бронникова <p>На прошлой неделе наблюдалась массированная рассылка предложений купить дешевые копии дорогих часов (+17,3%), доля которых составила пятую часть всего потока спама. Лидирующая рубрика &laquo;Медикаменты; товары/услуги для здоровья&raquo; заметно сдала позиции (-4,9%). Также уменьшились доли тематик &laquo;Компьютерное мошенничество&raquo;(-4,3%) и &laquo;Реклама спамерских услуг&raquo; (-5,4%).<br></p><br><p><b>Пятерка лидирующих тематик:</b></p><br><ul><br><li>Медикаменты; товары и услуги для здоровья &mdash; 28,3% (-4,7%) <br><li>Реплики элитных товаров &mdash; 20,9% (+17,3%)<br><li>Образование &mdash; 13,0% (-1,8%)<br><li>Компьютерное мошенничество &mdash; 7,0% (-4,3%)<br><li>Реклама спамерских услуг &mdash; 5,3% (-5,4%) <br></ul></p><br><p>Доля спама в почтовом трафике русскоязычного сектора интернета на прошлой неделе в среднем составила 81,3%.</p> http://www.securelist.com/ru/blog/34343/Spam_patrul_23_29_avgusta_2010_goda 01 Sep 2010 20:50:59 +0400 Евгений Касперский <p>Интересные новости появились в продолжение истории о троянских программах SMS-блокерах (Winlock и т.д.). Данный зловред (вернее, его многочисленные варианты) блокировали работу Windows и требовали отправки SMS на платный короткий номер для снятия блокировки. Этакий модный сейчас интернет-рэкет.</p><br><p class=c><a href="http://www.securelist.com/ru/images/pictures/klblog/32887.png" target=_blank><img src="images/pictures/klblog/32889.png" border=0 width=400 height=288 alt=''></a></p><br><p class=c><a href="http://www.securelist.com/ru/images/pictures/klblog/32888.png" target=_blank><img src="images/pictures/klblog/32890.png" border=0 width=400 height=276 alt=''></a></p><br><p>Итак, дело <a href=http://www.prime-tass.ru/news/0/%7B42B0A953-56E2-45D1-B1EE-9E475FABAE24%7D.uif>дошло до Генеральной прокуратуры</a>, <s>негодяев</s> подозреваемых локализовали, изолировали (вроде бы) и скоро будут судить в Москве. </p><br><p><p>Всего &laquo;доход&raquo; мошенников оценивается в 790 тыс.руб. (25К у.е.). Помимо этого, был нанесен и непрямой ущерб: неизвестное количество домашних и корпоративных машин было убито, что иногда требовало полной переустановки софта и восстановления данных с бэкапа.</p><p><p><br><object><embed width="460" height="353" align="middle" flashvars="stats=http://www.1tv.ru/addclick/" allowscriptaccess="always" swliveconnect="true" wmode="window" allowfullscreen="true" quality="high" bgcolor="white" name="videoportal" id="videoportal" src="http://www.1tv.ru/newsvideo/160332" type="application/x-shockwave-flash"/></object></p><br><p>Но я не совсем о факте раскрытия, арестах и прочем. Я о результатах, вернее &mdash; о возможных вариантах завершения этого дела. </p><p><p>Итак, это далеко не первое &laquo;компьютерное&raquo; дело в России. Да, воруют, да, иногда ловят. Да, иногда судят. И судят, как и в этом случае, не только по &laquo;компьютерной&raquo; <a href='http://zakon.kuban.ru/uk/uk_gl28.htm' target=_blank>273-й статье УК РФ</a> (&laquo;Создание, использование и распространение вредоносных программ для ЭВМ&raquo;), но и по более &laquo;взрослым&raquo; статьям, например <a href='http://www.zakonrf.info/uk/159' target=_blank>&laquo;Мошенничество&raquo;, ст. 159 </a>, по которой можно и до десятки схлопотать, если &laquo;группой лиц&raquo; и &laquo;в особо крупном размере&raquo;. </p><p><p>Так вот, если в случае преступлений подобного масштаба (сотни тысяч рублей), совершенных &laquo;в реале&raquo;, преступников жд&pound;т гарантированная отсидка &mdash; то вот с компьютерными преступлениями вс&pound; наоборот весьма и весьма шоколадно. Не знаю, чем там &laquo;мотивируются&raquo; судьи, но часто и за гораздо более серь&pound;зные суммы киберкриминал в России (да и не только) получает весьма щадящие условные сроки (например, дело об ATM-трояне). Или судьям жаль &laquo;компьютерных мальчиков&raquo;, или они не считают настоящими &laquo;интернет-деньги&raquo;, а интернет-преступность не считают преступностью &mdash; не знаю... Только вот что-то мне подсказывает, что дело опять закончится &laquo;условно-досрочным ничем&raquo;. И ко мне снова прид&pound;т А. со словами &laquo;мы, похоже, не тем бизнесом занимаемся&raquo;, а опера и следователи привычно выматерятся и пойдут пить водку... (кстати, демотивация у них полная после условных сроков, которые получают их &laquo;подопечные&raquo;). </p><br><p>Вот я и думаю открыть тотализатор и начать принимать ставки. На тему &mdash; чем именно закончится суд над Винлокерами.</p><br><ol><br><li>Ничем. Оправдают.<br><li>Два года условно.<br><li>Три года условно.<br><li>Один год отсидки.<br><li>Два+ года отсидки.<br></ol><br><p>Я ставлю на троечку.</p><br><p>P.S.: А сегодня пришло продолжение истории. В рамках расследования этого уголовного дела к делу привлекается и &laquo;<a href='http://www.pravo.ru/news/view/37021' target=_blank>крупнейший контент-провайдер</a>&raquo;.</p><p><p>P.P.S.: Новости продолжают приходить с каждой минутой и теперь история приобретает более впечатляющий размах. В Москве были <a href=http://www.interfax-russia.ru/Moscow/main.asp?id=170807&sec=1664>арестовано 10 человек</a>. Злоумышленники действовали около года и, по оценкам сотрудников милиции, получили незаконный доход, превышающий более 500 млн рублей.</p> http://www.securelist.com/ru/blog/32886/Sud_nad_Vinlokerom_prinimayu_stavki 31 Aug 2010 18:14:00 +0400 Виталий Камлюк <p>Все мы знаем, что объектом атак киберпреступников становится вс&pound;, до чего они могут дотянуться. Мы в &laquo;Лаборатории Касперского&raquo; знаем также и то, что многие системные администраторы не слишком беспокоятся о безопасности своих интернет-ресурсов. Печально, но факт: спросите рядового сисадмина, надежно ли защищены его серверы. В ответ получите: &laquo;Да ладно! Кому нужен мой SQL-сервер?&raquo;</p><p><p>Несколько месяцев назад мы установили в нашем японском исследовательском центре в Токио новую &laquo;ловушку&raquo; <a href='http://www.mwcollect.org/' target=_blank>www.mwcollect.org</a>. &laquo;Ловушка&raquo; используется в основном для сбора вредоносных исполняемых файлов Windows, с чем она достаточно хорошо справляется, эмулируя шелл-код при обнаружении сетевых эксплойтов. Кроме того, при использовании &laquo;ловушки&raquo; для &laquo;прослушивания&raquo; всех портов мы получаем статистику (а также неожиданные данные) по разным сетевым портам хоста, имеющего глобальный IP-адрес. </p><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/32881.png" border=0 width=400 height=309 alt=''></p><p><p>На графике показано количество атак и нежелательных соединений на отдельных портах нашего сервера. Здесь приведены десять наиболее часто используемых злоумышленниками портов, но даже самый редко атакуемый порт в этом списке (порт 1130) получает порядка шестнадцати нежелательных соединений в день. <br>Вот таблица сервисов, стандартно использующих каждый порт:</p><p><p class=c><a href="http://www.securelist.com/ru/images/pictures/klblog/32883.png" target=_blank><img src="http://www.securelist.com/ru/images/pictures/klblog/32884.png" border=0 alt=''></a></p><p><p>Надеюсь, этого вполне достаточно, чтобы доказать вам, что в интернете все-таки есть те, кому нужен ваш SQL сервер (и кое-что еще&#8230;). Данные, приведенные выше, показывают, что в Сети полным-полно мальчишей-плохишей, которые ищут лазейки в незащищенных хостах. Кто-то из них пытается найти машины, на которых установлен Backdoor.Win32.Noknok, другие пытаются взломать легитимные сервисы, такие как Radmin и Windows Remote Desktop.</p><br> <br><p>Хотите знать, кто именно ведет охоту на плохо защищенные ресурсы? Вот еще один график, показывающий, сколько соединений с нашей &laquo;ловушкой&raquo; производится ежедневно из разных стран:</p><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/32885.png" border=0 alt=''></p><p><p>Задержитесь на минутку и сравните этот график с предыдущим! Вы увидите, что количество MSSQL-атак коррелирует с количеством атак, исходящих из Китая. А недавно к этой массированной атаке на сервис MSSQL присоединились и южнокорейские хосты. </p><p><p>&laquo;Ловушка&raquo; помогает нам получить ценную информацию, которую мы изучаем и анализируем. Кроме того, это достаточно недорогое развлечение. Мы используем для &laquo;ловушки&raquo; компьютер с процессором Pentium III 500 МГц и 384 Мб ОЗУ, который в наши дни стоит, наверное, меньше $100. Поэтому, если вы собираетесь выбросить старый медленный компьютер, подумайте лучше о том, чтобы установить на него &laquo;ловушку&raquo;! </p> http://www.securelist.com/ru/blog/32879/Komu_nuzhen_vash_SQL_server 26 Aug 2010 16:20:00 +0400 Дмитрий Бестужев <p>Когда мы говорим о самых активных странах-производителях вредоносного ПО, то в первую очередь всегда называем Россию, Китай и Бразилию. Однако в последнее время в пятерке лидеров появился новичок &ndash; Мексика.</p><br><p>В нашем ежемесячном аналитическом отчете о ситуации с вредоносным ПО в Латинской Америке, публикуемом на <a href='http://www.viruslist.com/sp/'>Viruslist</a> и <a href='http://threatpost.com/es_la?set_region=es_la' target=_blank>Threatpost</a> (оба ресурса на испанском языке) мы уже упоминали, что Мексика известна организацией локальных ботнетов.</p><br><p>21 августа сотрудники &laquo;Лаборатории Касперского&raquo; обнаружили новый IM-червь, который распространяется почти через все известные интернет-пейджеры, включая Skype, Google Talk, Yahoo Messenger и Live MSN Messenger. Зловреду было присвоено имя <span<br> style="font-weight: bold; color: red;">IM-Worm.Win32.Zeroll.a</span>.</p><br><p>Он &laquo;говорит&raquo; на 13-ти языках (включая испанский и португальский) &ndash; в зависимости от языковой локализации Windows на зараженном компьютере. Есть основания полагать, что червь родом из Мексики. Он написан на Visual Basic и управляется через IRC-канал (старая ботнет-технология, примененная мексиканскими вирусописателями). </p><br><p>По данным KSN (Kaspersky Security Network), самое большое число заражений новым червем зарегистрировано в Мексике и Бразилии.</p><br><p>Похоже, его создатели находятся сейчас на первом этапе своего &laquo;проекта&raquo;, то есть стремятся заразить как можно больше машин, чтобы затем получать выгодные предложения от других преступников, в т.ч. предусматривающие оплату за количество зараженных компьютеров, использование их для рассылки спама и др. </p><p><p>Стоит упомянуть, что только три антивирусных решения (включая продукты &laquo;Лаборатории Касперского&raquo;) детектируют эту угрозу.</p> http://www.securelist.com/ru/blog/32878/Novyy_IM_cherv_iz_Latinskoy_Ameriki 24 Aug 2010 16:34:00 +0400 Закоржевский Вячеслав <p>Совсем недавно у нас был обнаружен интересный PNG-файл. При его открытии появляется изображение, которое призывает пользователя открыть файл в MS Paint&#8217;е и пересохранить его в формате HTA. </p><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/32873.png" border=0 alt=''><br><br><span class=small><strong>Оригинальная PNG-картинка</strong></span></p><p><p>Мне это показалось довольно подозрительным, так как HTA-файл может выполнять деструктивную деятельность. Этот формат фактически не отличается от HTML, за исключением того, что последний работает в контексте браузера, а HTA &ndash; в контексте отдельного приложения.</p><br><p>Первым делом, для разбора исходной картинки, я решил е&pound; распаковать, так как все PNG-файлы упакованы алгоритмом deflate. На выходе мною было получено неупакованное BMP-изображение. Открыв его в Hiew, я сразу же понял замысел злоумышленников. Практически сразу за BMP-заголовком располагается скрипт, написанный на JavaScript. Таким образом, пересохранив файл в HTA и открыв его, пользователь фактически запустит скрипт.</p><p><p class=c><a href="http://www.securelist.com/ru/images/pictures/klblog/32874.png" target=_blank><img src="http://www.securelist.com/ru/images/pictures/klblog/32875.png" border=0 alt=''></a><br><br><span class=small><strong>Фрагмент оригинального PNG-файла, преобразованного в BMP</strong></span></p><p><p>Сам скрипт обладает крайне любопытным функционалом. Вначале он прописывается в автозагрузку, что довольно стандартно. А затем он обращается к разделу "random" популярного портала 4chan.org, выд&pound;ргивая из тем произвольные фразы. Далее с помощью встроенного EXE-файла происходит генерация новой картинки, в которой, помимо предложения о пересохранении в HTA, используются взятые с 4chan.org слова. Самым последним этапом является публикация полученного изображения в ту же самую ветку форума, из которой извлекались случайные слова.</p><br><p>В этом скрипте используется оригинальный способ для обхода CAPTCHA. Он базируется на использовании популярных английский слов и сервиса RECAPTCHA от Google. На скриншотах представлены фрагменты кода, отвечающего за использование обоих методов.</p><p><p class=c><a href="http://www.securelist.com/ru/images/pictures/klblog/32876.png" target=_blank><img src="http://www.securelist.com/ru/images/pictures/klblog/32877.png" border=0 alt=''></a><br><br><span class=small><strong>Фрагменты скрипта, отвечающего за обход механизма CAPTCHA</strong></span></p><p><p>В итоге полный цикл работы зловреда выглядит следующим образом: добавление HTA-файла в автозагрузку, генерация новой картинки и, наконец, публикация поста, содержащего сгенерированное изображение, на форуме. По сути, никакой истинно вредоносной нагрузки для пользователя этот зловред не нес&pound;т, но сам факт распространения и внесения изменений в систему не является легальным. Очень интересным оказался механизм переноса скрипта в запакованной PNG-картинке. Совершенно непонятно, какую цель преследовали разработчики данной поделки. Возможно, им хотелось продемонстрировать возможный способ скрытого переноса вредоносного кода.</p> http://www.securelist.com/ru/blog/32872/Sokhrani_i_otkroy_menya 24 Aug 2010 16:18:00 +0400 Дарья Бронникова <p>Уже которую неделю подряд в тематическом распределении спама с большим отрывом лидирует рубрика &laquo;Медикаменты; товары/услуги для здоровья&raquo; (+3,0%), ее доля составляет около трети всего спама рунета. Заметно больше на прошлой неделе стало &laquo;Рекламы спамерских услуг&raquo; (+4,4%), а также &laquo;Компьютерного мошенничества&raquo; (+2,2%).</p><br><p><b>Пятерка лидирующих тематик:</b></p><br><ul><br><li>Медикаменты; товары и услуги для здоровья &mdash; 33,2% (+3,0%) <br><li>Образование &mdash; 14,8% (-1,5%)<br><li>Компьютерное мошенничество &mdash; 11,3% (+2,2%)<br><li>Реклама спамерских услуг &mdash; 10,7% (+4,4%)<br><li>Личные финансы &mdash; 4,1% (+0,4%) <br></ul></p><br><p>Доля спама в почтовом трафике русскоязычного сектора интернета на прошлой неделе в среднем составила 82,6%.</p> http://www.securelist.com/ru/blog/34336/Spam_patrul_16_22_avgusta 23 Aug 2010 13:59:14 +0400 Дарья Бронникова <p>На прошедшей неделе стало заметно приближение осени &mdash; резко выросла доля рубрики &laquo;Образование&raquo; (+11,1%), которая вышла на второе место в тематическом распределении спама. Схлынула волна предложений &laquo;Реплик элитных товаров&raquo; (-11,4%). Тематика &laquo;Медикаменты; товары/услуги для здоровья&raquo; по-прежнему составляет почти треть всего потока.</p><br><p><b>Пятерка лидирующих тематик:</b></p><br><ul><br><li>Медикаменты; товары и услуги для здоровья &mdash; 30,2% (-0,1%) <br><li>Образование &mdash; 16,3% (+11,1%)<br><li>Коллекции видео на DVD &mdash; 12,0% (+1,9%) <br><li>Компьютерное мошенничество &mdash; 9,1% (-0,7%)<br><li>Реплики элитных товаров &mdash; 7,4% (-11,4%) <br></ul></p><br><p>Доля спама в русскоязычном секторе интернета за прошедшую неделю составила 83,8%.</p><br><p>Использование темы погоды этим летом как никогда выигрышно.</p><br><p style="font-weight:bold; font-size:11 px;">Приглашение</p><br><p class=c><table border=1 width=90% cellpadding=5 cellspacing=5><br><tr><td><br>Слава Богу смог отступил,но жара по-прежнему. а <font color=red><b><i>НА ВОДЕ ПРОХЛАДНО И ИСКУПАТЬСЯ И НА ПАРОХОДЕ ПОКАТАТЬСЯ.</b></i></font><br><br><p>А ещ&pound; пивка попить и мясо с рыбкой на гриле и свежие овощи фрукты. У вас компания от 10 до 50 человек, мы все организуем.<br><br><p>Контактный телефон <font color=red>{tel}</font> Виктор.<br><br><p><font size=2>Бочка пива в подарок от капитана!</font><br></td></tr></table></p> http://www.securelist.com/ru/blog/34333/Spam_patrul_9_15_avgusta_2010_goda 18 Aug 2010 15:46:38 +0400 Дарья Бронникова <p>На прошлой неделе рубрика &laquo;Медикаменты; товары/услуги для здоровья&raquo; продолжила лидировать, ее доля составила почти треть всего спам-потока. Больше стало &laquo;Компьютерного мошенничества&raquo; за счет писем с подозрительными zip-вложениями (+3,3%), а также &laquo;Рекламы спамерских услуг&raquo; (+2,7%).</p><br><h3>Пятерка лидирующих тематик:</h3><br><ul><br><li>Медикаменты; товары и услуги для здоровья &mdash; 30,3% (+1,4%)<br><li>Реплики элитных товаров &mdash; 18,8% (+1,4%) <br><li>Коллекции видео на DVD &mdash; 10,1% (-0,4%)<br><li>Компьютерное мошенничество &mdash; 9,7% (+3,3%)<br><li>Реклама спамерских услуг &mdash; 6,7% (+2,7%) <br></ul><br><p>Доля спама в русскоязычном секторе интернета за прошедшую неделю составила 82,5%.</p> http://www.securelist.com/ru/blog/34328/Spam_patrul_2_8_avgusta_2010_goda 11 Aug 2010 21:20:44 +0400 Дэвид Эмм <p>Похоже, BBC снова экспериментирует со зловредами .... Компания сообщила создании своего приложения для смартфона, которое также способно шпионить за действиями пользователя взломанного устройства.</p><br><p>Возможно, читатели блога помнят, что BBC уже не является новичком в этой области. В марте 2009 компания повергла всех в изумление, когда &laquo;приобрела&raquo; ботнет. Вскоре после этого она также <a href='http://www.securelist.com/en/blog/208187647/BBC_crosses_the_line_again'>купила персональную информацию</a>, включая номера кредитных карт, у одного &laquo;посредника&raquo; из Индии.</p><br><p>В данном случае речь не идет о нарушении какого-либо закона: BBC не распространяли данное приложение. Однако мы считаем действия компании неэтичными и неразумными. В электронном мире и без того достаточно вредоносных программ, чтобы приличные люди разрабатывали свой собственный вредоносный или потенциально вредоносный код, как свидетельствует <a href='http://www.securelist.com/ru/blog/34327/Pervyy_SMS_troyanets_dlya_Android'>блог Дениса</a>.</p> http://www.securelist.com/ru/blog/32871/Ups_oni_snova_sdelali_eto 11 Aug 2010 16:49:00 +0400 Денис Масленников <p>Думаю, что из названия поста уже понятно: обнаружен первый троянец для Android.</p> <br><p>Trojan-SMS.AndroidOS.FakePlayer.a выдает себя за легитимное приложение - видеоплеер. Если пользователь установит его, то в списке программ появится вот такая иконка:</p><br><p class=c><img src="images/pictures/klblog/34329.png" border="1" alt="" title=""></p><br><p>FakePlayer отсылает SMS-сообщения на 2 коротких номера &ndash; 3353 и 3354. Каждое сообщение обойдется пользователю примерно в 170 рублей, причем отправка SMS происходит скрытно безо всяких подтверждений со стороны владельца смартфона.</p> http://www.securelist.com/ru/blog/34327/Pervyy_SMS_troyanets_dlya_Android 11 Aug 2010 13:22:37 +0400 Юлия Нестерова <p>Согласно данным, представленные в отчете Исследовательской лаборатории RSA, крупные финансовые учреждения в США чаще других организаций подвергаются атакам фишеров.</p><p><p>С февраля этого года эксперты Anti-Fraud Command Center лаборатории RSA отмечают заметный рост фишинговых атак на крупнейшие общенациональные банки США. С июня 2009 по февраль 2010 года на этот сектор приходилось от 19 до 30% всего финансового фишинга. Летом эта цифра выросла практически в 2 раза, достигнув максимума в 68% в июне. На фоне роста интереса к крупным банкам фишеры стали реже атаковать мелкие региональные финансовые организации: если еще в декабре 71% атак приходился на региональные банки и 19% на банки общенационального уровня, то в июне соотношения кардинально поменялось: 28% против 68%.</p><p><p>Правда, после скачка в июне последовал спад на 16% по сравнению с предыдущим месяцем. По мнению экспертов RSA, снижение активности фишеров вызвано приостановкой деятельности группы Rock Phish (она же &mdash; Avalanche), которая на тот момент перенаправила свои усилия в область распространения вредоносного ПО. </p><p><p>В июне фишинг-атаки проводились против 216 банковских брендов по всему миру, что на 3% меньше, чем в мае. В июне 120 брендов преследовались с более низкой интенсивностью, но в поле интереса фишеров попали еще 19 новых банков. Больше всего интересующих фишеров организаций естественно оказалось в США &mdash; 48% от общего числа банков, подвергшихся атакам хакеров. В Великобритании таких оказалось намного меньше &mdash; 15,5%. Остальные страны не вышли за пределы 6%.</p><p><p>Наиболее привлекательными для фишинга стали американские банки &mdash; как было сказано выше, на них пришлось 63% общемирового количества финансовых фишинг-атак. На втором месте в этом рейтинге оказались Австралия и Канада (6% и 5%). Интерес хакеров к банкам Великобритании, Германии, Китая, Южной Кореи и Франции не превышал 3-5%. На Россию пришлось только 2% от всего количества фишинговых нападений. По объемам распространяемого фишинга первые три места достались США (39%), Великобритании (32%) и ЮАР (13%).</p> http://www.securelist.com/ru/blog/32870/Amerikanskie_banki_nakryla_volna_fishinga 05 Aug 2010 16:35:00 +0400 Юлия Нестерова <p>На прошлой неделе Ponemon Institute опубликовал анализ финансовых потерь, которые несут коммерческие и правительственные организации из-за кибератак. В исследовании использовались данные по 45 американским организациям.</p><p><p>Так, в среднем атаки кибер-злоумышленников обходятся компании в 3,8 миллионов долларов ежегодно, причем эта цифра может колебаться от 1 до 52 миллионов долларов в год. В целом, на все организации, участвующие в исследовании, пришлось порядка 50 успешных кибератак в неделю. </p><p><p>Наиболее дорого компаниям обходятся веб-атаки, распространение вредоносного кода и внутрисетевые утечки информации. На борьбу с этими видами киберпреступлений уходит более 90% всех затрат компании в данной области. </p><p><p>За четырехнедельный период исследования 80% компаний пережили нападение вирусов, червей и троянов. 73% подверглись атакам фишеров и социально-техническим нападениям, в ходе которых злоумышленники пытаются ввести в заблуждение пользователей или администраторов. В 62% случаев потери компании были связаны с внутрисетевыми утечками информации. В 47% совершались попытки распространения вредоносного ПО, и еще 29% всех нападений были связано с внедрением вредоносного кода и попытками включить компьютер в бот-сеть.</p><p><p>Для устранения проблем, вызванных кибератакой, организации требуется в среднем 14 дней, причем ежедневные затраты при этом составляют 17696 долларов. Внутрисетевые атаки обходятся "дороже" по времени - до 42 дней и более. Это объясняется тем, что утечка конфиденциальной информации грозит срывом деловых операций, что в результате приводит к увеличению внешних затрат компании на 42%. В год перерасход компании может составить до 36% прямых производственных затрат, 13% косвенных расходов на оплату труда, 8% накладных расходов, 30% амортизированной стоимости. Производительность при этом снижается на 13%.</p><p><p>От кибератак страдают любые организации, вне зависимости от отрасли производства, но более других для киберпреступников привлекательны организации, оказывающие финансовые, энергетические услуги, а также услуги по обеспечению безопасности.</p><p><p>Крупные компании чаще подвергаются кибератакам, однако небольшие организации, несмотря на относительно меньший интерес к ним со стороны криминальных участников интернет-сообщества, несут заметно большие потери в процентном соотношении. И если крупные организации более интересны для фишинг-атак, что средние и небольшие компании чаще подвергаются атакам, нацеленным на распространение вредоносного ПО и вирусов.</p> http://www.securelist.com/ru/blog/32869/Kiberataki_obkhodyatsya_kompaniyam_ot_1_do_52_millionov_dollarov_ezhegodno 05 Aug 2010 16:30:00 +0400 Юлия Нестерова <p>Исследовательская группа компании AVG сообщает об увеличении частоты использования платного набора эксплоитов Eleonore для проведения кибератак. </p><p><p>На протяжении двух месяцев AVG наблюдала за 165 уникальными доменами, с которых проводились атаки при помощи версии Eleonore 1.3.2, хотя были зафиксированы и случаи применения более поздней версии v1.4.x.</p><p><p>За двухмесячный период со 165 доменов при помощи Eleonore было совершено порядка 12 миллионов атак. При вероятности успеха 10% число зараженных машин составило более 1,2 миллионов. Более других стран пострадала Россия &mdash; по числу инфицированных компьютеров она стала лидером в списке стран, пострадавших от атак Eleonore. На втором месте Украина, на третьем оказались США. В первую десятку также вошли Великобритания, Вьетнам, Германия, Испания, Казахстан и Португалия</p><p><p>Eleonore использует уязвимости в Sun JVM, Adobe Acrobat Reader, Internet Explorer 6 и 7, FireFox и др. Наиболее уязвимым для эксплойта оказался IE6 &mdash; в 33,8% атак нападение увенчалось успехом. Самым защищенным оказался браузер Safari &mdash; только 2,78% попыток пробиться сквозь его защиту принесли хакерам успех. Самыми эффективными оказались атаки при использовании совместимых с браузерами приложений, таких как Sun JVM и Adobe Acrobat Reader.</p> http://www.securelist.com/ru/blog/32868/Platnyy_tulkit_stanovitsya_populyarnym_sredi_khakerov 05 Aug 2010 16:20:00 +0400 Дарья Бронникова <p>На прошлой неделе в тематическом распределении спама продолжала лидировать рубрика &laquo;Медикаменты; товары/услуги для здоровья&raquo;, доля которой приближается к 30%. Сильно выросло количество предложений &laquo;Реплик элитных товаров&raquo; (+7,2%), также киноколлекций на DVD (+2,6%). Уменьшились доли тематик &laquo;Образование&raquo; (-4,6%) и &laquo;Компьютерное мошенничество&raquo; (-4,6%). </p><br><h3>Пятерка лидирующих тематик:</h3><br><ul><br><li>Медикаменты; товары и услуги для здоровья &mdash; 28,9% (+1,9%)<br><li>Реплики элитных товаров &mdash; 17,4% (+7,2%) <br><li>Коллекции видео на DVD &mdash; 10,5% (+2,6%)<br><li>Образование &mdash; 8,5% (-4,4%) <br><li>Компьютерное мошенничество &mdash; 6,4% (-4,6%) <br></ul><br><p>Доля спама в русскоязычном секторе интернета за прошедшую неделю составила 83,9%.</p> http://www.securelist.com/ru/blog/34325/Spam_patrul_26_iyulya_1_avgusta_2010_goda 04 Aug 2010 17:45:10 +0400 Костин Раю <p>Буду краток, но хотелось бы обратить ваше внимание &mdash; наконец выпущен бюллетень безопасности Microsoft <a href='http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx' target=_blank>MS10-046</a>, представляющий заплату для уязвимости LNK, которая изначально эксплуатировалась вредоносной программой <a href='http://www.securelist.com/en/blog/283/Myrtus_and_Guava_Episode_5'>Stuxnet</a>. Если вы еще не установили патч, обязательно сделайте это. Эта критическая уязвимость активно эксплуатируется киберпреступниками.</p><p><p>В то же время мы получили несколько сообщений об определенных проблемах с установкой патча MS10-046: при первой перезагрузке Explorer загружает центральный процессор настолько, что для нормальной работы компьютер необходимо перезагрузить.</p><p><p>Сообщите нам, сталкиваетесь ли вы с трудностями при установке этого критически важного обновления от Microsoft или же, наоборот, не испытываете никаких проблем.</p> http://www.securelist.com/ru/blog/32867/Patch_LNK_vypushchen 04 Aug 2010 12:54:00 +0400 Костин Раю <p>Вот и снова лето! Люди пытаются спастись от жары и пыли больших городов в более привлекательных уголках земли. А что же мы делаем в первую очередь, когда отпуск закончился, и мы вернулись на работу? </p><br><p>Конечно же, вывешиваем фотографии в Сети! </p><br><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/32863.jpg" border=0 width=400 height=300 alt=''></p><br><p>Однако немногим известно, что фотография &mdash; это нечто больше, чем просто изображение. Каждый цифровой снимок содержит много интересной информации, которая по большей части расположена в EXIF файла JPG:</p><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/32864.png" border=0 width=502 height=680 alt=''></p><br><p>Существует множество программ, читающих EXIF-данные фотографии, например, <a href='http://www.irfanview.com/' target=_blank>IrfanView</a>. Что касается этой фотографии, видно, что она была сделана фотоаппаратом Sony DSC-W300. Это маленькая компактная &laquo;мыльница&raquo;, которая была снята с производства. Из-за финансового кризиса или по какой-либо другой причине человек, сделавший фотографию, еще не купил новую модель.</p><br><p>Интересно также посмотреть на дату. Фотография была сделана в 1:30 ночи (время на фотоаппарате GMT+2), 18 сентября 2009 года, но солнце на ней еще светит. В море купаются несколько человек, но пляж немноголюден, а значит, это совсем раннее утро или же время после заката. В данном случае местное время 18:30. Попробуйте угадать, где была сделана фотография.</p><br><p>Какую еще информацию можно извлечь из фотографии? В этом отношении особенно интересны iPhone, так как в них есть GPS-координаты того места, где был сделан снимок. В данном случае координаты GPS выглядели бы следующим образом:</p><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/32865.png" border=0 width=266 height=104 alt=''></p><p><p>Почему это имеет значение? Да потому, что фотография, которую вы сделали у себя дома или во время отпуска, может содержать информацию о вашем местонахождении, давая подсказки ворам или другим злоумышленникам. Еще одна ситуация например, американский гражданин, отправляющийся на Кубу, не желает делать эту информацию публичной, но хотел бы показать свои фотографии. </p><br><p>Существует довольно много бесплатных инструментов для удаления EXIF-информации со снимка до его загрузки на компьютер. Один из них &mdash; "<a href='http://www.sentex.ca/~mwandel/jhead/' target=_blank>JHead</a>" Маттиаса Уандела (Matthias Wandel).</p><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/32866.jpg" border=0 width=640 height=244 alt=''></p><p><p>Интересно то, что с фотографий, загружаемых в Facebook, EXIF-информация стирается по умолчанию. В отличие от других сайтов, например таких, как Flickr и Twitpic. Поэтому, публикуя фотографии в Сети, будьте осторожны, если не хотите раскрывать информацию о том, где и когда они были сделаны, и каким фотоаппаратом вы пользовались! </p> http://www.securelist.com/ru/blog/32862/Moi_otpusknye_fotografii 02 Aug 2010 18:37:00 +0400 Георг Вишерски <p>В процессе работы по созданию эффективной системы generic-детектирования шелл-кода и проверки результатов на сгенерированных случайным образом входных данных мне пришлось применять <a href='http://www.vr-online.ru/?q=content/fuzzing-tehnologija-ohoty-za-bagami-752'>фаззинг</a> (fuzzing) для тестирования различных дизассемблеров с открытым исходным кодом. В качестве дизассемблера для своего нынешнего проекта я выбрал библиотеку <a href='http://code.google.com/p/libdasm/'>libdasm</a>, ориентируясь на относительно давнюю историю ее развития и лицензию, относящую ее к категории общественного достояния. Однако очевидно, что написание качественного и полного дизассемблера для x86 процессоров &ndash; нетривиальная задача в силу сложности <a href='http://www.intel.com/products/processor/manuals/'>набора команд процессоров, основанных на архитектуре x86</a>.</p><p><p>В прошлом для libdasm были характерны проблемы, связанные с некорректным дизассемблированием некоторых инструкций с плавающей точкой, но они были вызваны простой ошибкой, которая заключалась в сдвиге значений в таблицах опкодов на три единицы (были пропущены три ряда со значениями NULL), и поэтому <a href='http://code.google.com/p/libdasm/source/detail?r=3'>исправить ошибку</a> было относительно легко.</p><p><p>Но сегодня я наткнулся на проблему, которая, по-видимому, связана не с опкодами, а с ошибкой, приводящей к неверной расшифровке инструкций. При дизассемблировании инструкций, использующих префикс размера адреса, libdasm его не учитывает, что приводит к получению неверного значения длины инструкции, вследствие некорректного распознования размера операнда, использующего непосредственный адрес:</p><p><p><pre><br>[~] Verifying shellcode candidate offset 8eb0f0<br> 008fe0f0[ 67a02232e830] > mov al,[0x30e83222]<br> 008fe0f6[ 61] > popa <br> 008fe0f7[ f9] > stc <br> 008fe0f8[ ff4038] > inc [eax+0x38]<br> 008fe0fb[ b269] > mov dl,0x69<br> 008fe0fd[ 52] > push edx<br> 008fe0fe[ 3f] > aas <br> 008fe0ff[ 5e] > pop esi<br> 008fe100[ 1a3dc31168aa] > sbb bh,[0xaa6811c3]<br> 008fe106[ 59] > pop ecx<br> 008fe107[ 9c] > pushf <br> 008fe108[................] <<br></pre></p><p><p>Инструкция по адресу <code>008fe0f0</code> виртуализированной памяти расшифровывается неверно:<br><ul><br><li><code>67</code> это вышеупомянутый префикс размера адреса</li><br><li><code>a0</code> это код операции <code> mov al, moffs8</code></li><br><li><code>2232</code> это 16-разрядный адрес, который должен интерпретироваться как операнд</li><br><li><code>e830</code> <b>не</b> относится к данной инструкции<br></ul></p><p><p>Исходя из принципа, что при обнаружении экзотической болезни следует проконсультироваться со вторым врачом, я решил попытать счастья еще с одним дизассемблером &ndash; библиотекой <a href="http://udis86.sourceforge.net/">udis86</a>:</p><p><p><pre>$ udcli -noff -32 -s `python -c 'print 0x8eb0f0'` -c 10 shellcode/urandom.bin <br>67a02232 a16 mov al, [0x3222] <br>e83061f9ff call 0xfffffffffff96139 <br>40 inc eax <br></pre></p><p><p>Отлично &ndash; в этот раз инструкция <code>mov</code> дизассемблировалась правильно. И, поскольку последовательность байт <code>e830</code> уже не интерпретируется как часть операнда, указывающего на память инструкции <code>mov</code>, она теперь верно дизассемблируется как инструкция <code>call rel32</code>. К сожалению, udis86 &ndash; дизассемблер, поддерживающий набор команд x86-64, и он расширяет операнд инструкции <code>call</code>, до 64 битов с сохранением знака, вновь приводя к ошибке при дизассемблировании.</p><p><p>Какие же инструкции в действительности &laquo;видит&raquo; и исполняет мой процессор? Поскольку мы в любом случае имеем дело с эмуляцией кода, мы можем просто установить точку останова <code>(int 3)</code> в начале блока и начать пошаговую отладку под управлением gdb (за вычетом кое-какого мусора):</p><p><p><pre>Program received signal SIGTRAP, Trace/breakpoint trap.<br>(gdb) disas $eip, $eip+5<br>=> 0x0804b0c1: jmp 0x804b134<br>(gdb) si<br>(gdb) disas $eip, $eip+10<br>Dump of assembler code from 0x804b134 to 0x804b13e:<br>=> 0x0804b134: addr16 mov 0x3222,%al<br> 0x0804b138: call 0x7fe126d<br> 0x0804b13d: inc %eax<br>End of assembler dump.<br>(gdb) si<br>(gdb) si<br>(gdb) disas $eip, $eip+10<br>Dump of assembler code from 0x7fe126d to 0x7fe1277:<br>=> 0x07fe126d: Cannot access memory at address 0x7fe126d</pre></p><p><p>Таким образом, процессор действительно видит инструкцию call и пытается ее выполнить. В данном случае это могло бы привести к катастрофическим результатам, поскольку позволило бы коду, использующему уязвимость, дающую возможность повышения привилегий для выполнения произвольного кода (вероятнее всего, шелл-коду) преодолеть защиту, обеспечиваемую виртуализацией. Чтобы можно было корректно обработать файл в виртуализаторе необходимо в программе заменить все инструкции, изменяющие регистр EIP, такие как CALL. Однако если такая инструкция не встречается в дизассемблерном листинге, то мы е&pound; не сможем корректно обработать.</p><p><p>После установки патча для libdasm (которая, как оказалось, вообще игнорирует префиксы размера адреса при разборе операндов) получаем правильно дизассемблированный код:</p><p><p><pre><br>[*] 543 shellcode candidate offsets<br>[~] Verifying shellcode candidate offset 8eb0f0<br> 008fe0f0[ 67a02232] > mov al,[0x3222]<br> 008fe0f4[................] <<br>Emulating 008fe0f4: call 0x894229<br>Emulating CALL instruction from 8fe0f9.<br></pre></p><p><p>Усвоенные сегодня уроки:<br><ul><br><li>Включение в процесс тестирования ПО фаззинга (fuzzing) с использованием произвольных вводных данных &ndash; отличная мысль, позволяющая (как в данном случае) выявлять интересные уязвимости. В данном случае использовать уязвимость все равно было бы очень непросто, поскольку сегменты кода и данных указывали на разные базовые адреса, но опытный злоумышленник, возможно, смог бы успешно осуществить атаку. <br><li>Общедоступная версия libdasm неверно дизассемблирует все инструкции с префиксом размера адреса, порождая интересные версии атаки на некоторые проекты, использующие эту библиотеку. Ждите выпуска патча для libdasm!<br></ul></p> http://www.securelist.com/ru/blog/32861/Interpretatsii_baytkoda_dlya_x86_protsessorov_podvodnye_kamni 29 Jul 2010 11:56:00 +0400 Дарья Бронникова <p>На прошлой неделе пятерка лидирующих тематик немного изменилась. Продолжает расти доля рубрики &laquo;Медикаменты; товары/услуги для здоровья&raquo; (+7,0%), письма, на разный лад расхваливающие таблетки для повышения потенции, составляют уже больше четверти всего потока спама. Снова пробились в пятерку лидеров предложения видеоколлекций, рассылаемых по почте (+5,8%).</p><br><p><b>Пятерка лидирующих тематик:</b></p><br><ul><br><li>Медикаменты; товары и услуги для здоровья &mdash; 27,0% (+7,0%) <br><li>Образование &mdash; 12,9% (-0,9%) <br><li>Компьютерное мошенничество &mdash; 11,0% (-0,2%)<br><li>Реплики элитных товаров &mdash; 10,2% (+0,4%) <br><li>Коллекции видео на DVD &mdash; 7,9% (+5,8%)<br></ul></p><p><p>Доля спама в русскоязычном секторе интернета за прошедшую неделю составила 84,4%.</p> http://www.securelist.com/ru/blog/34318/Spam_patrul_19_25_iyulya_2010_goda 28 Jul 2010 16:36:13 +0400 Закоржевский Вячеслав <p>Недавно я наткнулся на подозрительный pdf-файл и решил его исследовать. После распаковки был получен xml&ndash;файл с TIFF-изображением. Однако выглядело оно очень странно. Выяснилось, что xml&ndash;файл содержит эксплойт, который эксплуатирует уязвимость <a href = "http://www.securelist.com/ru/blog/32466/I_snova_mnogostradalnyy_Adobe">CVE-2010-0188</a>.</p><br><p>Мне показалось странным, что раньше подобного рода файлы почти не встречались, и я решил запросить статистику по срабатыванию данной уязвимости.</p><p><p class=c><img src="images/pictures/klblog/34316.JPG" border="1" alt="" title="" width = 600 height = 400></p><br><p align = "center"><b>Статистика по срабатыванию уязвимости CVE-2010-0188</b></p> http://www.securelist.com/ru/blog/34314/Zbot_atakuet_cherez_PDF 27 Jul 2010 16:22:00 +0400 Татьяна Никитина <p>Компания Imperva <a href='http://blog.imperva.com/2010/07/gnarley-new-phishing-kit.html'>обнаружила</a> готовый комплект для проведения фишинговых атак, который использует &laquo;облачные&raquo; технологии и обеспечивает правообладателям доступ к информации, украденной &laquo;коллегами&raquo; по ремеслу.</p> <p><p>Login Spoofer 2010 предлагается для скачивания на хакерских форумах. Он позиционируется как &laquo;бесплатный&raquo; софт, доступный для зарегистрированных пользователей. С его помощью можно создавать поддельные страницы регистрации в бесплатной почте, социальных сетях, на игровых и файлообменных сервисах, в Skype, PayPal и т.п., а затем продвигать их в фишинговых рассылках. Однако, в отличие от других аналогичных инструментов, Login Spoofer снабжен функцией бэкдора: все конфиденциальные данные, собранные с его помощью, отсылаются без ведома исполнителей на сервер авторов проекта. По свидетельству экспертов, он создан в Алжире и сопровождается документацией на арабском языке, хотя пользовательский интерфейс выполнен на английском.</p><p><p>Таким образом, владельцам фишингового инструмента не нужно самим заниматься &laquo;грязной&raquo; работой и проводить фишинговые рассылки. Страницы, создаваемые фишерами-посредниками с помощью Login Spoofer, недолговечны, их быстро вычисляют и блокируют. Однако его центральный репозиторий хостится отдельно от страниц-ловушек; обнаружить и нейтрализовать такую инфраструктуру гораздо сложнее. Рядовые исполнители могут по разным причинам выбыть из игры, но вместо них придут другие охотники попытать счастья с новым инструментом. Ту программу, что попала к исследователям Imperva, скачали более 200 тыс. регистрантов.</p><p><p>Схема присвоения фишерами результатов труда своих собратьев не нова. В начале 2008 года был <a href='http://www.securelist.com/ru/blog/28972/Marokkanskie_fishery_zagrebayut_zhar_rukami_fisherov_novichkov'>обнаружен</a> веб-сайт, на котором марокканская группировка Mr-Brain продвигала аналогичную программу, тоже якобы бесплатную. Помимо обычных функций, присущих фишинговому инструментарию такого класса, сей комплект для сетевых атак предусматривал скрытную отправку похищенных данных на адреса участников группировки.</p> http://www.securelist.com/ru/blog/32858/Fishing_kak_servis_nebozhiteli_i_proksi_khakery 26 Jul 2010 11:31:00 +0400 Татьяна Никитина <p>Словенская полиция <a href='http://www.theregister.co.uk/2010/07/22/mariposa_botnet_arrests/'>задержала</a> трех молодых людей, подозреваемых в причастности к созданию вредоносной программы, с помощью которой был построен одиозный ботнет <a href='http://www.securelist.com/ru/weblog/32452/Adis_Mariposa'>Mariposa</a> (исп. &laquo;бабочка&raquo;).</p><p><p>Двое из них недавно окончили университет в городе Марибор по специальности &laquo;Вычислительная техника&raquo;, третий &ndash; студент того же профиля. Полиция совершила несколько обысков и изъяла компьютеры и сопутствующее оборудование. В расследовании принимает участие ФБР. Если вина мариборчан будет доказана, им по местному законодательству <a href='http://24ur.com/novice/crna-kronika/mariborcan-z-virusi-do-luksuznega-stanovanja.html'>грозит</a> до 1 года тюремного заключения за создание и продажу зловреда, который по непроверенным данным продается за 40 тыс. евро. Им могут также вменить несанкционированный доступ к информационным ресурсам, который карается сроком до пяти лет. Суд, скорее всего, состоится на территории Словении.</p><p><p>Интересно, что покажет дальнейшее расследование, ибо данная вредоносная программа, по отзывам экспертов, написана с большим профессионализмом. Она содержит функционал бэкдора, способна загружать на зараженный компьютер другие программы и весьма эффективно распространяется через р2р-сети, USB-накопители и системы мгновенного обмена сообщениями. В составе ботнета Mariposa было выявлено 12,7 млн. IP-адресов, привязанных к ресурсам 190 стран.</p> <p><p>Испанские власти обнаружили 800 тыс. идентификаторов, похищенных владельцами этой зомби-сети. Однако обвинения похитителям до сих пор не предъявлены: в Испании обладание таким инструментом, как и распространение зловредов, не считается криминалом. Полиция собирает улики, отрабатывая версию хищения в крупных размерах. Трое бывших совладельцев Mariposa пока на свободе и, оставшись без постоянной статьи дохода, <a href='http://krebsonsecurity.com/2010/05/accused-mariposa-botnet-operators-sought-jobs-at-spanish-security-firm/'>предприняли</a> несколько отчаянных попыток устроиться на работу в компанию, принявшую участие в нейтрализации их детища, &ndash; Panda Security. Получив от ворот поворот, они прибегли к шантажу и, вновь не добившись успеха, начали <a href='http://pandalabs.pandasecurity.com/news-on-mariposa/'>преследовать</a> несговорчивых экспертов в сети Twitter.</p> http://www.securelist.com/ru/blog/32857/Kod_khishchnoy_babochki_napisali_studenty 26 Jul 2010 11:17:00 +0400 Александр Гостев До сих пор в наших публикациях о Stuxnet мы не освещали основной функционал этого червя, концентрируясь в первую очередь на гораздо более опасных для всех пользователей проблемах &ndash; с zero-day уязвимостью в обработке LNK-файлов и сертификатами в руках злоумышенников.</p><br>Впрочем, те кто интересуется этой историей, наверняка уже читали сообщения о том, что червь (помимо размножения) пытается получить доступ к системам управления промышленным производством, функционирующим на программном обеспечении WinCC, производства компании Siemens.</p><br> Я уже не могу вспомнить, кто первый из журналистов (или антивирусных экспертов), упомянул в этой связи электростанции (на некоторых из них действительно работает ПО WinCC) , но с тех пор над историей витает дух &laquo;промышленных атак&raquo;, &laquo;межгосударственного шпионажа&raquo; и прочих параллелей, годных на пару-тройку сценариев для голливудских фильмов.</p><br><p class=c><img src="images/pictures/klblog/34312.jpg" border="1" alt="" title=""><br><br><i>(скриншот примера работы WinCC, взятый из <a href=http://www.automation.siemens.com/salesmaterial-as/brochure/en/brochure_simatic-wincc_en.pdf>официальной документации</a> компании Siemens)</i></p><br>Действительно, Stuxnet пытается подключаться к системе визуализации WinCC SCADA , используя &laquo;пароль по-умолчанию&raquo;, который компания Siemens заложила в свою программу.</p> В состав червя входит весьма интересный компонент, dll-файл, который представляет собой своеобразную &laquo;обертку&raquo; (wrapper) вокруг настоящей, оригинальной DLL от Siemens. </p><br>Эта &laquo;обертка&raquo; и пытается осуществлять взаимодействие с WinCC, перенаправляя большую часть функций в оригинальную dll. Остальные функции он эмулирует самостоятельно!</p><br>Это функции:<br><br>s7db_open<br><br>s7blk_write<br><br>s7blk_findfirst<br><br>s7blk_findnext<br><br>s7blk_read<br><br>s7_event<br><br>s7ag_test<br><br>s7ag_read_szl<br><br>s7blk_delete<br><br>s7ag_link_in<br><br>s7db_close<br><br>s7ag_bub_cycl_read_create<br><br>s7ag_bub_read_var<br><br>s7ag_bub_write_var<br><br>s7ag_bub_read_var_seg<br><br>s7ag_bub_write_var_seg</p><p>Кроме того, в модуле содержится несколько зашифрованных блоков данных (пример одного из расшифрованных блоков):</p><br><p class=c><img src="images/pictures/klblog/34311.jpg" border="1" alt="" title=""></p><br>Компания Siemens в настоящее время проводит собственное расследование и анализ вредоносной программы. Ими опубликован <a href=http://support.automation.siemens.com/WW/view/en/43876783>специальный информационный отчет</a> об инциденте, в котором сообщается об <b>одном подтвержденном случае заражения клиента WinCC в Германии.</b> </p><br>Процитирую оригинал:</p><br><i>"Currently there is still only one known case where a customer's WinCC computer has been infected. The virus infiltrated a purely engineering environment of a system integrator, but was quickly eliminated. A production plant has not been affected so far."</p><br>"There is only one known case of infection in Germany. We are, at present, trying to find out whether the virus caused any damage.</i>"</p><br>Siemens подтверждает, что червь способен передавать данные о промышленном процессе и продукции, а также пытается установить интернет-соединение с серверами злоумышленников, но в настоящее время данные серверы недоступны. </p><p><b>UPD: 20:00 msk</b><br><br>Siemens дополнил свой бюллетень информацией о том, что зафиксирован второй случай заражения. http://www.securelist.com/ru/blog/34310/Mirt_i_guava_Epizod_5 23 Jul 2010 18:16:00 +0400 Александр Гостев Несколько дней назад мы <a href=http://www.securelist.com/ru/blog/32850/Stuxnet_i_ukradennye_sertifikaty>писали</a> об обнаружении нового варианта руткит-компоненты червя Stuxnet, которая имела цифровую подпись не Realtek, а компании JMicron. Костин Раю в двух своих <a href=http://www.securelist.com/ru/blog/32852/Podpisannye_sertifikaty_Stuxnet_naibolee_chasto_zadavaemye_voprosy>постах</a> осветил эту ситуацию детально.</p><br>Средства массовой информации быстро подхватили новость, и интернет запестрел сообщениями в стиле <i>&laquo;Обнаружен новый вариант червя&raquo;.</i> Однако все было не так просто.</p><br>Дело в том, что оставался неясным главный вопрос &ndash; а где, собственно, сам червь, из которого этот подписанный драйвер должен был появиться? То, что драйвер был создан 14 июля, могло означать существование в &laquo;дикой природе&raquo; совершенно нового варианта, возможно с новым функционалом. </p><br><b>Однако все наши попытки обнаружить дроппер или хотя бы второй драйвер руткита (их ведь должно быть два) не увенчались успехом.</b> <br></p><br>Это еще больше запутывает всю историю, которая в последние дни практически окончательно свелась к двум версиям появления у злоумышленников сертификатов тайваньских компаний &ndash; к их краже при помощи троянской программы или работе инсайдера. </p><br>Тогда мы решили посмотреть на статистику детектирования Rootkit.Win32.Stuxnet.c (драйвер с подписью JMicron). Результаты были обескураживающими. Наша система KSN зафиксировала за три дня (с 20 июля) ДВА детекта данного модуля. Один в России и один на Украине.</p><br>По сравнению со статистикой детектов руткит-компонент, подписанных сертификатом Realtek, &ndash; это просто смешно.</p><br>Так или иначе, Verisign отозвал данный сертификат JMicron, и он больше не действителен. В нашей whitelisting-базе содержалось 124 подписанных им уникальных приложения. Все они, конечно, были "чистые".</p><br>Я пока не берусь делать выводы о происхождении этого мистического драйвера. То, что он является измененным вариантом руткит-драйвера mrxcls.sys &ndash; несомненно. Но то, что он должен запускать на зараженных компьютерах - остается в розыске.<br> Так же как и зараженные им компьютеры :)</p><br>Если же обратиться к статистике распространения &laquo;основного&raquo; варианта Stuxnet, то мы можем констатировать факт продолжения эпидемии в Индии, Иране и Индонезии. Число зараженных компьютеров каждый день увеличивается примерно на тысячу, и это только верхушка айсберга, которую мы видим при помощи KSN.</p><br><p class=c><img src="images/pictures/klblog/34313.jpg" border="1" alt="" title=""></p><br>Стоит отметить, что в число стран, в которых Stuxnet тоже занимает заметные позиции, входят Афганистан и Азербайджан (в каждой из них отмечено более 1000 зараженных систем).</p><br>Ареал распространения угрозы заставляет о многом задуматься... http://www.securelist.com/ru/blog/34307/Mirt_i_guava_Epizod_4 23 Jul 2010 16:36:00 +0400 Татьяна Никитина <p>Спецподразделение итальянской полиции <a href='http://www.businessweek.com/ap/financialnews/D9H2P5JG0.htm'>произвело</a> 12 арестов в связи с расследованием по делу преступной группировки, занимавшейся изготовлением фальшивых кредиток и спекуляцией незаконно приобретенным товаром.</p><p><p>Аферисты покупали пользовательскую информацию на теневых онлайн-форумах и в одном из гаражей под Римом фабриковали поддельные карты. С их помощью они приобретали предметы роскоши и дорогую электронику в лучших магазинах крупных итальянских городов. Все товары, купленные на чужие деньги, переправлялись в Калабрию, где впоследствии реализовывались на черном рынке.</p><p><p>Насколько известно, данную группировку возглавлял один из калабрийских мафиози, который одно время сотрудничал с властями и даже проходил по программе защиты свидетелей. Однако, избавившись от конкурентов, он организовал новый преступный бизнес. По имеющимся данным, его соучастники покупали ворованные реквизиты у российских и украинских фишеров.</p> <p><p>Итальянские карабинеры задержали еще семерых подозреваемых, которые пока освобождены под подписку о невыезде. Операции по задержанию участников данной группировки на территории Италии начались в мае; тогда под стражу были <a href='http://www.rian.ru/world/20100518/235897571.html'>взяты</a> 23 кардера.</p> http://www.securelist.com/ru/blog/32856/Massovye_aresty_karderov_v_Italii 23 Jul 2010 13:08:00 +0400 Татьяна Никитина <p>В Хабаровске <a href='http://hbr.moigorod.ru/news/details.asp?n=2146409754'>вынесен</a> обвинительный приговор хакеру, грабившему продавцов мобильных телефонов. За кражу денежных средств и неправомерный доступ к компьютерной информации Алексею Жирнову назначена мера наказания в виде лишения свободы на пять лет &ndash; условно.</p><p><p>Для молодого менеджера ОАО &laquo;Связной ДВ&raquo; карьера хакера началась полтора года назад. Работая в одном из магазинов этой торговой сети, Жирнов скопировал пароли и электронные ключи к платежной системе и вместе с приятелем, бросившим институт, попытался получить доступ к расчетным счетам компании. Служба безопасности оперативно пресекла эту попытку, и заговорщики бежали в Москву.</p><p><p>Весной 2009 года начинающий хакер решил вновь попытать счастья и вернулся в Хабаровск. Он проник в магазины компаний &laquo;Связной ДВ&raquo; и &laquo;Евросеть-Хабаровск&raquo;, скопировал данные для авторизации в платежных системах &laquo;Рапида&raquo; и &laquo;Киберплат&raquo; и повез добычу в столицу. Здесь сообщники нашли добровольцев, которые за солидную долю от &laquo;прибыли&raquo; предоставили в их распоряжение номера счетов для аккумуляции краденого. Схема отъема денег заработала, когда хакеры через интернет получили доступ к расчетному счету ЗАО &laquo;Связной Логистика&raquo;. Они перевели с него более 10 млн. рублей на подставные счета в новокузнецком отделении Альфа-Банка, но воспользоваться награбленным не успели, так как бдительные сотрудники банка заблокировали подозрительные платежные операции.</p><p><p>Жирнов не угомонился и сделал следующий ход &ndash; взломал расчетный счет &laquo;Связной Логистика&raquo; в коммерческом банке &laquo;Платина&raquo;. С него аферисты вывели 4,5 тыс. рублей на счета абонентов мобильной связи и в другие банки. Прежде чем &laquo;Платина&raquo; заблокировал незаконные операции, они успели снять 1,6 млн. рублей. Жирнов отбыл в Симферополь и оттуда снял со счета ЗАО еще более 4 млн. рублей.</p><br> <br><p>В начале прошлого года деятельностью криминального дуэта заинтересовалось Управление ФСБ по Хабаровскому краю. Через несколько месяцев Жирнов, вновь посетивший крайцентр, был задержан. Его сообщник ударился в бега и в настоящее время находится в федеральном розыске.</p> http://www.securelist.com/ru/blog/32855/5_let_uslovno_za_khishchenie_millionov 23 Jul 2010 11:19:00 +0400 Татьяна Никитина <p>За первое полугодие Департамент по борьбе с мошенничеством ОАО &laquo;МегаФон&raquo; <a href='http://www.megafon.ru/news/newsarhive/15290/'>расследовал</a> около 44 тыс. инцидентов, в том числе более 2,5 тыс. жалоб абонентов на махинации с короткими номерами. С привлечением правоохранительных органов было выявлено и заблокировано более 200 мошеннических сайтов.</p><p><p>На сайтах недобросовестных контент-провайдеров зачастую предлагаются весьма сомнительные услуги/товары, а информацию об условиях их оплаты, во-первых, непросто найти, во-вторых, оформлена она так, что прочитать ее сложно (мелкие белые буквы на сером фоне и т.п.). Больше прочих от мошенничества такого рода страдают жители Московского региона (58% жалоб), меньше всего претензий поступает от абонентов из Сибири (1%). Однако число подобных жалоб сравнительно невелико: в июне на их долю приходилось лишь 7% всех претензий, высказанных в отношении мошенничества в мобильном сервисе. Москвичей, например, больше беспокоят программы-блокеры, которые требуют отправки SMS-сообщений на указанный номер (49% жалоб). 16% заявителей, обратившихся в столичный филиал &laquo;МегаФон&raquo;, жаловались на недобросовестный интернет-сервис, 7% &ndash; на рассылку мошеннических открыток, 4% на сокрытие реальной стоимости SMS.</p> <p><p>В рамках реализации комплексной программы по борьбе с мошенничеством в мобильном сервисе &laquo;МегаФон&raquo; ужесточил требования к контент-провайдерам и ввел штрафные санкции. Служба безопасности &laquo;МегаФон&raquo; ежедневно блокирует 20 и более мошеннических префиксов. Оператор также запустил систему выборочного автоинформирования о стоимости контента по коротким номерам (Advice of Charge, AoC) и ввел бесплатную услугу &laquo;Мобильный прайс&raquo;, позволяющую узнать стоимость исходящих SMS на короткий номер. По оценке оператора, динамика инцидентов с premium-номерами снизилась в полтора раза.</p> <p><p>По данным ООО &laquo;Информ-мобил&raquo; (ИММО), доля мошенничества в суммарном объеме контент-услуг на российском рынке <a href='http://www.mskit.ru/news/n77503/'>составляет</a> 8%, а в партнерских программах &ndash; около 11%. В 2009 году мобильные мошенники украли у российских абонентов более 50 млн. долларов, обманув каждого пятого жителя страны. Годовой доход мобильных мошенников превышает 160 млн. долларов, а сумма убытков отечественных операторов от мошенничества достигает 150 млн. долларов.</p> http://www.securelist.com/ru/blog/32854/MegaFon_polgoda_borby_s_SMS_moshennichestvom 23 Jul 2010 11:05:00 +0400 Костин Раю <p>Вчера вечером Verisign действовала оперативно и аннулировала второй похищенный сертификат, использовавшийся для подписи одной из версий драйвера-руткита Stuxnet. Как уже говорилось ранее, этот сертификат принадлежит известной тайваньской компании &ndash; производителю компьютерного оборудования JMicron Technology Corp.</p><p><p class=c><img src="images/pictures/klblog/32853.png" border="1" alt="" title=""></p></center><p><p>Мы подготовили небольшой список вопросов-ответов о Stuxnet и об аннулированных похищенных сертификатах.<br><ol><br><li>Слышал, что Microsoft и Verisign аннулировали похищенный сертификат Realtek. Могу ли я считать, что сейчас я в полной безопасности?</p><br>Исходя из того, как работают сертификаты, аннулированный сертификат не означает, что зловреды не будут больше запускаться. Вы по-прежнему можете заразиться Stuxnet, а драйвер по-прежнему сможет загружаться без предупреждения. Единственное следствие аннулирования сертификата &ndash; в том, что плохие парни больше не смогут подписать им какую-либо вредоносную программу. </p><br><li>О каком количестве похищенных сертификатов мы говорим?</p><br>На данный момент нам попадались драйверы Stuxnet, подписанные сертификатами JMicron Technology Corp и Realtek Semiconductor Corp. Обе компании, похоже, имеют офисы на территории Hsinchu Science and Industrial Park на Тайване. Это может означать, что это дело рук инсайдеров. Возможно также, что сертификаты были украдены с использованием специальных троянских программ, таких как ZeuS, или каких-то других.</p><br><li>У меня на компьютере установлена плата Realtek/JMicron motherboard/network. Значит ли это, что я в опасности?</p><br>Пока мы не обнаружили ничего подозрительного в драйверах Realtek/JMicron.</p><br><li>Теперь, когда Microsoft и Verisign аннулировали свои сертификаты Realtek/JMicron, значит ли это, что мои драйверы Realtek/JMicron перестанут работать?<br><br><br>Нет. Благодаря тому, как устроена работа сертификатов и подписей, аннулирование не влияет на уже подписанные драйверы. Обе компании выпустили новые сертификаты, которые они используют для подписи новых драйверов. </p><br><li>Новые подписанные зловреды могут появиться в будущем?</p><br>Скорее всего, да. В настоящее время существуют десятки тысяч подписанных вредоносных программ &ndash; и это факт. Для получения более подробной информации предлагаю всем ознакомиться с новой, очень интересной презентацией Йарно Нимела (Jarno Niemel&#228;) &laquo;Подписано &ndash; значит безопасно?&raquo;, с которой он выступил на конференции CARO Workshop в начале этого года: <br><a href='http://www.f-secure.com/weblog/archives/Jarno_Niemela_its_signed.pdf'>http://www.f-secure.com/weblog/archives/Jarno_Niemela_its_signed.pdf</a><br></ol></p> http://www.securelist.com/ru/blog/32852/Podpisannye_sertifikaty_Stuxnet_naibolee_chasto_zadavaemye_voprosy 22 Jul 2010 11:21:00 +0400 Дарья Бронникова <p>На прошлой неделе распределение спама по рубрикам значительно изменилось, стало заметно наступление самого отпускного периода. Уменьшилась доля рубрики &laquo;Образование&raquo; (-7,6%), при этом тематики, традиционно распространяющихся через ботнеты, резко прибавили в весе: это &laquo;Медикаменты; товары/услуги для здоровья&raquo; (+4,6%) и &laquo;Реплики элитных товаров&raquo; (+7,2%). Кроме того, стало больше &laquo;Компьютерного мошенничества&raquo; (+2,4%) и предложений &laquo;Юридических услуг и аудита&raquo; (+4,3%).</p><br><p><b>Пятерка лидирующих тематик:</b></p><br><ul><br><li>Медикаменты; товары и услуги для здоровья &mdash; 20,0% (+4,6%) <br><li>Образование &mdash; 13,8% (-7,6%) <br><li>Компьютерное мошенничество &mdash; 11,2% (+2,4%)<br><li>Реплики элитных товаров &mdash; 9,8% (+7,2%) <br><li>Юридические услуги и аудит &mdash; 7,4% (+4,3%)<br></ul></p> http://www.securelist.com/ru/blog/34305/Spam_patrul_12_18_iyulya_2010_goda 21 Jul 2010 18:19:39 +0400