i-Mode.ru · Темы дня · Разделы дня · Ярмарка новостей

До сих пор программы-вымогатели требовали от жертвы отправить платное SMS-сообщение на указанный номер или пополнить счет сотового телефона одного из российских операторов. Теперь, очевидно, создатели "винлоков" вышли на международный уровень, и в ближайшем будущем можно прогнозировать появление более изощренных угроз. Подробно об этом на hitech.newsru.com »

При подключении к одному из игровых серверов Counter-Strike 1.6, созданному злоумышленниками, на компьютер пользователя загружались подозрительные файлы. Эксперты предполагают, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на "неугодные" игровые серверы. Подробно об этом на hitech.newsru.com »

Специалисты компании «Доктор Веб» обнаружили массовый взлом веб-сайтов (более 21 000 на 31 августа 2011 года), с которых на компьютеры пользователей под видом драйверов загружается вредоносное ПО, в том числе печально известный троянец Trojan.Mayachok.1.

Сотрудниками антивирусной лаборатории компании «Доктор Веб» был обнаружен ряд веб-сайтов, имеющих в своей структуре отдельный подсайт, никак не связанный с основной тематикой данных интернет-ресурсов. Оформление этих «встроенных» страниц идентично и отличается лишь незначительными деталями. Все они предлагают пользователям загрузить драйверы различных устройств. Ссылка на файл драйвера перенаправляет пользователя на промежуточный сайт, например ipurl.ru (сайт биржи трафика), а уже оттуда на другой ресурс, с которого под видом драйвера загружается троянская программа Trojan.Mayachok.1. Кроме того, ссылки с некоторых взломанных сайтов ведут на поддельные службы файлового обмена. По состоянию на 12.00 31 августа 2011 года было выявлено более 21 000 адресов веб-сайтов, распространяющих это вредоносное ПО. Имеются все основания предполагать, что владельцы или администраторы этих ресурсов стали жертвами хищения паролей от FTP-клиентов, для чего злоумышленники могли воспользоваться многочисленными троянскими программами.

Среди десятков тысяч взломанных ресурсов можно отметить серверы общества «Православная семья», сайт российской организации буддистов, сервер «Алтайского краевого объединения профсоюзов», а также многочисленные сайты различных коммерческих и некоммерческих организаций. Получить список взломанных сайтов можно с использованием, например, поискового запроса файл samsung syncmaster драйвер упакован в архив.

Напомним что вредоносная программа Trojan.Mayachok.1 блокирует нормальную работу браузеров на инфицируемом компьютере. В начале июля 2011 года атаке этой троянской программы подверглись пользователи интернет-провайдера «Ростелеком», а в августе Trojan.Mayachok.1 стал, согласно данным статистики, одной из самых распространенных угроз.

Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее SMS. Среди блокируемых троянцем сайтов замечены youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Запустившись на инфицированном компьютере, троянец создает в каталоге system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временный каталог под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в каталог C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.

Подробно об этом на ferra.ru »

Получить доступ,а тем более перезаписать микросхему с BIOS - задача нетривиальная. Кроме того, предупреждают аналитики, в будущем возможно появление более совершенных модификаций данной троянской программы либо вирусов, действующих по схожему алгоритму. Подробно об этом на hitech.newsru.com »

Специалисты компании «Доктор Веб» зафиксировали ряд обращений владельцев планшетных устройств iPad, обеспокоенных появлением окон, блокирующих нормальную работу браузера Safari и других браузеров при посещении ряда веб-сайтов. Проведенное специалистами «Доктор Веб» расследование выявило, что причиной появления этих окон является встроенный злоумышленниками в некоторые веб-страницы вредоносный сценарий на языке JavaScript.

Компания «Доктор Веб» ранее уже сообщала об аналогичной угрозе для мобильных устройств, работающих под управлением ОС Android. В случае с устройствами на базе iOS речь также идет о встроенном в веб-страницы сценарии на языке JavaScript, демонстрирующем при открытии ряда сайтов всплывающее окно с требованием отправить на указанный номер платное СМС-сообщение для доступа к данному интернет-ресурсу. Нажатие кнопок «ОК» или «Отмена» не приводит к закрытию окна, а перезапуск браузера влечет за собой его повторное открытие, поскольку, в частности, Safari автоматически восстанавливает последнюю завершенную сессию.

Как и в случае с ОС Android, способ противодействия данной угрозе довольно прост: пользователям устройств на базе iOS достаточно открыть системный апплет «Настройки», перейти на вкладку Safari, выбрать пункт «Удалить файлы cookie и данные», после чего нажать во всплывающем окне кнопку «Очистить». В том же списке следует воспользоваться пунктом «Очистить историю», для того чтобы запретить Safari возобновлять ранее прерванную сессию. Кроме того, можно открыть новую вкладку Safari из любого другого приложения (например, воспользовавшись пунктом меню «Перейти на сайт производителя» или открыв сайт iTunes), после чего закрыть в Safari все остальные вкладки, включая страницу с вредоносным скриптом.

Сложности могут возникнуть с другими браузерами для iOS, доступ к настройкам которых открывается из окна самого браузера, а не из системного апплета «Настройки». Если в подобных программах отсутствует возможность очистки кеша и журнала извне самого приложения, пользователю могут потребоваться более серьезные меры для устранения описанной проблемы, вплоть до переустановки браузера. За точными инструкциями необходимо обратиться к документации соответствующего ПО.

Следует отметить, что вредоносные сценарии не проверяют user-agent клиента, и потому аналогичное окно открывается в любых браузерах с поддержкой JavaScript, работающих под управлением любой операционной системы. Адреса содержащих подобные сценарии сайтов добавлены в базы родительского контроля Dr.Web и списки сайтов, распространяющих вирусы.

Подробно об этом на ferra.ru »

Мошенническая схема основана на том факте, что к поступающим от родственников, приятелей и знакомых посланиям пользователи относятся с большим доверием, а значит, чаще клюют на приманку жуликов, рассылающих ролик с рекламой сайта, якобы позволяющего бесплатно отправлять виртуальные подарки и получать дополнительные голоса. Подробно об этом на hitech.newsru.com »

Все эти программы относятся к семейству троянов Android.SmsSend, способных отправлять SMS-сообщения на платные номера без согласия пользователя. После сообщения специалистов вредоносные приложения были оперативно удалены из онлайн-магазина. Буквально на днях, кстати, топ-менеджер Google назвал создателей антивирусов для Android шарлатанами и мошенниками. Подробно об этом на hitech.newsru.com »

Компания «Доктор Веб» сообщает об обнаружении большого количества вредоносных программ в официальном каталоге приложений Android Market. Все эти программы относятся к семейству троянцев Android.SmsSend, способных отправлять SMS сообщения на платные номера без согласия пользователя. После обращения специалистов "Доктор Веб" в компанию Google вредоносные приложения были оперативно удалены из Android Market. Сами по себе SMS троянцы не являются уникальными разработками, а концепция их работы не нова и уже давно используется злоумышленниками на просторах Всемирной сети. Вместе с тем они могут нанести существенный ущерб благосостоянию жертвы, со счета которой списывается определенная сумма за каждое отправленное сообщение.

Каталог приложений Android Market уже не в первый раз становится источником распространения вредоносных программ. Так, ранее в нем были найдены троянцы семейства Android.DreamExploid, Android.DDLight и некоторые другие. Несмотря на то, что единичные случаи появления в Android Market троянцев семейства Android.SmsSend отмечались и раньше, такое массовое их распространение зафиксировано впервые.

На сегодняшний день компания «Доктор Веб» сообщает о 33 выявленных на Android Market вредоносных программах данного типа, созданных двумя различными разработчиками. Для распространения угрозы злоумышленники используют интересную схему: большинство вредоносных программ позиционируется как приложения – каталоги изображений, позволяющие изменять фоновый рисунок Рабочего стола Android, и они действительно обладают такой функциональностью. Тематика предлагаемых картинок самая широкая: от компьютерных игр до фотографий природы. Среди прочих вредоносных приложений встречаются и весьма оригинальные. Например, программа для составления гороскопов, диет, программа-фонарик и другие. Стоит отметить, что их интерфейс весьма аскетичен, и наличие хоть какой-то функциональности призвано, скорее, прикрыть истинную цель вирусописателей – отправку с мобильного устройства жертвы платных SMS.

Помимо прочего, злоумышленники используют простой, но эффективный метод, позволяющий максимально увеличить вероятность того, что данные приложения будут замечены пользователями. Для этого в ключевых словах, которые разработчики добавляют в описания программ, часто помещаются популярные словосочетания, не относящиеся к данному продукту, например, названия популярных игр, таких как Angry Birds. В результате ссылки на подобные программы часто демонстрируются в первых строках результатов поиска по каталогу Android Market.

Принцип действия данных вредоносных приложений вполне стандартен. После запуска программы пользователю обычно демонстрируется текст, говорящий о том, что владелец мобильного устройства соглашается с неким условиями, причем само соглашение с перечнем этих условий, как правило, отсутствует. Хитрость заключается в том, что последнее слово в данном тексте представляет собой гиперссылку на страницу с лицензионным соглашением и никак не выделяется на фоне окружающих слов. Пользователь должен очень постараться, чтобы обнаружить такую скрытую ссылку. Стоит ли говорить, что после подтверждения согласия нажатием на соответствующую кнопку приложение немедленно попытается отправить платное SMS сообщение?

В приложениях другого разработчика функциональность несколько отличается, хотя и незначительно. После запуска на экране устройства появляется вступительный текст и две кнопки: подтверждение согласия с условиями лицензии, и вторая, при нажатии на которую должен открываться тест соглашения. Но и здесь не обошлось без хитрости: соглашение располагается на стороннем веб-сайте, который в данный момент не функционирует, поэтому ознакомиться с предлагаемыми условиями пользователь не может. После получения подтверждения приложение немедленно пытается отправить SMS сообщения. Компания Google уже удалила данные вредоносные программы из каталога Android Market, а необходимые записи внесены в вирусные базы Dr.Web.

Подробно об этом на ferra.ru »

38-летний создатель файлообменника Megaupload гражданин Германии и Финляндии Ким Дотком, он же Ким Шмитц, он же Ким Тим Джим Вестор, обвиняется в нарушении авторских прав и отмывании денег. Когда приехала полиция, он активировал всевозможные системы электронных замков в доме стоимостью 25 млн долларов, забаррикадировался в специальной комнате-сейфе и приготовил оружие. Подробно об этом на hitech.newsru.com »

При этом пользователи остаются в уверенности, что сообщения, которые он отправляют, не содержат ничего постороннего. Зловредное ПО относится к новому семейству троянских программ, но, как и другие, оно помогает злоумышленникам похищать персональные данные и запускать приложения без ведома пользователя. Подробно об этом на hitech.newsru.com »

Компания «Доктор Веб» предупредила о широком распространении троянской программы Trojan.Spamer.46, рассылающей в социальных сетях ВКонтакте, Одноклассники, а также «Мой мир @ Mail.Ru» сообщения с рекламой мошеннических сайтов.

Trojan.Spamer.46

Данный троянец, написанный на языке С++, распространяется через торренты вместе с архиватором WinRAR. После инсталляции программы-архиватора в папке установки появляется «лишний» файл RarExtr.dll, который вызывается при запуске архиватора. Загрузившись в память, данная вредоносная библиотека сохраняет в папку Windows\System32 файл kbdfv.dll, содержащий в себе троянскую программу Trojan.Spamer.46.

Затем троянец ищет среди запущенных в системе процессов firefox.exe и, если находит, встраивает в него содержимое своей библиотеки. После этого Trojan.Spamer.46 начинает осуществлять фильтрацию исходящего трафика в поисках форм отправки сообщений сайтов vkontakte.ru, odnoklassniki.ru и my.mail.ru, добавляя в отправляемые пользователем сообщения текст «Кстати, глянь: [ссылка]». Гиперссылка ведет на мошеннический сайт, предлагающий услугу предсказания судьбы по линиям ладони за платное SMS-сообщение.


Компания «Доктор Веб» рекомендует внимательнее относиться к программам, получаемым из недостоверных источников, и по возможности использовать ПО, загруженное с официальных сайтов производителя. Сигнатура данной угрозы уже добавлена в вирусные базы, вследствие чего Trojan.Spamer.46 не представляет опасности для пользователей антивирусных программ Dr.Web.

Подробно об этом на ferra.ru »

Компания «Доктор Веб», предупредила о распространении семейства троянских программ, добавленных в вирусные базы Dr.Web под наименованием BackDoor.Volk. Эти троянцы способны изменять содержимое файла hosts и выполнять на инфицированной машине поступающие от удаленного сервера злоумышленников команды. Интересно, что предположительной родиной этих троянцев является Южная Америка.

BackDoor.Volk

В течение последнего времени в вирусную лабораторию компании «Доктор Веб» поступил целый «выводок» троянцев семейства Volk, первым из которых стал BackDoor.Volk.1. Любопытно, что эта вредоносная программа написана на языке PHP, применяющемся в основном для создания скриптов и приложений, работающих на стороне сервера, и конвертирована в исполняемый код при помощи утилиты php2exe. Троянец модифицирует на зараженной машине файл hosts, отвечающий за сопоставление DNS-имен IP-адресам, а также способен загружать с удаленного узла и запускать на инфицированном ПК различные приложения.

Троянцы BackDoor.Volk способны объединяться в ботнеты, управляемые посредством специальной административной панели. В распоряжении аналитиков «Доктор Веб» имеется дамп базы данных управляющего сервера одного из ботнетов, построенных на базе BackDoor.Volk. Судя по записям в данной базе, в сети присутствует порядка 100 ботов, а география инфицированных машин чрезвычайно широка. Более всего заражений приходится на долю Чили (31%) и Уругвая (13%), далее следуют Перу (8%), Аргентина (4%) и Испания (3%). Меньше всего зараженных ПК расположено в США и Индии (по 2%), а также в Канаде, Колумбии и Бразилии (по 1%). Еще 34% инфицированных компьютеров территориально располагается в государстве под названием «Unknown» — в это число может входить и Россия.

BackDoor.Volk.2 в отличие от своего предшественника написан на Visual Basic и при обращении к удаленным узлам для передачи запросов использует метод POST, а не GET. Помимо загрузки и запуска приложений, а также подмены файла hosts, эта вредоносная программа обладает функционалом для проведения DDoS-атак и способна красть пароли от FTP-клиентов, установленных на инфицированном компьютере. Следует отметить, что модуль обмена данными с командным сервером в троянце BackDoor.Volk.2 явно позаимствован у другой вредоносной программы — BackDoor.Herpes, исходные коды которой появились в свободном доступе некоторое время назад.

BackDoor.Volk.3 и BackDoor.Volk.4 также написаны на Visual Basic и являются модификациями BackDoor.Volk.2: основные изменения касаются методов обмена информацией с управляющим сервером. Функционал этих троянцев в целом схож. Главная опасность для пользователя заключается в том, что благодаря возможной подмене файла hosts потенциальная жертва может быть обманом завлечена на созданные злоумышленниками фишинговые сайты, при этом способность троянца красть пароли от FTP-клиентов открывает перед вирусописателями возможность получения несанкционированного доступа к различным веб-сайтам. Сигнатуры, соответствующие всем известным на сегодняшний день модификациям BackDoor.Volk, добавлены в вирусные базы Dr.Web.

Подробно об этом на ferra.ru »

Вирус встроен в легитимную программу и распространяется с китайских сайтов. Он умеет изменять, добавлять и удалять закладки в популярных браузерах для Android, а также способен скачивать и устанавливать приложения без ведома пользователя. Подробно об этом на hitech.newsru.com »

Компания «Доктор Веб» предупредила о появлении потенциально опасной программы для мобильной операционной системы Android (добавлена в вирусные базы под именем not a virus Tool.iGirl). По описанию специалистов, это приложение обладает разнообразной и крайне интересной функциональностью для «выманивания» денег у пользователя.

iGirl

В период с 31 декабря 2011 года по 26 февраля 2012 года пользователей ICQ-совместимых приложений для обмена мгновенными сообщениями буквально захлестнула волна спама, рекламирующего новую партнерскую программу сайта cowslab.com. Владельцы этого ресурса распространяют приложение для мобильной платформы Android, названное I-Girl. Программа представляет собой чат-бота, демонстрируемого на экране мобильного устройства в образе симпатичной девушки. Разработчики утверждают, что с ботом можно вести осмысленные диалоги, набирая свои реплики на клавиатуре в виде текстовых сообщений. Сейчас рекламу этого приложения можно увидеть в Интернете повсеместно: от тематических блогов и форумов, до спама в IM-месседжерах и социальных сетях.

Разработчики этого приложения активно привлекают в целях его распространения пользователей Интернета: для этого желающим необходимо зарегистрироваться на сайте партнерской программы и получить уникальный идентификационный номер. Затем распространителю предлагается ссылка для загрузки так называемой «демоверсии» программы I-Girl и ее полной версии. Агенты должны распространять чат-бота всеми доступными методами, поскольку от этого напрямую зависит их доход.

Программа позволяет вести с демонстрируемой на экране виртуальной девушкой беседу в режиме реального времени, пользователь даже может ее раздеть. Однако спустя некоторое время неожиданно обнаруживается, что абонентский счет владельца мобильного устройства «похудел» на некоторую сумму, зависящую от продолжительности «разговора» — от нескольких сотен до нескольких тысяч рублей. Кроме того, случается, что девушка на экране «молчит», а деньги с мобильного счета пользователя тем временем активно списываются. Оказывается, для общения с ботом требуется платить за каждое сообщение специальной виртуальной валютой — «голосами», и в целях пополнения баланса программа незаметно для пользователя рассылает платные SMS на премум-номера. Кроме того, I-Girl передает на сайт разработчиков программы ID-мобильного устройства, на котором она установлена.

iGirl

Ради справедливости следует отметить, что упоминание о стоимости услуг содержится в тексте пользовательского cоглашения, прилагаемого к программе, однако если пользователь не ознакомится с его положениями заранее, он может лишиться значительной суммы на своем счету. Большая часть полученного таким способом дохода уходит разработчикам программы, а некоторый процент передается распространителю. Кроме того, агент может пригласить на сайт cowslab.com и других пользователей, получив впоследствии определенный процент от их дохода — таким образом, разработчики создают своеобразную MLM-структуру распространителей своего творения.

Сама по себе программа I-Girl не несет непосредственной угрозы для операционной системы конечных пользователей Android, однако компания «Доктор Веб» посчитала необходимым добавить ее в список потенциально опасного ПО, поскольку данное приложение, во-первых, угрожает благосостоянию пользователей, а во-вторых, распространяется при помощи характерных для вредоносного ПО методов: принудительного редиректа посетителей на сайт дистрибьютора программы и через назойливые спам-рассылки.

Подробно об этом на ferra.ru »

Компания «Доктор Веб» сообщила о волне распространения приложений-флудеров, предназначенных для выведения из строя игровых серверов Counter-Strike, Half-Life, а также других серверов, работающих на GoldSource. В некоторых случаях эти вредоносные программы могут нанести ущерб и самим злоумышленникам, которые пользуются ими.

Flooder.HLDS

Конкуренция среди владельцев игровых серверов традиционно высока, особенно если речь идет о ресурсах, входящих в топ рейтинга gametracker. Еще в феврале в свободном доступе появилось несколько приложений, предназначенных для вывода из строя игровых серверов, работающих на движке GoldSource. Одно из них, добавленное в вирусные базы Dr.Web под именем Flooder.HLDS, представляет собой программу, обладающую графическим интерфейсом, которая эмулирует подключение к игровому серверу большого числа игроков, что может вызвать зависание и сбои в его работе.

Другая вредоносная программа, Flooder.HLDS.2, способна отправлять на сервер определенный пакет данных, вызывающих отказ серверного ПО. При этом могут быть выбраны один из нескольких вариантов взаимодействия с сервером. Оба приложения получили широкое распространение на форумах околоигровой тематики, и число атак на игровые серверы с помощью данных программ в течение месяца значительно возросло.

Любопытный факт: использование подобных программ-вредителей может нанести ущерб самим злоумышленникам, пытающимся вывести из строя игровые серверы, — в распоряжении специалистов «Доктор Веб» имеются загруженные с игровых форумов экземпляры приложения Flooder.HLDS.2, которое при запуске инфицирует компьютер троянскими программами BackDoor.DarkNess.47 и Trojan.Wmchange.14. Первая из них реализует функции бэкдора и DDoS-бота, второй троянец подменяет в памяти инфицированного ПК номера кошельков при операциях с электронной валютой WebMoney с целью кражи денег со счета пользователя. Таким образом, горе-злоумышленники сами становятся жертвами вирусописателей и подвергают свои компьютеры опасности заражения.

Подробно об этом на ferra.ru »

Когда в 1901 году Шведская академия наук решала, кто достоин быть в числе первых лауреатов только что созданной  научной премии, в вопросе физической номинации ни у кого сомнений не возникло. Конечно, ее следовало присудить знаменитому физику. Правда неясно было, а согласиться ли он эту премию принять Подробно об этом на aif.ru »

Специалисты компании «Доктор Веб» провели специальное исследование, позволившее оценить картину распространения троянской программы BackDoor.Flashback, заражающей компьютеры, работающие под управлением операционной системы Mac OS X. Сейчас в ботнете BackDoor.Flashback действует более 550 000 инфицированных рабочих станций, большая часть которых расположена на территории США и Канады.

Ботнет

Заражение троянцем BackDoor.Flashback.39 осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System, систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносный сайт. Таких страниц специалистами «Доктор Веб» было выявлено достаточно много — все они содержат Java-скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт. Среди недавно выявленных вредоносных сайтов фигурируют, в частности:

godofwar3.rr.nu ironmanvideo.rr.nu killaoftime.rr.nu gangstasparadise.rr.nu mystreamvideo.rr.nu bestustreamtv.rr.nu ustreambesttv.rr.nu ustreamtvonline.rr.nu ustream-tv.rr.nu ustream.rr.nu

По информации из некоторых источников на конец марта в выдаче Google присутствовало более 4 млн зараженных веб-страниц. Кроме того, на форумах пользователей Apple сообщалось о случаях заражения троянцем BackDoor.Flashback.39 при посещении сайта dlink.com.

Начиная с февраля 2012 года злоумышленники начали использовать для распространения вредоносного ПО уязвимости CVE-2011-3544 и CVE-2008-5353, а после 16 марта они стали применять другой эксплойт (CVE-2012-0507). Исправление для данной уязвимости корпорация Apple выпустила только 3 апреля 2012 года.

Эксплойт сохраняет на жесткий диск инфицируемого «мака» исполняемый файл, предназначенный для скачивания полезной нагрузки с удаленных управляющих серверов и ее последующего запуска. Специалистами «Доктор Веб» было выявлено две версии троянца: приблизительно с 1 апреля злоумышленники стали использовать модифицированный вариант BackDoor.Flashback.39. Как и в предыдущих версиях, после запуска вредоносная программа проверяет наличие на жестком диске следующих компонентов:

/Library/Little Snitch /Developer/Applications/Xcode.app/Contents/MacOS/Xcode /Applications/VirusBarrier X6.app /Applications/iAntiVirus/iAntiVirus.app /Applications/avast!.app /Applications/ClamXav.app /Applications/HTTPScoop.app /Applications/Packet Peeper.app

Если указанные файлы обнаружить не удалось, то троянец формирует по определенному алгоритму список управляющих серверов, отсылает сообщение об успешной установке на созданный злоумышленниками сервер статистики и выполняет последовательный опрос командных центров.

Следует отметить, что вредоносная программа использует весьма интересный механизм генерации адресов управляющих серверов, позволяющий в случае необходимости динамически перераспределять нагрузку между ними, переключаясь от одного командного центра к другому. Получив ответ управляющего сервера, BackDoor.Flashback.39 проверяет переданное с командного центра сообщение на соответствие подписи RSA, а затем, если проверка оказывается успешной, загружает и запускает на инфицированной машине полезную нагрузку, в качестве которой может выступать любой исполняемый файл, указанный в полученной троянцем директиве. Каждый из ботов передает управляющему серверу в строке запроса уникальный идентификатор инфицированного компьютера. С использованием метода sinkhole специалистам компании «Доктор Веб» удалось перенаправить трафик ботнета на собственные серверы, что позволило осуществить подсчет инфицированных узлов.

На 4 апреля в бот-сети действует более 550 000 инфицированных компьютеров, работающих под управлением операционной системы Mac OS X. При этом речь идет только о некоторой части ботнета, использующей данную модификацию троянца BackDoor.Flashback. Большая часть заражений приходится на долю США (56,6%, или 303449 инфицированных узлов), на втором месте находится Канада (19,8%, или 106379 инфицированных компьютеров), третье место занимает Великобритания (12,8%, или 68577 случаев заражения), на четвертой позиции — Австралия с показателем 6,1% (32527 инфицированных узлов).

Подробно об этом на ferra.ru »

Троян BackDoor.Flashback проникает на компьютеры под управлением Mac OS X и создает ботнет - сеть из зараженных машин. Впоследствии злоумышленники могут использовать ее для DDoS-атак или для рассылки спама. Подробно об этом на hitech.newsru.com »

Новость о широком распространении троянской программы BackDoor.Flashback.39, инфицировавшей на данный момент более 650 000 компьютеров, работающих под управлением операционной системы Mac OS X, быстро облетела весь мир, вызвав широкий общественный резонанс.

Ботнет

Компания «Доктор Веб», впервые сообщившая о существовании данной угрозы, представила краткую хронологию развития эпидемии вредоносной программы BackDoor.Flashback.39:

Февраль 2012 года. Компания Oracle выпустила обновление виртуальной машины Java, содержащее исправление уязвимостей, которые эксплуатирует BackDoor.Flashback.39. 25 марта 2012 года. Зарегистрированы первые домены бот-сети Flashback. 27 марта 2012 года. Компания «Доктор Веб» добавила сигнатуру троянца BackDoor.Flashback.39 в вирусные базы Dr.Web для Mac OS X. 3 апреля 2012 года. Специалисты компании «Доктор Веб», проанализировав используемый троянцем BackDoor.Flashback.39 алгоритм генерации доменных имен управляющих серверов, регистрирует несколько доменных имен и начинает сбор статистики, анализируя поступающие от ботов запросы. В первые же часы зафиксировано более 130 000 откликов троянцев. 4 апреля 2012 года. Согласно собранным вирусной лабораторией данным, размер ботнета BackDoor.Flashback.39 достиг 550 000 инфицированных узлов. Компания «Доктор Веб» выпускает пресс-релиз, рассказывающий об эпидемии троянца BackDoor.Flashback.39. 4 апреля 2012 года(3 апреля для жителей Северной Америки). Компания Apple выпустила обновление собственной реализации Java-машины, закрывающее эксплуатируемые троянцем BackDoor.Flashback.39 уязвимости. В силу различия в часовых поясах многие пользователи Mac OS X получили обновление со значительным опозданием. 4 апреля 2012 года. Размер ботнета превысил 600 000 инфицированных «маков». 6 апреля 2012 года. Компания Apple выпускает второе обновление, устраняющее эксплуатируемые троянцем BackDoor.Flashback.39 уязвимости. 9, 10 апреля. Неизвестные предприняли безуспешные попытки перехвата доменов, используемых компанией «Доктор Веб» для изучения бот-сети BackDoor.Flashback.39. 10 апреля — общее количество зараженных троянцем компьютеров превысило 650 000.

В настоящее время число инфицированных вредоносной программой BackDoor.Flashback.39 машин составляет 655 700. Пользователи операционной системы Mac OS X могут проверить свои компьютеры на наличие заражений, воспользовавшись предоставляемым компанией «Доктор Веб» бесплатным сервисом: https://www.drweb.com/flashback.

Подробно об этом на ferra.ru »

Долгое время считалось, что у "маков" своего рода "иммунитет" от вирусов. Оказалось, что создатели вредоносного ПО просто какое-то время не интересовались платформой Mac OS в силу ее небольшой распространенности. Подробно об этом на hitech.newsru.com »

Число стран, страдающих от программы-шифровальщика Trojan.Encoder.94, продолжает увеличиваться. Если раньше жертвами этих троянцев становились в основном граждане России и стран СНГ, то с 9-10 апреля опасности заражения подверглись жители некоторых европейских стран. Сейчас с просьбой о помощи в компанию «Доктор Веб» стали обращаться пользователи из Латинской Америки (Бразилии и Аргентины), а также таких европейских стран, как Франция, Бельгия, Швейцария, Нидерланды, Хорватия, Словения, Венгрия и Румыния.

Trojan.Encoder

Напомним, что эта версия Trojan.Encoder стала первым троянцем-шифровальщиком, получившим широкое распространение в зарубежных странах и имеющим интерфейс на английском языке. Сообщения о распространении Trojan.Encoder.94 от западных пользователей стали поступать 9–10 апреля 2012 года, в основном от жителей Германии, Италии, Испании, Англии, Польши, Австрии, Норвегии, Болгарии и некоторых других стран.

Энкодеры отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифруют их. Зашифровав файлы, троянец выводит на экран сообщение, требующее выплатить злоумышленникам сумму в размере 50 евро или фунтов стерлингов с помощью платежных систем Ukash или Paysafecard. В настоящее время специалистам компании «Доктор Веб» известно пять модификаций англоязычного энкодера Trojan.Encoder.94, которые различаются лишь ключами шифрования, в то время как схема их работы в целом идентична.

В последнее время в службу технической поддержки компании «Доктор Веб» стали поступать заявки от жертв Trojan.Encoder.94, проживающих в Бразилии, Аргентине, других странах Латинской Америки. География заражений троянцем охватила практически всю Европу, включая такие страны, как Хорватия, Швейцария, Нидерланды, Словения и Бельгия, Франция, Венгрия и Румыния. Специалисты «Доктор Веб» сумели расшифровать данные по запросам пользователей практически в ста процентах случаев, что говорит о высокой эффективности применяемых для этого технологий.

Одной из организаций, обратившихся в компанию «Доктор Веб» с целью обмена опытом в борьбе с троянцем Trojan.Encoder.94, было словенское отделение CERT (Computer Emergency Response Team). В настоящее время CERT успешно включилась в борьбу с эпидемией, используя предоставленную «Доктор Веб» технологическую базу и информационную поддержку.

Специалисты компании «Доктор Веб» вновь напоминают о несложных правилах, которым рекомендуется следовать в случае заражения вашего компьютера троянцем-шифровальщиком Trojan.Encoder.94:

ни в коем случае не пытайтесь переустановить операционную систему; не удаляйте никаких файлов на вашем компьютере; не пытайтесь восстановить зашифрованные файлы самостоятельно; обратитесь в службу технической поддержки компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна; к тикету приложите зашифрованный троянцем файл .doc или .txt; дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время. Подробно об этом на ferra.ru »