http://www.securelist.com/ru/ 14 Mar 2010 22:31:10 +0300 http://www.securelist.com/ru/rss/klogo.gif http://www.securelist.com/ru/ Татьяна Никитина <p>Двое суток сторонники безопасного интернета наблюдают <a href='http://www.abuse.ch/?p=2417' target=_blank>игру</a> в &laquo;кошки-мышки&raquo;, где главным призом является сотня головных серверов ZeuS, размещенных в Рунете.</p><p><p>9-го марта швейцарские эксперты из ZeuS Tracker, отслеживающие деятельность этого троянца (<a href='http://support.kaspersky.ru/faq/?qid=208636281'>Trojan-Spy.Win32.Zbot</a>), с удивлением обнаружили, что количество действующих центров управления ботнетами сократилось более чем на треть. Соответственно снизилась и общая активность троянца в Сети: ведь каждый командный сервер ZeuS поддерживает связь с 20-50 тыс. <a href='http://www.krebsonsecurity.com/2010/03/dozens-of-zeus-botnets-knocked-offline/' target=_blank>зараженных машин</a>. Среди ушедших в оффлайн командиров был и тот, что помог злоумышленникам <a href='http://www.securelist.com/ru/weblog/32077/415_tys_iz_Ameriki_na_Ukrainu'>обокрасть</a> работяг в штате Кентукки. А со страницы текущей статистики ZeuS Tracker также исчезли шесть российских и украинских хостинг-провайдеров, в сетях которых были размещены эти серверы. </p><p><p>Как позже выяснилось, группа экспертов по интернет-безопасности убедила москвичей &ndash; телеоператора &laquo;Айхоум&raquo; и владельцев нового дата-центра &laquo;Оверсан-Меркурий&raquo; &ndash; отключить интернет-провайдера Troyak, услугами которого, в числе прочих, пользовались 6 упомянутых выше хостинг-провайдеров. Однако на следующий день Troyak нашел нового телеоператора, а когда спустя некоторое время ему и здесь отказали, обратился в RTComm. К вечеру 11-го марта активисты ZeuS Tracker отметили, что большинство отключенных серверов, управляющих троянцем, опять в строю. Это означает, что злоумышленники получили возможность перенести информацию, украденную ZeuS, на более безопасный ресурс и создать резервный центр управления, обновив боты.</p><p><p>Сама компания Troyak в лице некоего Романа Старченко из Казахстана заявила, что временное отсутствие связи с интернетом было вызвано задолженностью администрации по оплате услуг. Организация <a href='http://whois.domaintools.com/troyak.org' target=_blank>числится</a> в базе данных WhoIs с ноября 2007 года, а в конце 2009-го зарегистрировала (через Старченко) домен TroyAk.org. Возможно, это простое совпадение, но оформляла домен небезызвестная индийская компания Directi &ndash; аккредитованный в ICANN регистратор, <a href='http://www.securelist.com/ru/weblog/29007/Zachem_spameram_nuzhna_sluzhba_anonimnoy_registratsii_domenov'>пользующийся</a> большой популярностью у спамеров. </p><p><p>Update: утром 12-го марта Troyak был вынужден вновь поменять телеоператора и теперь связан с интернетом через московскую городскую сеть ЭНЛАИН.</p> http://www.securelist.com/ru/weblog/32477/Nalet_na_rossiyskie_vladeniya_gromoverzhtsa 12 Mar 2010 17:33:00 +0300 Юрий Наместников <p>А точнее, продолжается наш курс в МГУ. О лекции, состоявшейся во вторник, я могу рассказать не только как зритель, но и как непосредственный участник, а точнее &mdash; лектор. </p><br><p>Основной целью лекции было показать, какие концептуальные проблемы стоят перед аналитиками и разработчиками антивирусов. Для начала мы поупражняли свое серое вещество, обсудив различные теоретические вопросы. Возможно ли создание идеального антивируса, детектирующего все вредоносные программы? А возможно ли создание недетектируемого вируса? Это, безусловно, интересные вопросы для затравки, но практика всегда интереснее теории. Я показал цепочку событий из мира вирусов и антивирусов, состоящую из вызовов со стороны вирусописателей и ответов со стороны антивирусных специалистов. Полиморфные движки вредоносных программ и создание эмуляторов специалистами AV-индустрии, противодействие антивирусным программам и разработка технологий самозащиты антивируса &mdash; эти и некоторые другие моменты изобразили &laquo;гонку вооружений&raquo;, в которой участвуют вирусописатели и антивирусные вендоры. Ну а чтобы никто не воспринял эти проблемы как чисто теоритические, они были проиллюстрированы примерами из реальной жизни.</p><p><p>После этого у нас осталось еще немного времени, что позволило мне затронуть еще одну важную тему &mdash; подход к классификации вредоносных программ. Зачем рассказывать о классификации, спросите вы. Ответ прост &mdash; классификация дает нам новые знания. Только верно классифицировав все обработанные вредоносные программы, мы можем строить прогнозы и ориентироваться в неспокойном мире компьютерных угроз. Правильная и строгая классификация позволит нам понять, от чего нужно защищать пользователя и какие технологии нужно развивать именно сейчас.</p> http://www.securelist.com/ru/weblog/32473/Zasedanie_prodolzhaetsya 12 Mar 2010 15:26:00 +0300 Мария Наместникова <p>Не так давно мошенники в интернете тянули деньги из молодежи, предлагая испробовать "звуковые наркотики". На красочных сайтах невероятно-заумными словами описывался принцип действия "звуковых наркотиков". Желающий испрбовать "звуковую дурь" мог выбрать, какие ощущения он хочет получить после прослушивания: эффект схожий с действием настоящих наркотиков, или, скажем, взбодриться, как после десятка чашек кофе.</p><br><p>Вскоре, выяснилось, что "звуковые наркотики" всего лишь разводка на деньги. Догадаться об этом с самого начала было не трудно: оплата в виде смс-сообщений на короткий номер и пользовательское соглашение написанное мелким нечитаемым шрифтом - все это до боли знакомые признаки, не находите?</p><br><p>Когда пользователи уже привыкли к этой уловке и перестали на нее вестись, мошенники решили изобрести новую схему. Но долго думать они не захотели.</p><br><p>Вчера мы получили письмо следующего содержания, и тут же поняли, куда ведет след из хлебных крошек</p><br><p class=c><img src="images/pictures/klblog/35158.JPG" border="1" alt="" title=""></p> http://www.securelist.com/ru/weblog/35155/Vse_novoe_eto_eshche_ne_zabytoe_staroe 12 Mar 2010 15:14:00 +0300 Женя Асеев <p>В наиболее распространенных продуктах компании Adobe &mdash; Acrobat/Reader &mdash; заинтересованные лица продолжают находить уязвимости и успешно их использовать.</p><br><p>Так, несколько дней назад к нам в Лабораторию попал интересный PDF-файл (детектируется как <a href='http://www.securelist.com/ru/descriptions/16227310/Exploit.JS.Pdfka.bui' target=_blank>Exploit.JS.Pdfka.bui</a>), в котором содержалось эксплуатирование обнаруженной в феврале уязвимости <a href='http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0188' target=_blank>CVE-2010-0188 </a> в Acrobat/Reader версии 9.3 и ниже. </p><br><p>В первую очередь в глаза бросается заведомо неправильно сформированное TIFF-изображение, которое находится внутри исходного PDF-файла. </p><br><p class=c><a class=clear href="http://www.securelist.com/ru/images/pictures/klblog/32467.png" target=_blank><img src="images/pictures/klblog/32468.png" border=0 alt=''>љ<img src="images/vlill/enlarge.gif" border=0 width=9 height=9 alt=''></a></p><br><p>Уязвимость &mdash; переполнение буфера &mdash; проявляется при обращении к полю, содержащему это изображение. Сама же атака осуществляется с помощью техники <a href='http://en.wikipedia.org/wiki/Heap_spraying' target=_blank>heap spraying</a>, которая активно используется во многих эксплойтах к продуктам, которые могут обрабатывать JavaScript-код. К примеру, последняя громкая атака <a href='http://www.securelist.com/ru/analysis/208050618/Reyting_vredonosnykh_programm_fevral_2010'>Aurora</a>, была проведена с применением именно этой техники.</p><br><p>При удачном использовании вышеописанной уязвимости, адрес возврата перезаписывается заранее известным адресом 0xC0C0C0C0, по которому находится контролируемый злоумышленниками код.</p> http://www.securelist.com/ru/weblog/32466/I_snova_mnogostradalnyy_Adobe 12 Mar 2010 14:31:00 +0300 Татьяна Никитина <p>К двум годам и семи месяцам тюремного заключения <a href='http://novosti.err.ee/index.php?26196832' target=_blank>приговорил</a> эстонский суд нераскаявшегося хакера, решавшего свои проблемы посредством DDoS-атак.</p><p><p>Согласно материалам следствия, 44-летний Артур Бойко неоднократно предъявлял свои претензии разным организациям таким незамысловатым способом. Жертвой его вендетты пали сайты страховой компании IF Eesti Kindlustus, которая не нашла оснований для выплаты страховки после автомобильной аварии; ресурсы провайдеров Starman, Microlink Eesti, Elion, а также интернет-портал стран Балтии Delfi. Во время атаки на страховщиков под раздачу попал и сервер безвинного департамента полиции.</p><p><p>В ожидании приговора Бойко уже отсидел в КПЗ год и семь месяцев, так что пребывать в казенном доме ему осталось не так долго. Он также должен будет возместить ущерб пострадавшим в размере 6,5 млн. крон (около 570 тыс. долларов). </p><p><p>По свидетельству F-Secure, осужденный является автором сетевого червя-полиморфика Allaple (в классификации ЛК <a href='http://www.securelist.com/ru/descriptions/178929/Net-Worm.Win32.Allaple.a'>Net-Worm.Win32.Allaple</a>), который и помог ему осуществлять эти кибердиверсии. Вся беда в том, что этот червь &mdash; не бот и не имеет центров управления. Обосновавшись на зараженной машине, он будет выполнять свои задачи, пока его не выгонят. Эксперты <a href='http://www.f-secure.com/weblog/archives/00001907.html' target=_blank>утверждают</a>, что детище Бойко осело на тысячах ПК, разбросанных по всему миру, и его заразительное шествие пресечь пока не удалось. </p> http://www.securelist.com/ru/weblog/32465/Estonskiy_virusopisatel_osuzhden_za_kibermest 12 Mar 2010 13:11:00 +0300 Джош Филлипс <p>Вести о новейшем <a href='http://www.microsoft.com/technet/security/advisory/981374.mspx' target=_blank>эксплойте нулевого дня для Internet Explorer</a> разлетелись быстро. Как сообщил Райан Нарейн (Ryan Naraine), к сожалению, эксперт компании McAfee, сам того не желая, раскрыл <a href='http://threatpost.com/en_us/blogs/exploit-code-published-latest-ie-zero-day-031010' target=_blank>слишком подробную информацию</a> об уязвимости, используемой эксплойтом, что привело к нежелательным последствиям. Сделано это было в попытке рекламы качества защиты от данного эксплойта, обеспечиваемой его работодателем. </p><br><p>Результатом этого стало немедленное создание модуля PoC Metasploit, что сделало возможным широкое распространение эксплойта, который ранее применялся только в целевых атаках. Как следствие, эксплойт стал угрожать всем пользователям версий 6 и 7 браузера Internet Explorer. </p><br><p>Какая именно информация была раскрыта? Для меня это интересный вопрос, поскольку я часто сталкиваюсь с выбором, что следует придавать огласке, а что нет. Выясняется, что эксперт сообщил лишь список имен файлов, связанных с атакой, и название домена, с которым соединялось вредоносное ПО. </p><br><p>Публиковать подобную информацию в блогпосте &mdash; вполне разумная идея, не так ли? Ведь специалистам, создающим сигнатуры для систем предотвращения вторжений (IDS), полезно знать используемые вредоносными программами URL-адреса, а другим антивирусным экспертам могут помочь имена файлов, используемых в ходе атаки. </p><br><p>Возникает закономерный вопрос: какую именно информацию можно безбоязненно сообщать? Никакую? Мне, как техническому специалисту, неприятно, когда автор скрывает все существенные данные, относящиеся к угрозе; эксперт McAfee, очевидно, хотел заинтересовать подобных мне людей. </p><br><p>Хочу предложить следующий простой принцип для специалистов, пишущих об актуальных угрозах: если домены, используемые для размещения экслойтов, на момент написания являются действующими, то не следует публиковать связанные с этими эксплойтами URL-адреса или имена файлов, поскольку Google зачастую позволяет легко найти соответствующие страницы.</p><br><p>Значит ли это, что экспертам не следует обмениваться ключевой информацией об актуальных угрозах? Конечно, нет &mdash; мы постоянно это делаем. Но при этом данные не становятся достоянием широкой общественности &mdash; существует масса безопасных способов сообщить коллегам подробную информацию об актуальных угрозах.</p> http://www.securelist.com/ru/weblog/32463/Khoroshego_ponemnozhku 12 Mar 2010 11:58:00 +0300 Бу Олсен <p>Компания Microsoft выпустила два обновления безопасности, устраняющие 8 уязвимостей в Windows и в продуктах Microsoft Office. Оба обновления имеют статус &laquo;важных&raquo;, т.е. для эксплуатации данных уязвимостей и запуска удаленного кода требуется некоторое участие пользователя. </p><br><p>Примечательно, что оба патча этого месяца закрывают уязвимости, эксплуатация которых предполагает использование методов социальной инженерии без вовлечения сетевых методов атаки. К сожалению, ни в одном из выпущенных обновлений не устраняется уязвимость <a href='http://www.microsoft.com/technet/security/advisory/981169.mspx' target=_blank>Advisory 981169</a> на языке VBScript, относящаяся к Internet Explorer. Эта уязвимость эксплуатируется следующим образом: при посещении специально созданной странички пользователь видит диалоговое окно, где ему предлагается нажать клавишу F1, в результате чего происходит заражение. </p><br><p>Обновление <a href='http://www.microsoft.com/technet/security/bulletin/ms10-016.mspx' target=_blank>MS10-016</a> выпущено для Windows XP SP2, SP3, Vista SP1, SP2 и Windows 7 (32- и 64-битной версий). Этот патч закрывает уязвимость в программе Windows Movie Maker версий 2.1 и 6.0, поставляемой в комплекте с Windows XP и Vista. Версия 2.6 программы, доступная в сети для бесплатного скачивания, также уязвима. Пользователям, ранее установившим эту версию программы под любой из поддерживаемых версий Windows, включая Windows 7, предлагается установить обновление безопасности. В случае Windows 7 Movie Maker 2.6 поставляется не всегда; если эта программа у вас отсутствует, уязвимости также нет, и устанавливать обновление не нужно. Пользователи, у которых программа установлена, могут заразиться, открыв специально созданный файл проекта Movie Maker. </p><br><p><a href='http://www.microsoft.com/technet/security/bulletin/ms10-016.mspx' target=_blank>MS10-016</a> также затрагивает Microsoft Producer 2003. Программа доступна для бесплатного скачивания, но имеет, согласно утверждению Microsoft, &laquo;ограниченное распространение&raquo;, поэтому на данный момент компания не предлагает обновление, которое закрыло бы имеющуюся в Microsoft Producer 2003 уязвимость. Мне это кажется странным: почему бы не решить проблему, даже если она касается &laquo;ограниченного&raquo; числа пользователей? Ведь это не просто ошибка в программе, а уязвимость, из-за которой они подвергаются опасности. </p><br><p>Выпущенное исправление отменяет ассоциацию между типом файла проекта и приложением, что не приводит к окончательному устранению уязвимости. Однако Microsoft утверждает, что это создает дополнительный уровень защиты. </p><br><p><a href='http://www.microsoft.com/technet/security/bulletin/ms10-017.mspx' target=_blank>MS10-017</a> закрывает уязвимости, существующие во многих версиях Microsoft Office как для Windows, так и для Mac. В случае Windows затронуты Office XP, 2003 и 2007, поддерживаемые версии Excel Viewer и SharePoint 2007. В случае Mac затронуты версии 2004 и 2008, а также конвертер Open XML-файлов для Mac. Для эксплуатации данных уязвимостей требуется, чтобы пользователь открыл специально созданный файл. </p><br><p>Как обычно, рекомендую всем скачать и установить обновления безопасности при первой же возможности. </p> http://www.securelist.com/ru/weblog/32462/Obnovleniya_bezopasnosti_Microsoft 11 Mar 2010 18:51:00 +0300 Дарья Бронникова <p>На первой неделе весны доля спама в почтовом трафике Рунета в среднем составила 83,7%.</p> <br><p>Пятерка лидеров с прошлой недели не изменилась, хотя заметно поменялось процентное соотношение:<br /><br>Образование - 16,6% (-4,0%)<br /><br>Отдых и путешествия - 15,8% (+0,8%)<br /><br>Медикаменты; товары и услуги для здоровья - 11,5% (-1,3%)<br /><br>Компьютерное мошенничество - 7,7% (-3,3%)<br /><br>Компьютеры и интернет - 6,5% (-2,4%)<br/><br/><br>Кроме того, больше спама, рекламирующего разные некомпьютерные товары и услуги: юридические, связанные с недвижимостью, транспортом, ремонтом.</p><br><h3>Последний шанс</h3><br><p>До конца прошлой недели все еще можно было успеть купить подарок на 8 марта. Спамеры с энтузиазмом рассылали свои предложения, в том числе, например, такое:<p/><br><p style="font-weight:bold; font-size:11 px;">Распродажа японских деревьев бонсай</p><br><p class=c> <table border=1 cellpadding=5 cellspacing=5><br><tr><td><br><a href="http://www.securelist.com/ru/pictures/klblog/35154.JPG" target=_blank class=clear><img src="pictures/klblog/35154.JPG" border=0 width=400 alt=''> <img src="pictures/klblog/35154.JPG" border=0 width=9 height=9 alt=''></a><br></td></tr></table></p> http://www.securelist.com/ru/weblog/35153/Spam_patrul_1_7_marta 11 Mar 2010 18:48:26 +0300 Татьяна Никитина <p><a href='http://www.f-secure.com/weblog/archives/00001903.html' target=_blank>По оценке</a> F-Secure, в минувшем году более половины обнаруженных эксплойтов эксплуатировали уязвимости в Adobe Acrobat/Reader. </p><p><p class=c><a class=clear href="http://www.securelist.com/ru/images/pictures/klblog/32460.png" target=_blank><img src="http://www.securelist.com/ru/images/pictures/klblog/32461.jpg" border=0 width=400 height=292 alt=''> <img src="http://www.securelist.com/ru/images/vlill/enlarge.gif" border=0 width=9 height=9 alt=''></a><br><br><span class=small><strong>Использование уязвимостей в популярных приложениях<br> при проведении таргетированных атак (источник: F-Secure)</strong></span></p><p><p>Судя по статистике компании, популярность Adobe Reader в криминальных кругах продолжает расти. Если за весь 2009 год эксперты обнаружили 2195 эксплойтов, нацеленных на уязвимости в Adobe Reader, то только за два первых месяца 2010 года было выявлено 895 PDF-файлов с эксплойтами. Если темпы роста в дальнейшем не изменятся, число таких самплов, попавших в коллекцию компании в этом году, будет вдвое больше &laquo;улова&raquo; предыдущего года.</p><p><p>По мнению экспертов, причина роста числа эксплойтов, нацеленных на уязвимости в Adobe Reader, кроется в количестве брешей в этом ПО.</p><p><p>Количество эксплойтов, использующих уязвимости MS Word, было на 10% скромнее, хотя в 2008 году злоумышленники отдавали предпочтение именно этому приложению.</p> http://www.securelist.com/ru/weblog/32459/F_Secure_Adobe_prilozheniya_bolee_uyazvimy_chem_Microsoft_Office 11 Mar 2010 18:20:00 +0300 Татьяна Никитина <p>Датские исследователи уязвимостей <a href='http://secunia.com/blog/80/' target=_blank>готовят</a> к выпуску бесплатную мета-систему автоматического обновления, которая поможет держать в тонусе 70-80% приложений, функционирующих на платформе Windows конечного пользователя.</p><p><p>Proof-of-concept проект был выполнен на базе корпоративного сканера непропатченных уязвимостей Secunia Corporate Software Inspector (CSI), интегрированного с сервером обновлений Microsoft Windows Server Update Services (WSUS). В январе технология успешно прошла бета-тестирование и к концу года, как надеются ее авторы, будет реализована в бесплатной версии индивидуального сканера уязвимостей Secunia Personal Software Inspector (PSI). По словам разработчиков, в итоговой системе будет предусмотрена опция дифференцированного отключения функции автоматического обновления. </p><p><p>Идея унификации механизмов автообновления ПО давно витает в воздухе. Согласно результатам <a href='http://secunia.com/gfx/pdf/Secunia_RSA_Software_Portfolio_Security_Exposure.pdf' target=_blank>исследования [PDF 502 Кб]</a>, проведенного Secunia, безопасность пользовательских приложений находится в плачевном состоянии. Согласно статистике компании, половина домашних ПК под ОС Windows оснащены в среднем 66 программами от 22 разных вендоров. Чтобы надежно защищать свой компьютер, 90% пользователей должны ежегодно устанавливать 51-86 патчей, которые закрывают 200-342 уязвимости в программах 9-36 вендоров. </p><p><p>Это означает, что в среднем раз в пять дней один из многочисленных автоматов (сколько вендоров &mdash; столько и механизмов обновления) сигнализирует о наличии очередного патча, который следует установить. Даже самые отчаянные фанаты сетевой безопасности не способны уделять столько времени и внимания ликвидации брешей, и компьютер быстро превращается в удобную мишень для интернет-атак.</p><p><p>Несмотря на такое положение вещей, единого механизма обновления для всех штатных и сторонних программ пока на рынке нет. Secunia решила создать прецедент, и если ее попытка окажется успешной, а сторонние производители софта не будут препятствовать внедрению новой технологии, число жертв drive-by атак значительно сократится.</p> http://www.securelist.com/ru/weblog/32458/Secunia_latanie_dyr_unifitsirovat_realno 11 Mar 2010 15:07:00 +0300 Татьяна Никитина <p>На Twitter <a href='http://blog.twitter.com/2010/03/trust-and-safety.html' target=_blank>запущен</a> сервис Twt.tl, который обеспечит обнаружение, перехват и предотвращение распространения зловредных ссылок в сообществе твиттерян.</p><p><p>Теперь все URL в твит-сообщениях будут проверяться с помощью &laquo;черных списков&raquo;. URL-сканер аналогичен тем, что применяются на других сервисах &mdash; таких, как Gmail. Как дополнительная мера безопасности все &laquo;чистые&raquo; ссылки будут автоматически заменяться короткими. На Twitter теперь работает собственный полнофункциональный генератор сокращенных ссылок (ранее социальный сайт по умолчанию использовал сервис Bit.ly).</p><p><p>Усиление защиты Twitter вызвано повышенным вниманием фишеров и других недоброжелателей к этой социальной сети. Поскольку они внедряют свои ссылки, в основном, в приватные сообщения (direct messages), URL-фильтр пока поставлен только на эту ленту. Проверка производится в фоновом режиме, и пользователь может обнаружить лишь ее результат &mdash; короткие ссылки в персональных сообщениях и соответствующих почтовых уведомлениях. </p> http://www.securelist.com/ru/weblog/32457/Twitter_filtr_dlya_vneshnikh_ssylok 11 Mar 2010 13:58:00 +0300 Юрий Наместников <p>В этот вторник, 2 марта 2010 года <a href="http://av-school.ru/" target=_blank>Антивирусная школа</a> снова посетила студентов факультета вычислительной математики и кибернетики МГУ. Визит этот был не праздным, а вполне себе деловым: руководитель отдела образования &laquo;Лаборатории Касперского&raquo; Станислав Шевченко прочитал первую лекцию в рамках спецкурса &laquo;Вредоносные программы и антивирусные технологии&raquo;. Да-да! Вы не ослышались, вернее, вы все правильно прочитали: антивирусная школа дала старт целому курсу лекций для студентов МГУ. </p><p><p>Курс этот тем интереснее, что он разработан и составлен людьми, работающими на острие &mdash; сотрудниками отдела антивирусных исследований и отдела образования. К тому же, профессионалы, работающие в ЛК, выступают в этом курсе не только авторами, но и лекторами. Они расскажут студентам о тех предметных областях, в которых им практически нет равных. </p><p><p>Логично, что специалисты антивирусной лаборатории сами читают этот курс, ведь кто ответит на вопросы студентов лучше, чем человек, сталкивающийся с предметом обсуждения ежедневно. </p><p><p>Однако вернемся к Станиславу Шевченко и его вводной лекции. Разумеется, вводная лекция, она на то и вводная, что в начале Станислав рассказал о том, что ожидает слушателей в процессе обучения, о темах, которые будут затронуты в курсе и объяснил схему, по которой студентам и лекторам лаборатории предстоит работать в этом семестре. Кроме того, с удовольствием и интересом были выслушаны ожидания и пожелания самих студентов относительно стартующего курса. Во время работы над лекциями мы постоянно старались исходить из того, что, на наш взгляд, будет интересно студентам, тем приятнее было узнать, что во многом мы не ошиблись и нашим слушателям интересно узнать именно то, о чем мы сами хотели бы им рассказать.</p> http://www.securelist.com/ru/weblog/32453/IT_obrazovanie_Laboratoriya_Kasperskogo_v_MGU 10 Mar 2010 10:51:00 +0300 Татьяна Никитина <p>В Испании <a href='http://hosted.ap.org/dynamic/stories/U/US_TEC_BOTNET_BUSTED?SITE=AP&SECTION=HOME&TEMPLATE=DEFAULT&CTIME=2010-03-02-14-26-32' target=_blank>арестованы</a> трое операторов ботнета Mariposa &mdash; многомиллионной зомби-сети, недавно потерявшей управление благодаря целенаправленным действиям борцов за безопасность интернета.</p><p><p>Задержанные оказались местными жителями без криминального прошлого. Не владея особыми хакерскими навыками, они просто приобрели на подпольном рынке <a href='http://www.symantec.com/connect/blogs/mariposa-butterfly-bot-kit' target=_blank>готовый комплект</a> для создания ботнета и воспользовались системой теневых сервисов, чтобы монетизировать результаты его функционирования. Согласно законодательству страны, правонарушителям грозит тюремное заключение на срок до шести лет. Расследование идет полным ходом, ожидаются новые аресты. Сумма ущерба, нанесенного этой группировкой, пока не определена, но, по оценкам, исчисляется миллионами долларов.</p><p><p>Ботнет Mariposa специализировался на краже персональных идентификаторов к веб-аккаунтам и банковских реквизитов. Его боевые порядки насчитывают 12,7 млн. IP-адресов, привязанных к ресурсам 190 стран, а среди жертв числятся половина компаний из списка Fortune 1000 и более 40 крупнейших банков. Ботнет появился в Сети в конце 2008 года, а осенью 2009-го <a href='http://defintel.blogspot.com/2009/09/half-of-fortune-100-companies.html' target=_blank>попал</a> под прицел канадских экспертов по сетевой безопасности.</p><p><p>Когда выяснилось, что управляющие центры Mariposa находятся на территории Испании, была <a href='http://www.pandasecurity.com/homeusers/media/press-releases/viewnews?noticia=10085' target=_blank>сформирована</a> интернациональная рабочая группа по оказанию противодействия. Помимо канадцев и американцев, в ее состав вошли представители Panda Security. К концу декабря при содействии хостинг-провайдеров ботнет удалось обезглавить. Один из его операторов попытался восстановить управление сетью через свой домашний компьютер и даже отомстил обидчикам DDoS-атакой, но только обнаружил себя: обычно связь с командными серверами осуществлялась скрытно, через VPN-соединения. </p><p><p>По отзывам экспертов, червь-полиморфик Mariposa (в классификации ЛК P2P- <a href='http://www.securelist.com/ru/descriptions/6462001/P2P-Worm.Win32.Palevo.a'>Worm.Win32.Palevo</a>) выполнен с большим профессионализмом и обладает большой эффективностью. Он распространяется через р2р-сети, USB-накопители и системы мгновенного обмена сообщениями. Содержит функционал бэкдора, способен по удаленной команде загружать другие вредоносные файлы &mdash; кейлоггеры, банковских троянцев, компоненты для проведения DDoS-атак. </p><p><p>По свидетельству исследователей, червь постоянно видоизменяется, иногда с интервалом в двое суток. На настоящий момент канадские эксперты <a href='http://www.defintel.com/mariposa.shtml' target=_blank>насчитали</a> более 200 вариантов этого зловреда. Он все еще присутствует на множестве домашних, корпоративных, университетских ПК, и рабочая группа экспертов начала кампанию по их очистке.</p> http://www.securelist.com/ru/weblog/32452/Adis_Mariposa 04 Mar 2010 14:16:00 +0300 Татьяна Никитина <p>Создатель и дирижер хакерского форума Darkmarket <a href='http://news.bbc.co.uk/2/hi/uk_news/8539680.stm' target=_blank>проведет</a> под стражей около пяти лет, таково решение британского суда. </p><p><p>33-летний уроженец Шри-Ланки, британский гражданин Ренукантх Субраманиям (Renukanth Subramaniam), известный в Сети под ником Jilsi, управлял своим детищем из интернет-кафе. Крупнейший криминальный ресурс Darkmarket <a href='http://www.guardian.co.uk/technology/2010/jan/14/darkmarket-online-fraud-trial-wembley' target=_blank>специализировался</a> на купле-продаже краденых банковских реквизитов и хакерского инструментария, а также предоставлял &laquo;курс молодого бойца&raquo; по взлому аккаунтов, махинациям с кредитными картами и отмыванию денег. </p><p><p>Услугами одиозного сервиса пользовались около 2 тыс. привилегированных участников из Великобритании, Канады, США, России, Турции, Франции и Германии, которые общались друг с другом только в виртуальном пространстве. На форуме соблюдалась строгая конспирация, действовали свой кодекс чести и третейский суд. По оценкам, ущерб от деятельности этого криминального интернет-сообщества измеряется десятками миллионов долларов. </p><p><p>В 2008 году усилиями ФБР Darkmarket был закрыт, а некоторые из его участников и функционеров оказались под арестом, &mdash; в их числе и Субраманиям. Он признался в преступном сговоре с целью мошенничества и махинациях с ипотечными кредитами, получив совокупно 4 года и 8 месяцев тюремного заключения. Его &laquo;коллега по бизнесу&raquo; 66-летний Джон Мак-Хью (John McHugh), поставивший производство поддельных кредиток на поток, был осужден британскими властями на 2 года. Судебного вердикта ожидают еще пятеро соучастников. В рамках процесса проводится также финансовое расследование. </p> http://www.securelist.com/ru/weblog/32451/Tenevoy_biznesmen_ushel_v_offlayn_i_nadolgo 04 Mar 2010 14:05:00 +0300 Дарья Бронникова <p>Доля спама в почтовом трафике Рунета на прошлой неделе в среднем составила 86,1%.</p><br><p>Пятерка самых популярных рубрик:<br /> <br>&laquo;Образование&raquo; - 20,6% (+2,8%)<br /><br>&laquo;Отдых и путешествия&raquo; - 15,0% (-2,6%)<br /><br>&laquo;Медикаменты; товары/услуги для здоровья&raquo; - 12,8% (+0,1%)<br /><br>&laquo;Компьютерное мошенничество&raquo; - 11,0% (+0,1%)<br /><br>&laquo;Компьютеры и Интернет&raquo; - 8,9% (+2,0%)</p><br><p>Прошлая неделя была праздничной и, соответственно, укороченной. Так что &laquo;делового&raquo; спама, рекламирующего разнообразные услуги малого бизнеса, было заметно меньше, чем обычно.</p><p><h3>Приход весны</h3><br><p>Начало весны в русскоязычной среде прежде всего ассоциируется с женским праздником 8 марта. Спамеры, конечно же, пользуются моментом. Вот, к примеру, несколько фамильярное послание:</p><br><p style="font-weight:bold; font-size:11 px;">Возьмите в подарок</p><br><p class=c><table border=1 width=90% cellpadding=5 cellspacing=5><br><tr><td><br>Доброго времени суток, друзья. Предлагаем футболки с символикой вашей организации, вашим фото, понравившимся рисунком . Используем только качественные материалы , качественную печать . В отличии от аппликации- наша печать насыщенная, не выгорает и не восприимчивая к стирке. У нас широкий выбор товара , посвященного тематике женского дня . 8 марта , но Вы не нашли подарки? Вас это заинтересовало? . Гуд бай.</td></tr></table></p> http://www.securelist.com/ru/weblog/35151/Spam_patrul_22_28_fevralya 03 Mar 2010 17:37:00 +0300 Татьяна Никитина <p>В интернете <a href='http://sunbeltblog.blogspot.com/2010/02/not-real-virustotalcom.html' target=_blank>появился</a> поддельный сайт Virus-Total(dot)in, предлагающий &laquo;бесплатный онлайн-сканер&raquo;, с помощью которого якобы можно проверить компьютер на наличие вредоносных программ. </p><p><p>При нажатии кнопки SCAN довольно быстро выскакивает такое узнаваемое окно:</p><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/32449.png" border=0 width=402 height=182 alt=''></p><p><p>Можете не сомневаться, рекламируемый продукт найдет сотни устрашающих зловредов в вашей системе, даже покажет зараженные диски и папки. И обязательно посоветует скачать &laquo;Систему Безопасности&raquo;, чтобы провести досмотр с пристрастием. После загрузки исполняемого файла вы станете счастливым обладателем программы с бесхитростным наименованием Security Tool (&laquo;Инструмент безопасности&raquo;). Она будет без устали пугать вас перечислением напастей, которые якобы присутствуют на вашей машине, и предлагать регистрацию в обмен на полноценное обслуживание.</p> http://www.securelist.com/ru/weblog/32448/Eshche_raz_o_mimikrii_lzhe_antivirusov 01 Mar 2010 18:25:00 +0300 Сергей Голованов <p>Pinch &ndash; одна из легендарных вредоносных программ Рунета. С середины 2003 года этот троянец доставляет регулярные проблемы антивирусным компаниям. Его исходные коды модифицировали и правили многие начинающие злоумышленники, а базы паролей, украденные с его помощью, постоянно появлялись на черном рынке. Не удивительно, что именно этот троянец &laquo;всплыл&raquo; в одном из прошедших инцидентов, связанных с фотохостингом компании Google.</p><p><p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/32435.png" border=0 alt='' style="margin-bottom:15px;"><br><span class=small> <strong>Логотип программы Picasa,<br> осуществляющей непосредственную работу<br> с фотохостингом компании Google </strong></span></p> http://www.securelist.com/ru/weblog/32434/Zlovrednye_kartinki 27 Feb 2010 15:46:00 +0300 Татьяна Никитина <p>Microsoft <a href='http://blogs.technet.com/microsoft_blog/archive/2010/02/25/cracking-down-on-botnets.aspx' target=_blank>добилась</a> судебного приказа об отключении управляющих серверов ботнета-спамера Waledac.</p><p><p>Федеральный суд штата Вирджиния удовлетворил иск Microsoft и разрешил приостановить обслуживание 277 доменов, связанных с системой управления ботнетом. Все эти домены зарегистрированы в зоне .com, оператором которой является американская компания VeriSign. Судебный приказ был выполнен за три дня, и в настоящее время большинство спамботов Waledac отрезаны от командного трафика. Microsoft принимает дополнительные меры, чтобы ограничить их связь с резервными серверами на одноранговом уровне. Структура ботнета приведена в исковом документе <a href='http://www.microsoft.com/presspass/events/rsa/docs/complaint.pdf' target=_blank>[PDF 3,26 Мб]</a> компании.</p><p><p>Этот успех увенчал месяцы кропотливой работы, проводимой под кодовым наименованием &laquo;операция b49&raquo;. В расследовании также принимали участие эксперты Shadowserver, университета им. Джорджа Вашингтона, Symantec и др. </p><p><p>По оценкам специалистов, Waledac насчитывает сотни тысяч зараженных компьютеров, рассеянных по всему миру. Его спамбот (в классификации ЛК <a href='http://www.securelist.com/ru/weblog/207758783/Nablyudaya_za_botami' target=_blank>Email-Worm.Win32.Iksmas</a>) способен генерировать свыше 1,5 млрд. сообщений в сутки. Основанием для иска послужили 651 млн. спамовых писем, разосланных на адреса Hotmail меньше чем за три декабрьские недели. </p> http://www.securelist.com/ru/weblog/32432/Waledac_poteryal_golovu 26 Feb 2010 12:26:00 +0300 Татьяна Никитина <p>В английском блоге Scam-Detectives интервью с &laquo;нигерийским&raquo; мошенником, которое мы <a href='http://www.securelist.com/ru/weblog/32418/Nigeriyskoe_moshennichestvo_tekhnologiya_i_ispolniteli' target=_blank>попытались</a> недавно воспроизвести, опубликовано целиком (<a href='http://www.scam-detectives.co.uk/blog/2010/01/22/interview-with-a-scammer-part-one/' target=_blank>части 1</a>, <a href='http://www.scam-detectives.co.uk/blog/2010/01/26/interview-with-a-scammer-part-two/' target=_blank>2</a>, <a href='http://www.scam-detectives.co.uk/blog/2010/02/02/interview-with-a-scammer-part-three/' target=_blank>3</a>). В нем есть ряд любопытных подробностей, которые помогут довершить общую картину. </p><p><p>По словам криминального профи, на приманку положительно реагируют 9-10 адресатов из тысячи. Один из двадцати таких ответов может в итоге принести реальный доход. От каждой жертвы мошенники в среднем получают 7,5 тыс. долларов при потолке 25 тыс. Сам собеседник за последний год своей сомнительной карьеры заработал около 75 тыс. долларов. И таких &laquo;карьеристов&raquo; в Нигерии много &mdash; в основном, это молодые люди, и далеко не все из них профессиональные мошенники.</p><p><p>Опытные &laquo;нигерийцы&raquo; &mdash; хорошие психологи. Ведь нередко в переписку с ними вступают любители поводить скамеров за нос. Рассказчик уверял, что может сразу распознать подвох. По его словам, потенциальная жертва сразу предоставляет требуемую информацию, а антискамер начинает рассказывать байки о собственной жизни, выдумывая тысячи причин, почему он не может сразу перевести деньги. </p><p><p>Мошеннические группировки часто сотрудничают друг с другом, передавая контакт с ускользающей, но перспективной жертвой с рук на руки. Но сильна и конкуренция. Интервьюируемый припомнил случай, когда его почтовый ящик взломали участники соперничающей группировки и выкрали все контакты.</p><p><p>Пара слов о самом авторе столь примечательных откровений. Ему 23 года, был пойман с поличным во время полицейского рейда в интернет-кафе Лагоса. В обмен на имена участников группировки получил вместо пяти лет два года тюремного заключения. В настоящее время учится в колледже и в рамках реабилитационной программы оказывает консультативную помощь нигерийской Комиссии по борьбе с экономическими преступлениями (Economic and Financial Crimes Commission, EFCC).</p><p><p>Вот рекомендации участника &laquo;нигерийских&raquo; схем для тех, кто хочет избежать козней злоумышленников:</p><br><ul><br><li>никогда не отвечайте на заманчивые письма от незнакомцев, удаляйте их немедленно; любой ваш ответ подтвердит активность аккаунта, адрес будет занесен в соответствующие списки и в дальнейшем использован если не &laquo;нигерийцами&raquo;, то фишерами или распространителями банковских троянцев;<br><li>если вы все-таки вступили в переписку, но подозреваете подлог, прекратите отвечать: ваш недоброжелатель не любит терять время и быстро переключится на более перспективные мишени;<br><li>поменьше публикуйте свой адрес в Сети: &laquo;нигерийские&raquo; подручные регулярно посещают гостевые книги, форумы и доски объявлений, чтобы пополнить свои списки; некоторые группировки вооружены специальными программами для сбора адресов в интернете. <br></ul> http://www.securelist.com/ru/weblog/32431/Nigeriyskoe_moshennichestvo_effektivnost_protivoyadie 26 Feb 2010 12:15:00 +0300 Татьяна Никитина <p>SANS <a href='http://isc.sans.org/diary.html?storyid=8236' target=_blank>открыл</a> онлайн-доступ к библиотеке хэшей &laquo;белых&raquo; файлов, пополняемой американским институтом стандартов и технологий (National Institute of Standards and Technology, NIST). </p><p><p>По словам экспертов, <a href='http://www.nsrl.nist.gov/index.html' target=_blank>ресурсом NIST NSRL</a> (National Software Reference Library) нередко пользуются вирусные аналитики. Однако эти списки неудобны в использовании, так как предоставляются в виде больших массивов для скачивания или подписными изданиями на CD-дисках, и проверить единственный хэш совсем не просто. Теперь это можно сделать на сайте ISC SANS, воспользовавшись поисковым <a href='http://isc.sans.org/tools/hashsearch.html' target=_blank>инструментом</a>. Искать можно по sha1-/md5-хэшу или по имени файла. </p><br> <br><p>Ресурс также поддерживает поиск по базе зловредов, которую ведет команда Team Cymru, но пока только в системе md5. Поисковый механизм запущен в режиме бета-тестирования. В настоящее время хэш-реестр насчитывает около 40 млн. записей. Эксперты планируют дополнить его собственной коллекцией и другими аналогичными поступлениями, которые приветствуются. Начат импорт файлов Windows XP Professional SP3, информация по Windows 7 пока отсутствует. </p> http://www.securelist.com/ru/weblog/32430/Cherno_belyy_poisk_dlya_virusologov 26 Feb 2010 12:02:00 +0300 Денис Масленников <p>Вчера мы <a href="http://www.securelist.com/ru/weblog/35143/Vozvrashchenie_chervya_Yxe">сообщили</a> об обнаружении новой версии червя Worm.SymbOS.Yxe.e. Что же нового удалось выяснить?</p><br><p>Для своего распространения червь использует MMS-сообщения, однако к сообщению прикрепляется не тело червя, а черно-белая картинка с изображением черепа и перекрещенных костей. MMS содержит также текст, предлагающий посмотреть частную информацию, связанную с китайской актрисой Жанг Зии, и ссылку http://tran******.com.</p><br><p>В том случае, если пользователь перейдет по ссылке со своего смартфона, то ему будет предложено загрузить и установить файл LanPackage.sisx размером 57573 байт. Если же попытаться перейти по той же самой ссылке с помощью обычного браузера на компьютере, то в окне браузера появится следующее сообщение:</p><br><p class=c><img src="images/pictures/klblog/35150.png" border="1" alt="" title=""></p><br><p>То есть удаленный сервер злоумышленника проверяет браузер, с которого идет запрос к сайту, и в том случае, если браузер не является мобильным, выдает ошибку 404.</p> http://www.securelist.com/ru/weblog/35146/Novaya_informatsiya_o_Worm_SymbOS_Yxe_e 25 Feb 2010 15:16:42 +0300 Денис Масленников <p>Чуть больше года назад появился первый зловред для смартфонов под управлением операционной системы Symbian S60 3rd edition, имеющий легальную цифровую подпись: Worm.SymbOS.Yxe. Последующие модификации данного червя появлялись с различной периодичностью, последняя <a href="http://www.securelist.com/ru/weblog/32118/Doveryay_no_proveryay">версия "d"</a> была обнаружена в июле 2009 года.</p><br><p>Сегодня мы обнаружили новую версию Worm.SymbOS.Yxe.e, которая также использует цифровую подпись. Предыдущие модификации обладали следующим функционалом:</p><br><ul><br><li>Размножение через SMS с ссылкой на себя</li><br><li>Использование методов социального инжиниринга</li><br><li>Сбор информации о смартфоне</li><br><li>Отсылка собранной информации на удаленный сервер злоумышленника</li><br><li>Попытка завершения работы сторонних программ, предназначенных для работы с файловой системой смартфона или с активными приложениями</li><br></ul><br><p>Новая модификация зловреда, помимо вышеперечисленного, будет осуществлять следующие действия:</p><br><ul><br><li>Рассылать MMS-сообщения с ссылкой на себя и прикрепленной черно-белой картинкой с изображением черепа (привет <a href="http://www.securelist.com/ru/descriptions/108177/Trojan.SymbOS.Skuller.a">Skuller</a>)</li><br><li>Соединяться с веб-сайтом китайской социальной сети</li><br><li>Загружать файлы</li><br><li>Блокировать менеджер установленных приложений на смартфоне, из-за чего удаление вредоносной программы становится затруднительным</li><br></ul><br><p>Мы продолжаем детально анализировать червя Worm.SymbOS.Yxe.e. Следите за нашими обновлениями.</p> http://www.securelist.com/ru/weblog/35143/Vozvrashchenie_chervya_Yxe 24 Feb 2010 18:58:57 +0300 Дарья Бронникова <p>В процессе работы спам-аналитикам регулярно попадаются занятные рассылки или отдельные забавные письма, иногда бросаются в глаза интересные тенденции или спамерские приемы. Об этом мы будем писать каждую неделю под заголовком &laquo;Спам-патруль&raquo;.</p><br><p>Доля спама в почтовом трафике Рунета на прошлой предпраздничной неделе в среднем составила 85,0%. Больше всего было писем тематики &laquo;Образование&raquo; (17,8%), ненамного меньше &mdash; предложений &laquo;Отдыха и путешествий&raquo; (17,6%).</p><p><h3>Не спам &mdash; поэма</h3><br><p>На прошлой неделе спамеры порадовали аналитиков творческим подходом к саморекламе.</p><p><p style="font-weight:bold; font-size:11 px;">Пропаганда Вашего товара и услуг Снижение цен!</p><br><p class=c><table border=1 width=90% cellpadding=5 cellspacing=5><br><tr><td><p> <p><span style="font-size: 10pt; font-family: "Courier New";">(495) </span><span style="font-size: 10pt; font-family: "Courier New";">{tel}</span> </p><br> <p> <span style="font-size: 10pt; font-family: "Courier New";">Вестник новостей хороших, и в помойку мелодраму -<br /><br> Лучше нашей фирмы нет, закажи у нас рекламу.</span></p><br> <br> <p><span style="font-size: 10pt; font-family: "Courier New";">М о с к в а<br /><br>одноразовая - З 00O p<br /><br>2_раза - 4ОО0 руб.<br /><br>3 раза - 5 OO0 pyблей<br /><br>дошедших писем: 3 5OO OOO </span></p><br> <p><span style="font-size: 10pt; font-family: "Courier New";">По Москве<br /><br>одно-кратная - Ч OOО руб.<br /><br>2 раза - 55 0О p.<br /><br>3 раза - 7OОO pyб.<br /><br>в ящиках писем: 5 5 ОO 0OО </span></p><br> <p><span style="font-size: 10pt; font-family: "Courier New";">П_о _ Р_о_с_с_и_и<br /><br>однократная - 65 ОO руб<br /><br>двух_кратная - 9 5 00 р.<br /><br>тр&pound;хразовая - 1 2 5 ОO руб<br /><br /><br>доставленных писем: 12 OO0 O00</span></p><br> <p><strong> </strong></p><br> </td><br> </tr><br> <br></table> http://www.securelist.com/ru/weblog/35144/Spam_patrul_15_21_fevralya 24 Feb 2010 18:18:00 +0300 Татьяна Никитина <p>Некоммерческая организация MITRE и институт SANS опубликовали <a href='http://cwe.mitre.org/top25/' target=_blank>список</a> из 25 наиболее распространенных ошибок в программировании, которые могут сыграть на руку хакерам.</p><p><p>Это уже второе издание в рамках проекта CWE (Common Weakness Enumeration), который осуществляется при поддержке американских служб внутренней безопасности. В отличие от прочих, он не ограничивается выявлением опасных уязвимостей в прикладном ПО, но заостряет внимание на ошибках, которые могут привести к их появлению, и предлагает конкретные меры по предотвращению таких ошибок. </p><p><p>В составлении перечня Top 25 по итогам 2009 года принимали участие свыше 20 европейских и американских компаний, специализирующихся в области сетевой безопасности. Отбор и оценка проводились на основе данных по характерным ошибкам, собранных MITRE-комьюнити, и <a href='http://www.sans.org/top-cyber-security-risks/' target=_blank>результатов</a> анализа кибератак и уязвимостей, проведенного SANS. </p><p><p>При составлении рейтинга эксперты в первую очередь обращали внимание на частотность программной ошибки и степень риска: простоту обнаружения злоумышленником, количество злоупотреблений, трудоемкость исправления ситуации. В итоговый список попали ошибки, которые использовались практически во всех крупных кибератаках, проведенных за последний год. Рейтинг возглавили те из них, что позволяют осуществлять XSS-атаки, SQL-инъекции и вызывать переполнение буфера.</p> http://www.securelist.com/ru/weblog/32428/Menshe_bagov_programmisty 24 Feb 2010 13:22:00 +0300 Татьяна Никитина <p>По оценке Pfizer, жители Западной Европы <a href='http://www.pfizer.co.uk/sites/PfizerCoUK/Media/Pages/CrackingCounterfeitEurope.aspx' target=_blank>ежегодно тратят</a> 10,5 миллиарда евро на приобретение контрафактных лекарств.</p><p><p>Размеры этого рынка удалось определить благодаря опросу, проведенному по заказу лидера фарминдустрии в октябре-ноябре минувшего года. В нем приняли участие 14 тыс. европейцев из 14 стран. Каждый пятый респондент (77 млн. человек в масштабе всей Европы) признался, что покупал рецептурные препараты на &laquo;черном&raquo; рынке. В Германии и Италии таких любителей оказалось почти 40%. </p><p><p>Более 43% участников опроса приобретали их в интернет-аптеках, из них треть &mdash; из соображений экономии времени, а 39% в погоне за дешевизной. Наиболее популярными медикаментами из тех, что европейцы покупают онлайн, являются БАДы для снижения веса (45% опрошенных), рецептурные препараты против гриппа (35%) и средства от импотенции (25%). Заметим в скобках, что рекламе фармизделий <a href='http://www.securelist.com/ru/weblog/32405/RAEK_spam_oboshelsya_Rossii_v_14_milliardov' target=_blank>посвящены 70%</a> спам-рассылок. </p><p><p>В то же время, согласно общеевропейской <a href='http://www.securelist.com/ru/weblog/29059/Spamery_reklamiruyut_poddelnye_lekarstva' target=_blank>статистике</a>, 62% лекарств, продающихся в интернет-аптеках, являются подделкой. Многие из них содержат вредные для здоровья компоненты или произведены без соблюдения технологии и санитарных норм. Большинство опрошенных (71%) заявили, что вероятность получить подделку, &mdash; весомая причина, чтобы задуматься перед покупкой. Тем не менее, 23% участников не считают приобретение учетных лекарств без рецепта рискованным предприятием.</p><p><p>Без сомнения, в пресечении торговли контрафактом заинтересованы, в первую очередь те, кто стремится защитить собственный брэнд. Присутствие на рынке огромного количества дешевых подделок, пользующихся неизменным спросом, больно ударяет по карману законных производителей. Однако неконтролируемый сбыт медикаментов может дорого обойтись и тем, кто создает этот спрос. </p> http://www.securelist.com/ru/weblog/32427/Pfizer_evropeytsy_vredyat_sebe_i_kormyat_podpolnyy_farmabiznes 24 Feb 2010 13:16:00 +0300 Магнус Калькуль <p>Специалисты в области безопасности сотрудничают и обмениваются разнообразной информацией в разных ситуациях, и рамки корпоративной принадлежности им в этом не помеха. Однако ситуации, когда специалисты, работающие в разных антивирусных компаниях, объединяют свои усилия для написания заметки в корпоративный веблог, встречаются нечасто. </p><br><p>Когда Джон Лейден (John Leyden) из онлайн-издания The Register писал <a href='http://www.theregister.co.uk/2010/02/10/kaspersky_malware_detection_experiment/' target=_blank>статью</a> о спорах, разгоревшихся после проведенной &laquo;Лабораторией Касперского&raquo; эффектной демонстрации того, как производители антивирусного ПО &laquo;перенимают&raquo; друг у друга ложные срабатывания, он обратился к нам обоим с вопросами. Проблема эта очень серьезная, потому что она может вносить &ndash; и вносит &ndash; серьезный перекос в результаты сравнительного тестирования и анализа уровня обнаружения, демонстрируемого антивирусными продуктами. Ответив на вопросы Джона, мы продолжили дискуссию по электронной почте и пришли к выводу, что (как и вся антивирусная индустрия) сходимся в оценке всех ключевых аспектов проблемы. Мы пришли к выводу, что прояснить эти аспекты важнее, чем продолжать дискуссию относительно деталей проведенной &laquo;Лабораторией Касперского&raquo; демонстрации. </p><br><p>Тот факт, что в рамках демонстрации в качестве канала для распространения &laquo;искусственных&raquo; ложных срабатываний среди производителей антивирусных продуктов был использован сервис Virus Total, не следует ставить этому сервису в вину. Компания Hispasec (владалец Virus Total) никогда не одобряла применение ее сервиса в качестве замены сравнительному тестированию или его использование для валидации образцов, поскольку и в том, и в другом случае результаты никак нельзя считать достоверными. </p><br><p>Само по себе использование нескольких решений для проверки объектов не является проблемой, независимо от того, размещены ли сканеры на общедоступных сайтах, ресурсах для специалистов или установлены тестовыми или антивирусными компаниями на собственном оборудовании. Проверка образцов несколькими антивирусными программами, безусловно, имеет смысл как инструмент сравнительного анализа или как подготовка к более детальному исследованию. Однако польза от такой проверки зависит от знаний пользователя и понимания им того, как правильно пользоваться этим инструментом. </p><br><p>Большинство тестовых организаций и антивирусных компаний хорошо разбираются в этой проблематике, однако она часто не учитывается в достаточной степени при организации тестирования. Проведенный &laquo;Лабораторией Касперского&raquo; эксперимент привлек к проблеме внимание некоторых журналистов и издателей, которым больше других следует ее осознавать и которые, вероятно, обратили бы куда меньшее внимание на презентацию, будь она не такая спорная.</p><br><p>Как участники Организации по стандартам тестирования антивирусных решений (Anti-Malware Testing Standards Organization &ndash; <a href='http://amtso.org/' target=_blank>AMTSO</a>), мы полностью разделяем позицию, что уход от статического тестирования и переход к динамическому &ndash; это верное направление. Мы надеемся, что все большее число журналистов, пишущих обзоры, осознают, что динамическое тестирование на небольшом числе прошедших должную валидацию образцов обеспечивает более адекватную оценку уровней обнаружения при меньшем риске непреднамеренного перекоса в ту или иную сторону. Чем больше людей будет это понимать, тем легче будет антивирусным компаниям сосредоточиться на обнаружении реальных угроз, а не образцов, которым не место в тестовых коллекциях. </p><br><p>Магнус Калькуль, ведущий региональный эксперт &laquo;Лаборатории Касперского&raquo; в Германии.</p><br><p>Дэвид Харли, руководитель отдела исследований вредоносного ПО ESET.</p> http://www.securelist.com/ru/weblog/32426/Kaskad_lozhnykh_srabatyvaniy 24 Feb 2010 10:36:00 +0300 Татьяна Никитина <p>&laquo;Синий экран смерти&raquo;, появившийся на некоторых ПК после установки последних обновлений для Windows, <a href='http://www.prevx.com/blog/143/BSOD-after-MS-TDL-authors-apologize.html' target=_blank>помог выявить</a> присутствие руткита семейства TDSS.</p><p><p>Как оказалось, третье поколение этих серьезных зловредов (в классификации ЛК <a href='http://support.kaspersky.ru/faq/?qid=208636926'>Rootkit.Win32.TDSS</a>), представители которого были обнаружены на пострадавших компьютерах, конфликтует с одним из тринадцати патчей, разосланных Microsoft на прошлой неделе. </p><p><p>Руткит TDSS/TDL3 работает на уровне ядра: внедряется в системный драйвер Windows и создает собственную виртуальную файловую систему, в которой прячет основной код. Для маскировки своего присутствия он перехватывает системные функции (Windows API), отыскивая их по разнице между виртуальным и базовым адресами (RVA), которую вычислил в процессе инсталляции.</p><p><p>После установки на зараженный компьютер <a href='http://www.microsoft.com/technet/security/bulletin/ms10-015.mspx' target=_blank> патча MS10-015</a> RVA-адреса поменялись. При перезапуске Windows адрес, запрошенный руткитом, оказался неправильным, и эта ошибка привела к зависанию системы и появлению BSoD &mdash; &laquo;синего экрана смерти&raquo; (Blue Screen of Death). Исправить положение можно, устранив зловреда. Для этого следует заменить зараженный драйвер чистой копией. Вероятнее всего, это будет atapi.sys, хотя возможны и <a href='http://www.symantec.com/connect/blogs/tidserv-and-ms10-015' target=_blank>другие варианты</a>. Можно пролечить систему с помощью специальной утилиты &mdash; такой, как TDSSKiller, разработанная в ЛК.</p><p><p>Microsoft проводит собственное расследование, но пока не нашла других причин, которые могли бы вызвать аналогичный сбой. По <a href='http://blogs.technet.com/msrc/archive/2010/02/17/update-restart-issues-after-installing-ms10-015-and-the-alureon-rootkit.aspx' target=_blank>словам</a> экспертов, зловред поразил только ОС Win32, включая Vista и Windows 7. Дело, видимо, в том, что в 64-битных версиях систем MS используются дополнительные технологии, позволяющие усилить защиту ядра. Патч MS10-015 <a href='http://blogs.technet.com/msrc/archive/2010/02/11/restart-issues-after-installing-ms10-015.aspx' target=_blank>изъят</a> из службы Windows Update до окончания расследования.</p><p><p>В лагере противника инцидент с &laquo;синим экраном&raquo; тоже не прошел незамеченным. За несколько часов авторы TDL3 обновили билд, и зловреду уже не страшна <a href="http://www.securitylab.ru/news/390905.php" target=_blank>установка MS10-015</a>. По свидетельству Symantec, им пришлось для этого даже <a href='http://www.symantec.com/connect/blogs/tidserv-and-bsod' target=_blank>отключить</a> большинство своих ботов. Компонент режима пользователя теперь называется не tdlcmd.dll, а z00clicker.dll. Новая версия распространяется так же быстро и теми же методами &mdash; через торренты и варез-сайты. </p><p><p>Эксперты английской компании Prevx, которые с особым вниманием отслеживают эволюцию TDSS, отмечают, что вирусописатели трудятся над своим детищем не покладая рук. Последние несколько месяцев обновления выпускались ежедневно, иногда даже несколько раз в сутки.</p> http://www.securelist.com/ru/weblog/32425/Zlovred_pogorel_iz_za_planovogo_apdeyta 19 Feb 2010 14:51:00 +0300 Татьяна Никитина <p>Окружной суд Питтсбурга <a href='http://www.wired.com/threatlevel/2010/02/max-vision-sentencing/' target=_blank>приговорил</a> именитого хакера Макса Рея Батлера (Max Ray Butler) к 13 годам тюремного заключения. Никого еще в США так надолго не лишали свободы по обвинению в мошенничестве с использованием проводной связи и хищении персональных данных.</p><p><p>Согласно материалам расследования, 37-летний Батлер, известный также как Max Vision и Iceman, занимался сбором и сбытом пользовательской информации, которую и сам использовал для изготовления фальшивых кредиток. Хакер атаковал платежные терминалы, вторгался в базы данных финансовых институтов и не гнушался проводить опустошительные набеги на сайты своих &laquo;коллег по бизнесу&raquo;. Он учредил кардерский форум CardersMarket, на котором велась торговля банковскими реквизитами, и, действуя захватническими методами, отбивал клиентуру у конкурентов.</p><br> <br><p>Под прицел властей Батлер попал, когда после одной из таких пиратских эскапад попытался разоблачить администратора взломанного сайта, федерального агента под прикрытием. В криминальных кругах отказывались верить, что DarkMarket контролируется ФБР, и обвинили хакера в стремлении очернить конкурента, а Бюро начало расследование. Через год Батлера арестовали, а при обыске нашли компьютер, на котором хранилось 1,8 млн. номеров кредитных карт. По оценкам, с их помощью из банков было выкачано 86,4 млн. долларов.</p><p><p>С учетом масштабности правонарушений хакеру могли назначить более серьезное наказание &mdash; вплоть до пожизненного заключения. Однако Батлер покаялся во всех своих прегрешениях и проявил готовность к сотрудничеству, поэтому судьи проявили снисходительность и даже рекомендовали поместить его в пенитенциарное учреждение нестрогого режима. Осужденный также уплатит 27,5 млн. долларов в качестве возмещения ущерба и по выходе из тюрьмы проведет пять лет под надзором. </p> http://www.securelist.com/ru/weblog/32424/Rekordnyy_srok_za_khakerstvo 19 Feb 2010 14:44:00 +0300 Татьяна Никитина <p>По оценке Symantec, количество фишинговых и мошеннических посланий в прошлом месяце <a href='http://eval.symantec.com/mktginfo/enterprise/other_resources/b-state_of_spam_and_phishing_report_02-2010.en-us.pdf' target=_blank>удвоилось [PDF 2,67 Мб]</a>. Если к ним присовокупить &laquo;нигерийские&raquo; письма, то вклад этих категорий в январский спам-трафик составит 21%, превысив все известные рекорды. </p><p><p>В отчетный период страны EMEA вновь опередили прочие регионы по количеству спам-рассылок. По сравнению с предыдущим месяцем их доля в общем объеме &laquo;мусорной&raquo; почты увеличилась на 7,9% и превышала 42%. Четверть нелегитимной корреспонденции распространялась из Северной Америки, около 20% &mdash; из стран Азиатско-Тихоокеанского региона. В разделении источников спама по отдельным странам первенство удерживали США (24%), равно как и по количеству фишинговых страниц (более половины от общего количества). </p><p><p>Объемы товарного спама после рождественских празднеств сократились; в январе на его долю приходилось лишь 14% почтового &laquo;мусора&raquo; &mdash; столько же, сколько и на рекламу фармацевтических изделий. Около трети спам-трафика было посвящено продвижению интернет-услуг.</p><p><p>Большинство спамовых URL (68,6%), зафиксированных в январе, было привязано к доменной зоне .com. Использование китайских доменов сократилось более чем вдвое &mdash; по-видимому, благодаря успеху <a href='http://www.securelist.com/ru/weblog/32415/CNNIC_ne_shutit' target=_blank>национальной кампании</a> по очистке ресурсов от нежелательного контента. А вот популярность российского домена у спамеров, напротив, выросла, и почти впятеро.</p><p><p>Исследователи отметили, что фишинговые атаки стали более таргетированными. Их авторов больше интересует авторитетность брэнда, чем масштабность охвата. В прошлом месяце фишеры создали на четверть меньше поддельных страниц, чем в декабре &mdash; скорее всего, из-за снижения популярности готовых комплектов для проведения кибератак. По данным Symantec, их использование для фишинга сократилось вполовину. </p><p><p>Интересное продолжение получили фишинговые атаки, ориентированные на любителей &laquo;клубнички&raquo;. Обычно злоумышленники искушают пользователя свободным доступом к порноконтенту в обмен на регистрацию или подписку. После ввода персональных данных на странице-ловушке, созданной фишерами, его перенаправляют на искомый ресурс. По свидетельству экспертов, теперь цепочка редиректов удлинилась, так как распространители ложных антивирусов тоже хотят получить свой кусок пирога.</p><p><p>Стоит обратить внимание, что в этом году Symantec будет публиковать ежемесячную статистику по спаму и фишингу единым документом.</p> http://www.securelist.com/ru/weblog/32423/Symantec_pyatuyu_chast_spama_rasprostranyayut_moshenniki 19 Feb 2010 14:41:00 +0300 Татьяна Никитина <p>Согласно <a href='http://www.javelinstrategy.com/news/831/58/Javelin-Study-Finds-Identity-Fraud-Reached-New-High-in-2009-but-Consumers-are-Fighting-Back/d,pressRoomDetail' target=_blank>результатам</a> исследования, проведенного компанией Javelin Strategy & Research, от кражи персональных данных в прошлом году пострадало на 12% больше американцев, чем в предыдущем. Совокупный ущерб тоже увеличился и составил порядка 54 млрд. долларов.</p><p><p>В опросе, которым исследователи уже в седьмой раз завершают год, приняли участие более 5 тыс. представителей разных возрастных групп, но не моложе 18 лет. Как выяснилось, почти половина тех, чьи данные были использованы злоумышленниками в корыстных целях, заявили об этом в полицию &mdash; вдвое больше, чем в 2008 году. Среднее время расследования и урегулирования инцидентов сократилось с 30 до 21 часа, количество судебных исков утроилось, а число обвинительных заключений удвоилось.</p><p><p>Персональные потери в среднем составили 4,8 тыс. долларов, хотя в отдельных случаях превышали 50 тыс. Однако в соответствии с действующим в США законодательством финансовые институты компенсировали индивидуальным жертвам почти все их убытки. В итоге потерпевший чаще всего ничего не терял из-за действий злоумышленников, а средний размер реального ущерба по стране был как никогда низким &mdash; всего 373 доллара. </p><p><p>Исследователи отметили, что система проактивного мониторинга и оповещения клиентов о подозрительном движении денежных средств, внедренная крупными кредитными организациями, позволила предотвратить многие попытки хищения. Клиенты тоже стали проявлять больше заботы о защите своих средств и данных: регулярно проверять состояние счета, подписываться на рассылку оповещений об угрозах, внимательно относиться к запросам на предоставление личной информации. </p><p><p>Наиболее легкомысленными в отношении безопасности оказались молодые люди в возрасте от 18 до 24 лет: они редко проверяют свои счета и поздно обнаруживают факт хищения. Но, попав в переплет, они быстрее других начинают вооружаться, используя все доступные технические средства, и в первую очередь устанавливают антивирусы. Молодежь широко пользуется системой онлайн-банкинга и биллинговыми услугами, быстро осваивает сервис мобильных платежей.</p><p><p>В трети случаев злоумышленники используют украденные данные, чтобы открыть новый счет. По оценке Javelin, 39% информации, похищенной в 2009 году, послужило основанием для оформления кредитной карты. Число онлайн-счетов, открытых под чужим именем, более чем вдвое превысило показатель за предыдущий год, а количество электронных &laquo;кошельков&raquo; &mdash; на 12%. 29% опрошенных заявили, что их данные были использованы для создания учетной записи на сервисе мобильных услуг. </p> http://www.securelist.com/ru/weblog/32422/Amerikantsy_nauchilis_davat_otpor_ID_moshennikam 18 Feb 2010 15:16:00 +0300