Как вы, наверно, помните, в 2011 году мы каждый месяц публиковали обои с антивирусным календарем.

В этом году мы также публикуем антивирусные обои — с обновленными данными. Но мы решили подойти к делу немного иначе и опубликовать сразу 12 обоев на все месяцы года.

Итак, обои на 2012 год лежат здесь.

Надеемся, вам понравится дизайн наших новых обоев, а данные будут вам интересны.

Наши новые антивирусные обои.

1280x800 | 1680x1050 | 1920x1200 | 2560x1600

В канун Рождества интернетом пользуется больше людей – ведь это быстрый и удобный способ приобрести рождественские подарки. Как следствие, это прекрасное время для киберпреступников, которые стремятся нажиться на пользователях Сети. Поэтому – самое время напомнить об основных правилах, выполнение которых не позволит киберпреступниками испортить вам праздник.

1. Установите защитную программу и следите за обновлениями.
2. Поддерживайте Windows и другие приложения в актуальном состоянии.
3. Регулярно проводите резервное копирование данных на CD, DVD или внешний USB-накопитель.
4. Не отвечайте на электронные сообщения, если вы не знакомы с отправителем.
5. Не открывайте почтовые вложения, если не знаете отправителя.
6. Не нажимайте на ссылки в электронном сообщении или мгновенном сообщении. Впечатывайте адрес непосредственно в ваш веб-браузер.
7. Не отсылайте личную информацию в ответном письме на электронное письмо или другое сообщение, даже если оно выглядит официальным.
8. Совершайте покупки, банковские операции и общайтесь только на безопасных сайтах. Удостоверьтесь, что URL-ссылка начинается с ‘https://’.
9. Используйте уникальный пароль для каждого веб-сайта или используемого сервиса. Не используйте пароли повторно (e.g. ‘jackie1’, ‘jackie2’). Не создавайте пароли, которые будет легко отгадать (например, имя матери, кличка домашнего животного). Никому не сообщайте ваши пароли.

Четверть участников опроса, проведенного компанией «Код Безопасности» среди российских организаций, убеждены, что наибольшую опасность для бизнеса представляет несанкционированный доступ собственных сотрудников к конфиденциальной информации.

В опросе, нацеленном на выявление актуальных угроз информационной безопасности, приняли участие более 100 представителей российских компаний. Помимо инсайдеров, респонденты опасаются потери/кражи важной информации (23%), зловредов (19%) и кибератак (14%). Риски, связанные с распространением шпионских программ и спама, указали лишь 9% опрошенных.

Не менее интересной оказалась оценка соответствия российских организаций требованиям Федерального закона «О персональных данных». Больше половины участников опроса заявили, что их работодатели уже приняли надлежащие меры по защите внутренней информации. Компании, запустившие соответствующий проект, но не завершившие его реализацию, составили 37% опрошенных. 5% запланировали такие мероприятия на следующий год, 6% пока не думали над этим вопросом.

Наши новые антивирусные обои:

1280x800 | 1680x1050 | 1920x1200 | 2560x1600

Наше исследование троянской программы Duqu продолжается. В первой части отчета, опубликованной несколько дней назад мы указали на существование гораздо большего количества драйверов, чем считалось раньше, а также сделали выводы о возможном наличии других модулей. Кроме того, мы пришли к выводу, что в отличие от массового распространения, как это было со Stuxnet, Duqu атакует только крайне малое число целей.

Однако прежде чем сообщить о наших очередных находках, я должен выразить глубокое уважение к работе, проделанной венгерской исследовательской лабораторией Crysys. Именно они были первыми, кто исследовал компоненты Duqu и подготовил великолепный отчет, который затем был предоставлен ими другим антивирусным компаниям и стал основой для дальнейших исследований. К сожалению, наша компания не была в числе первых получателей этого отчета, но тем интересней эта задача для нас сейчас – выяснить про Duqu всё.

Наши эксперты продолжают проводить глубокий анализ всех файловых компонентов Duqu и находят все больше и больше подтверждений его сходства со Stuxnet. Детальный отчет с анализом работы файлов и их структуры находится в процессе подготовки и будет опубликован позже. Эта часть исследования – сейчас не самое главное и срочное, гораздо важней понять причины происходящего и ход развития событий.

Прежде всего мы считаем необходимым внести ясность в некоторую путаницу с именами файлов и с самими файлами, относящимися к данному инциденту. Для полного понимания ситуации необходимо знать, что на самом деле речь идет о двух (как минимум) разных вредоносных программах. Все, что было сказано в прошедшие сутки о связи Duqu со Stuxnet, в большинстве случаев относится только к первой из этих программ.

Ее основной модуль по сути состоит из трех компонентов:

• драйвер, который осуществляет внедрение dll в системные процессы;
• dll, которая содержит дополнительный модуль и взаимодействует с центром управления;
• файл конфигурации.

Именно этот комплекс и имеет максимальное сходство со Stuxnet, как по внутренней структуре, так и поведению в системе. Однако название Duqu не имеет к основному модулю практически никакого отношения — оно исходит из имен файлов, которые создает в системе совершенно другая вредоносная программа–шпион!

Эта вторая программа в основном является кейлоггером, но также может собирать разнообразную дополнительную информацию. Она была обнаружена у одной из пострадавших компаний вместе с описанным выше основным модулем. С учетом возможностей основного модуля по загрузке дополнительных компонент, на основании этого было сделано предположение о связи этих двух вредоносных программ. В ходе своей работы троянец-шпион сохраняет собранные данные в файлы с именами вида ~DQx.tmp. По этим названиям и было дано имя, под которым теперь подразумевается и основной модуль.

На самом деле код троянца-шпиона свидетельствует о том, что кейлоггер в какой-то степени связан с основным модулем, и вероятней всего он действительно был когда-то им загружен. Что же касается функционала, то это совершенно самостоятельная вредоносная программа, которая может работать и без основного модуля. Точно так же, как и основной модуль может работать без наличия в системе троянца-шпиона. Однако связи между кейлоггером и Stuxnet не столь очевидны, так что его с очень большой натяжкой можно назвать в лучшем случае «внуком», но уж точно никак не «сыном» Stuxnet :)

- Что представляет собой Duqu и какое отношение он имеет к Stuxnet?

Duqu - сложная троянская программа, которая, похоже, была написана создателями скандально известного червя Stuxnet. Её основная цель - действовать в качестве бэкдора в системе, упрощая кражу частной информации. Это его основное отличие от Stuxnet, главной целью которого были диверсии на промышленных объектах. Также важно отметить, что если Stuxnet способен распространтсья с одного компьютера на другой при помощи различных механизмов, Duqu - это троянская программа, которая, судя по всему, не размножается самостоятельно.

- Направлена ли эта программа на оборудование PLC/SCADA? Известно ли, кто или что именно является мишенью программы?

В отличие от Stuxnet, Duqu не нацелен на оборудование PLC/SCADA напрямую, хотя некоторые из его подпрограмм могли бы использоваться для кражи информации, имеющей отношение к промышленным объектам. Duqu, похоже, предназначен для сбора конфиденциальной информации о его мишенях, что может включать практически любые данные, хранящиеся в цифровом формате на ПК жертвы.

- Каким образом Duqu заражает компьютеры? Может ли он распространяться через USB-устройства?

На данный момент мы наблюдаем только его следы в зараженных системах, а не его основной компонент. По-видимому, существует «материнский» дроппер для Duqu, который заражает компьютеры, однако мы пока не располагаем его самплом.

- Есть ли в составе Duqu эксплойт, особенно эксплойт нулевого дня?

Пока мы не обнаружили такового, однако продолжаем анализ. Вредоносный код достаточно сложен, и его анализ требует значительного количества времени.

- Каким образом производители антивирусных решений узнали об этой угрозе? Кто сообщил о ней?

Первое публичное упоминание, о котором нам известно, содержалось в блогпосте некоего венгерского блоггера, который, по-видимому, стал жертвой этой атаки. Позднее он опубликовал больше информации о сертификате, используемом для подписи драйвера Duqu, однако, в конечном счете, удалил все посты, имеющие отношения к этой атаке.

- Когда эта угроза была впервые обнаружена?

Нашими продуктами шпионский компонент (infostealer) детектируется с 14 сентября как Trojan.Win32.Inject.bjyg.

- Сколько существует вариантов Duqu? Есть ли между ними принципиальные отличия?

По-видимому, существует по крайней мере три варианта драйверов Duqu, а также несколько других компонентов. Все они детектируются разными антивирусными компаниями под разными названиями, что создает впечатление существования множества различных вариантов. На момент написания нам было известно об одном компоненте, крадущем конфиденциальную информацию, и трех различных драйверах.

- Говорят, что эта программа направлена именно на центры сертификации. Соответствует ли это действительности? Откуда это известно?

Действительно, существует информация, которая указывает на то, что основной целью Duqu является кража данных с CA, однако на данный момент мы не располагаем информацией, которая однозначно это бы подтверждала.

- По заявлениям Symantec, троянская программа нацелена на определенные организации, возможно, с целью сбора особой информации, которая может использоваться при проведении атак в будущем. Какая информация нужна злоумышленникам, и какие атаки возможны в будущем?

Одно из предположений - Duqu использовался для кражи у центров сертификации сертификатов, которые могут применяться для подписи вредоносного кода, чтобы затруднить его детектирование. На самом деле, backdoor-функционал в Duqu достаточно сложен и может использоваться для гораздо более разнообразных целей. По сути, он может красть все, что угодно.

- C&C-сервер, используемый Duqu, до сих пор активен? Что происходит при обращении зараженной машины к C&C?

C&C-сервер Duqu, раположенный в Индии, более неактивен. Как и в случае с Stuxnet, он был отключен достаточно быстро после распространения новостей о Duqu.

- Почему Duqu работает в течение 36 дней?

Может быть, его автору нравились круглые значения, как, например, 6x6?

- Кто стоит за этой атакой?

Та же группировка, которая создала Stuxnet. Любопытно то, что они, похоже, заинтересовались астрономией; в составе исполняемого файла-шпиона, есть часть JPEG-файла — изображение, полученное с телескопа Hubble (“Interacting Galaxy System NGC 6745”):

На картинке запечатлены последствия прямого столкновения двух галактик (!), которое произошло несколько миллионов лет назад. Об этом можно прочитать здесь.

Продолжение следует...

Представляем новые антивирусные обои:

1280x800 | 1680x1050 | 1920x1200 | 2560x1600

По данным компании Imperva, в 83% случаев кражи конфиденциальной информации, осуществляемой путем взлома, повинны SQL-инъекции.

Чтобы определить специфику этого способа незаконного проникновения и степень угрозы, исследователи в течение трех кварталов наблюдали работу 30-ти популярных веб-приложений. Полгода интенсивность кибератак по методу SQL-инъекций в среднем составляла 53 запросов в час, а с июля возросла до 71. На пике этот показатель для некоторых приложений увеличивался в 10-20 раз.

Как выяснилось, хакеры постоянно совершенствуют технику проведения SQL-инъекций и научились с успехом обходить простейшие средства защиты, основанные на сигнатурном анализе. Они используют готовые инструменты для автоматизации процесса ― Sqlmap, Havij, а также ботнеты. 58% атак с применением SQL-инъекций проводятся с территории США, 11% ― из Швеции, 8% из Китая. Большинство плацдармов служат нескольким хозяевам, но их единственным назначением является осуществление массовых SQL-инъекций. Среднее время активности веб-узла, контролируемого хакерами, ― 12 часов, медианное значительно короче. Примечательно, что 40% кибератак по методу SQL-инъекций проводятся с участием лишь 10-ти хостов.

Проведенное Imperva исследование показало, что уязвимости, провоцирующие SQL-инъекции, сохраняют свою актуальность. Они весьма опасны, так как их эксплуатация нередко бывает успешной и грозит потерей важной информации. По оценке экспертов, в общее число роковых дефектов на местах приближается к 115 миллионам. Во избежание серьезных неприятностей бизнес-структурам рекомендуется использовать адекватные средства обнаружения попыток SQL-инъекций, защиту от программ-роботов, а также возможно чаще обновлять списки источников угрозы.

Представляем наши последние антивирусные обои:

1280x800 | 1680x1050 | 1920x1200 | 2560x1600

Этот месяц знаменует годовщину с момента ареста предполагаемого автора вируса CIH (также известного как Chernobyl). Этот вирус был предназначен для удаления флеш-BIOS компьютеров с операционной системой Windows 9x, что приводило к невозможности загрузки ПК — это было особенно неприятно для ноутбуков, где такие аппаратные компоненты как флеш-память встроены в материнскую плату. Также у CIH была еще одна функция — записывать «мусор» поверх жесткого диска.

Этот вирус нанес ущерб большому количеству компьютеров в Южной Корее в 2000 году, через три года после своего появления.

Сегодня, в отличие от кибер-вандализма 1990-х, среди угроз преобладают вредоносные программы, нацеленные на получение наживы. Тем не менее, CIH напоминает о том, что и кибер-вандализм мог иметь серьезные финансовые последствия для его жертв.