Веблог

Двое суток сторонники безопасного интернета наблюдают игру в «кошки-мышки», где главным призом является сотня головных серверов ZeuS, размещенных в Рунете.

9-го марта швейцарские эксперты из ZeuS Tracker, отслеживающие деятельность этого троянца (Trojan-Spy.Win32.Zbot), с удивлением обнаружили, что количество действующих центров управления ботнетами сократилось более чем на треть. Соответственно снизилась и общая активность троянца в Сети: ведь каждый командный сервер ZeuS поддерживает связь с 20-50 тыс. зараженных машин. Среди ушедших в оффлайн командиров был и тот, что помог злоумышленникам обокрасть работяг в штате Кентукки. А со страницы текущей статистики ZeuS Tracker также исчезли шесть российских и украинских хостинг-провайдеров, в сетях которых были размещены эти серверы.

Как позже выяснилось, группа экспертов по интернет-безопасности убедила москвичей – телеоператора «Айхоум» и владельцев нового дата-центра «Оверсан-Меркурий» – отключить интернет-провайдера Troyak, услугами которого, в числе прочих, пользовались 6 упомянутых выше хостинг-провайдеров. Однако на следующий день Troyak нашел нового телеоператора, а когда спустя некоторое время ему и здесь отказали, обратился в RTComm. К вечеру 11-го марта активисты ZeuS Tracker отметили, что большинство отключенных серверов, управляющих троянцем, опять в строю. Это означает, что злоумышленники получили возможность перенести информацию, украденную ZeuS, на более безопасный ресурс и создать резервный центр управления, обновив боты.

Сама компания Troyak в лице некоего Романа Старченко из Казахстана заявила, что временное отсутствие связи с интернетом было вызвано задолженностью администрации по оплате услуг. Организация числится в базе данных WhoIs с ноября 2007 года, а в конце 2009-го зарегистрировала (через Старченко) домен TroyAk.org. Возможно, это простое совпадение, но оформляла домен небезызвестная индийская компания Directi – аккредитованный в ICANN регистратор, пользующийся большой популярностью у спамеров.

Update: утром 12-го марта Troyak был вынужден вновь поменять телеоператора и теперь связан с интернетом через московскую городскую сеть ЭНЛАИН.

События → Заседание продолжается! Юрий Наместников опубликовано 12 мар 2010, 15:26  MSK Сюжеты: Выставки и конференции рейтинг постинга 0.1

А точнее, продолжается наш курс в МГУ. О лекции, состоявшейся во вторник, я могу рассказать не только как зритель, но и как непосредственный участник, а точнее — лектор.

Основной целью лекции было показать, какие концептуальные проблемы стоят перед аналитиками и разработчиками антивирусов. Для начала мы поупражняли свое серое вещество, обсудив различные теоретические вопросы. Возможно ли создание идеального антивируса, детектирующего все вредоносные программы? А возможно ли создание недетектируемого вируса? Это, безусловно, интересные вопросы для затравки, но практика всегда интереснее теории. Я показал цепочку событий из мира вирусов и антивирусов, состоящую из вызовов со стороны вирусописателей и ответов со стороны антивирусных специалистов. Полиморфные движки вредоносных программ и создание эмуляторов специалистами AV-индустрии, противодействие антивирусным программам и разработка технологий самозащиты антивируса — эти и некоторые другие моменты изобразили «гонку вооружений», в которой участвуют вирусописатели и антивирусные вендоры. Ну а чтобы никто не воспринял эти проблемы как чисто теоритические, они были проиллюстрированы примерами из реальной жизни.

После этого у нас осталось еще немного времени, что позволило мне затронуть еще одну важную тему — подход к классификации вредоносных программ. Зачем рассказывать о классификации, спросите вы. Ответ прост — классификация дает нам новые знания. Только верно классифицировав все обработанные вредоносные программы, мы можем строить прогнозы и ориентироваться в неспокойном мире компьютерных угроз. Правильная и строгая классификация позволит нам понять, от чего нужно защищать пользователя и какие технологии нужно развивать именно сейчас.

Spam Test → Все новое это еще не забытое старое Мария Наместникова опубликовано 12 мар 2010, 15:14  MSK рейтинг постинга 0.1

Не так давно мошенники в интернете тянули деньги из молодежи, предлагая испробовать "звуковые наркотики". На красочных сайтах невероятно-заумными словами описывался принцип действия "звуковых наркотиков". Желающий испрбовать "звуковую дурь" мог выбрать, какие ощущения он хочет получить после прослушивания: эффект схожий с действием настоящих наркотиков, или, скажем, взбодриться, как после десятка чашек кофе.

Вскоре, выяснилось, что "звуковые наркотики" всего лишь разводка на деньги. Догадаться об этом с самого начала было не трудно: оплата в виде смс-сообщений на короткий номер и пользовательское соглашение написанное мелким нечитаемым шрифтом - все это до боли знакомые признаки, не находите?

Когда пользователи уже привыкли к этой уловке и перестали на нее вестись, мошенники решили изобрести новую схему. Но долго думать они не захотели.

Вчера мы получили письмо следующего содержания, и тут же поняли, куда ведет след из хлебных крошек

Исследования → И снова многострадальный Adobe Женя Асеев опубликовано 12 мар 2010, 14:31  MSK Сюжеты: Критические уязвимости, Статистика по уязвимостям рейтинг постинга 0

В наиболее распространенных продуктах компании Adobe — Acrobat/Reader — заинтересованные лица продолжают находить уязвимости и успешно их использовать.

Так, несколько дней назад к нам в Лабораторию попал интересный PDF-файл (детектируется как Exploit.JS.Pdfka.bui), в котором содержалось эксплуатирование обнаруженной в феврале уязвимости CVE-2010-0188 в Acrobat/Reader версии 9.3 и ниже.

В первую очередь в глаза бросается заведомо неправильно сформированное TIFF-изображение, которое находится внутри исходного PDF-файла.

Уязвимость — переполнение буфера — проявляется при обращении к полю, содержащему это изображение. Сама же атака осуществляется с помощью техники heap spraying, которая активно используется во многих эксплойтах к продуктам, которые могут обрабатывать JavaScript-код. К примеру, последняя громкая атака Aurora, была проведена с применением именно этой техники.

При удачном использовании вышеописанной уязвимости, адрес возврата перезаписывается заранее известным адресом 0xC0C0C0C0, по которому находится контролируемый злоумышленниками код.

К двум годам и семи месяцам тюремного заключения приговорил эстонский суд нераскаявшегося хакера, решавшего свои проблемы посредством DDoS-атак.

Согласно материалам следствия, 44-летний Артур Бойко неоднократно предъявлял свои претензии разным организациям таким незамысловатым способом. Жертвой его вендетты пали сайты страховой компании IF Eesti Kindlustus, которая не нашла оснований для выплаты страховки после автомобильной аварии; ресурсы провайдеров Starman, Microlink Eesti, Elion, а также интернет-портал стран Балтии Delfi. Во время атаки на страховщиков под раздачу попал и сервер безвинного департамента полиции.

В ожидании приговора Бойко уже отсидел в КПЗ год и семь месяцев, так что пребывать в казенном доме ему осталось не так долго. Он также должен будет возместить ущерб пострадавшим в размере 6,5 млн. крон (около 570 тыс. долларов).

По свидетельству F-Secure, осужденный является автором сетевого червя-полиморфика Allaple (в классификации ЛК Net-Worm.Win32.Allaple), который и помог ему осуществлять эти кибердиверсии. Вся беда в том, что этот червь — не бот и не имеет центров управления. Обосновавшись на зараженной машине, он будет выполнять свои задачи, пока его не выгонят. Эксперты утверждают, что детище Бойко осело на тысячах ПК, разбросанных по всему миру, и его заразительное шествие пресечь пока не удалось.