Информационная безопасность компьютерных систем и защита конфиденциальных данных
Вредоносные программы

Trojan.Wincod

автор: Administrator | 9 марта 2009, 09:40 | Просмотров: 5998
теги: ТРОЯН, УГРОЗЫ, НАСТРОЙКИ, ВРЕДОНОСНЫЕ

Описание:
Trojan.Wincod - отображает разные сообщении и изменяет настройки, подставляя под угрозу инфицированный компьютер.

Тип вредоносной программы:
троян

ОС подверженные заражению:
Windows XP, Windows Vista, Windows Server 2003, Windows 2000

Уровень опасности:
низкий

Размер:
57,344 байт

Технические детали:
При запуске, создает файлы:
▪ %ProgramFiles%\MediaSystem\1.gif
▪ %ProgramFiles%\MediaSystem\wall.html
▪ %ProgramFiles%\MediaSystem\wmptray.exe

Создает следующую запись реестра, для того чтобы запускатся автоматически при старте Windows:
▪ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WmpTray" = "[ПУТЬ К ТРОЯНУ]"

Затем он создает запись реестра, которая открывает веб страницу, при попытке запускать диспетчер задач:
▪ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\"Debugger" = "http://wincodecpro.com/purchase.php?id=2"

Для того чтобы считать сколько раз был выполнен троян, он создает следующую запись реестра:
▪ HKEY_LOCAL_MACHINE\SOFTWARE\GenericMultiMedia\WinCoDecPRO\"countr" = "[ЧИСЛО]"

Далее он создает следующие подразделы реестра:
▪ HKEY_LOCAL_MACHINE\SOFTWARE\GenericMultiMedia
▪ HKEY_LOCAL_MACHINE\SOFTWARE\GenericMultiMedia\WinCoDecPRO
Вредоносные программы

W32.SillyFDC.BBA

автор: Administrator | 7 марта 2009, 19:27 | Просмотров: 10899
теги: ЧЕРВЬ, РЕЕСТР, АВТОМАТИЧЕСКИ, ВРЕДОНОСНЫЕ, AutoRun, Windows

Описание:
W32.SillyFDC.BBA - червь, которое распространяется, копируя себя на сменных накопителей.

Тип вредоносной программы:
червь

ОС подверженные заражению:
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Уровень опасности:
низкий

Размер:
40,960 байт

Технические детали:
При запуске, червь создает следующие файлы:
* %SystemDrive%\SYSTEM\[SID]\Desktop.ini
* %SystemDrive%\SYSTEM\[SID]\Perfume.exe

Затем червь создает следующую запись реестра, для того чтобы запускатся автоматически при старте Windows:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241}\"StubPath" = "%SystemDrive%\SYSTEM\[SID]\Perfume.exe"

Червь копирует себя на все съемные диски, как следующие файлы:
* %DriveLetter%\SYSTEM\[SID]\Desktop.ini
* %DriveLetter%\SYSTEM\[SID]\Perfume.exe

На сменных дисках, создаёт файл: autorun.inf, при помощи которого червь запускается каждый раз когда открывается сменный накопитель.
Статьи

Следует ли устанавливать элементы ActiveX?

автор: Administrator | 6 марта 2009, 22:14 | Просмотров: 9224
теги: СТАТЬИ, ACTIVEX, ЭЛЕМЕНТ, ФАЙЛ, Безопасность

Возможно, следует. Нужно проявлять осторожность при установке элементов ActiveX, иногда называемых надстройками, даже если у них имеется действительная цифровая подпись. Хотя применение элементов ActiveX может улучшить просмотр веб-страниц в Интернете, они могут также представлять угрозу безопасности, поэтому лучше избегать их, если веб-страница будет работать и без них. Однако они могут потребоваться для работы некоторых веб-узлов или задач, поэтому, если содержимое или задача важны, придется решать, устанавливать ли элемент ActiveX.
Уязвимые сайты

Telegraph.co.uk - взломан через SQL-инъекцию

автор: Administrator | 6 марта 2009, 18:20 | Просмотров: 7419
теги: Уязвимые сайты, unu, ИНЬЕКЦИЯ, БАЗА ДАННЫХ, SQL, САЙТ, ВЗЛОМАН, уязвимый, доступ, Telegraph

Последние новости, бизнес, спорт, комментарий, образ жизни и культура + информационные статьи от газет Daily Telegraph и Sunday Telegraph, видео от Telegraph и... и SQLi инъекция, которая позволяет получить полный доступ ко ВСЕМ базам данных этой известной газеты...
Софт

Вышел Firefox 3.0.7

автор: Administrator | 6 марта 2009, 17:05 | Просмотров: 4137
теги: SOFT, БРАУЗЕР, ПРОГРАММА, Безопасность

Корпорация Mozilla снова обновила последнюю версию открытого браузера Firefox 3.0. В этом выпуске исправлены проблемы в безопасности программы и улучшена стабильность.

В представленной модификации браузера устранено восемь уязвимостей. Теоретически данные уязвимости могли использоваться для кражи персональной информации, фальсификации веб-адресов, а также с целью повреждения данных в памяти и последующего выполнения на удаленном компьютере произвольного вредоносного кода. Шесть уязвимостей получили статус критических, еще одна «дыра» представляет высокую опасность и одна - низкую.

Версия 3.0.7 характеризуется повышенной стабильностью.Также в новой версии браузера появилась поддержка трех дополнительных языков, в том числе эстонского.
Новости

В сети активизировалось рекламное ПО VideoPlay

автор: Administrator | 5 марта 2009, 18:11 | Просмотров: 3724
теги: НОВОСТИ, ЗАРАЖЕНИЕ, РЕКЛАМА

PandaLabs, антивирусная лаборатория компании Panda Security, объявила о том, что с начала 2009 г. зафиксировала стремительный рост количества компьютеров, зараженных рекламной программой VideoPlay: рост составил свыше 400%. Основными каналами распространения стали популярные сайты, такие как Digg.com или YouTube.

На страницах обоих ресурсов это рекламное ПО распространялось через комментарии к новостям (в случае с Digg.com) или через видео (как на YouTube). В комментариях говорилось, что пользователи смогут посмотреть порнографическое видео, если воспользуются ссылкой из комментария. Как бы то ни было, пользователи, которые заходят по ссылке, перенаправляются на другую страницу, где им предлагается загрузить кодек для просмотра видео. При этом при попытке загрузить требуемые кодеки на компьютер пользователя проникает рекламная программа.
Новости

Новые трояны «захватывают» ПК при помощи уязвимости в Excel

автор: Administrator | 5 марта 2009, 18:05 | Просмотров: 3775
теги: НОВОСТИ, УЯЗВИМОСТИ, ТРОЯН, ЗАРАЖЕНИЕ, ЭКСПЛОИТ

Компания Eset сообщила об обнаружении троянских программ X97M/Exploit.CVE-2009-0238.Gen и X97M/TrojanDropper.Agent.NAI, использующих уязвимость Microsoft Excel, которая присутствует в версиях Excel 2000, 2002, 2003, 2007, Excel for Mac 2004, 2008, а также в Excel-Viewer и Excel Viewer 2003.
Софт

Windows Worms Doors Cleaner 1.4.1

автор: Administrator | 5 марта 2009, 01:39 | Просмотров: 8998
теги: SOFT, ОТКЛЮЧИТЬ, ПОРТ, СЛУЖБЫ, ПРОГРАММА

Windows Worms Doors Cleaner 1.4.1


Большинство вредоносных программ, в особенности самые известные, использует известные уязвимости в службах Windows, которые по умолчанию включены и которые не могут быть отключены через конфигурации ОС.

Даже если операционная система Windows, обновляется регулярно, риск заражения достаточно высок. Вот почему эксперты, рекомендуют, отключить ненужные функции. Но отключить их не так уж легко как кажется, тем более для простого пользователя.
Статьи

Ликбез по ликтестам

автор: Administrator | 4 марта 2009, 23:36 | Просмотров: 5147
теги: СТАТЬИ, ЛИКТЕСТ, ДАННЫЕ, ЗАЩИТА, ИНФОРМАЦИЯ, ТЕСТ, Безопасность

Вступление
Термин «ликтест» (leaktest, тест на утечку данных) за последние пару лет приобрел популярность среди экспертов в области ИТ-безопасности. Его можно встретить в новостях и сравнительных таблицах, но для многих объем и назначение этого понятия остаются неведомыми.

Почему обычным пользователям ПК стоит внимательно присматриваться к ликтестам и их особенностям в своей ежедневной компьютерной деятельность? Как результаты тестов на утечку данных могут помочь вам в выборе надежного продукта для защиты ПК?

Данная статья призвана ответить на эти и другие вопросы. По прочтении вы получите всю информацию, необходимую для понимания и грамотной интерпретации результатов ликтестов.



Что такое ликтест?
Ликтест – это инструмент или набор процедур для выявления способности решения по безопасности противостоять попыткам незаконной отправки личной информации в Сеть. Он показывает готовность системы блокировать случайную или преднамеренную утечку данных.

Ликтесты берут свое начало с момента появления первых персональных сетевых экранов (брандмауэров) в конце 90-х годов. Первоочередной задачей брандмауэров тех времен был контроль над сетевыми действиями приложений и предотвращение попыток «дозвониться домой» ( «отправить похищенные данные») недозволенным приложениям.

За последнее время ликтесты сильно видоизменились и приросли новыми возможностями, такими, как отключение защитной функции брандмауэра, использование новых видов межпрограммного взаимодействия, эксплуатация уязвимых служб – это все те приемы, которые используют хакеры в своих «трудах», и их можно смело отнести к отдельной категории тестовых программ.

Если какой-то продукт успешно справился с ликтестом, это означает, что он способен защитить от атаки, в основе которой лежит определенная техника кражи данных. На данный момент существует много приемов, которые активно эксплуатируются хакерами, и серьезная защитная программа должна знать и уметь отражать все из них.

Кибер-преступники не стоят на месте, и с каждым днем создают новые изощренные методы хищения информации с компьютеров пользователей, и по этой причине создателям программ для безопасности нужно постоянно быть начеку и создавать новые методики для защиты своих клиентов.

К моменту выхода Windows XP в 2001, на просторах Интернета существовали зловредные программы типа троянцев и шпионского ПО, которые беспрепятственно могли похитить важные данные и передать эту информацию неавторизованным лицам по сети.

Для недопущения подобных событий компании, специализирующиеся в области безопасности, вышли на рынок с решениями класса «персональный брандмауэр», которые были призваны блокировать действия, инициированные недозволенными приложениями, путем блокирования их доступа в Сеть.

Чтобы проверить, насколько эффективно работали такие защитные программы, эксперты и технические специалисты разработали специальные средства для симуляции возможных атак – тестовые программы проверяли способность брандмауэра контролировать их действия и предупреждали пользователя о том, что на компьютере обнаружена попытка выхода в Сеть. Эти тестовые средства и получили названия «ликтесты», они были сравнительно простые, но в тоже время им удалось выявить серьезные огрехи в защитных инструментах тех времен.

Первые ликтесты использовали простые методы проверки защищенности, такие, как подмена имени доверенных программ и запуск доверенных программ с измененными параметрами, которые давали команду на отправку определенного текстового содержания на удаленный ресурс с помощью нормального приложения.

Такими действиями ликтесты пытались обмануть брандмауэр, рассчитывая, что тот подумает, что с Сетьюпытается соединиться легальное приложение, и, как следствие, разрешить такое действие.

Одним из первых хорошо известных ликтестов стал продукт Стива Гибсона из GRC под простым названием "Leak Test". Эта программа эмулировала атаку, в которой зловредное приложение переименует себя в Internet Explorer, попытается зайти в Сеть и выявит, заметит ли установленный брандмауэр такую подмену.

С тех пор многое изменилось, и сегодняшние ликстесты намного мощнее и сложнее по сравнению со своими прародителями; они используют куда более изощренные техники проверки действия программ. Эти техники, к сожалению, также используются авторами вредоносных программ, таких, как клавиатурные шпионы, для захвата целевых пользовательских данных.

Ликтесты проверяют способности превентивной защиты, тестируя, как решения безопасности реагируют на определенную технику вторжения, иногда называемую «вектором атаки». Этим они отличаются от тестов на отлов вирусов, где под тестами понимается способность антивирусных решений идентифицировать определенную сигнатуру кода.
Уязвимые сайты

XSS уязвимость в DataLife Engine

автор: Administrator | 4 марта 2009, 22:11 | Просмотров: 7321
теги: Уязвимые сайты, ОПАСНОСТЬ, xss, МЕЖСАЙТОВЫЙ, СКРИПТИНГ, уязвимый

Программа:
DataLife Engine 7.х (теоретически во всех версиях)

Опасность:
средняя

Описание:
XSS уязвимость, с помощью которого можно поместить специальный HTML код в Заголовок, в краткую или полную новость, с помощию каторого можно:
- вставить на сайте невидимый IFRAME
- перенаправлять посетителей на другой сайт(фейк)
- размещять всплывающих окон
- загрузить разные вирусы, файлы и др.
Новости

Рейтинг вредоносных программ, февраль 2009

автор: Administrator | 4 марта 2009, 12:22 | Просмотров: 4611
теги: Kaspersky, Рейтинг, вредоносные, программа, вирусы, Kido, Sality, Worm, Packed, AutoRun

По итогам работы Kaspersky Security Network (KSN) в феврале 2009 года мы сформировали две вирусные двадцатки.

Напомним, что первая таблица рейтинга вредоносных программ формируется на основе данных, собранных в ходе работы нашего антивирусного продукта версии 2009. В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.
1. Virus.Win32.Sality.aa
2. Net-Worm.Win32.Kido.ih
3. Packed.Win32.Krap.b
4. Packed.Win32.Black.a
5. Trojan.Win32.Autoit.ci
6. Worm.Win32.AutoRun.dui
7. Packed.Win32.Krap.g
8. Trojan-Downloader.Win32.VB.eql
9. Packed.Win32.Klone.bj
10. Virus.Win32.Alman.b
11. Trojan-Downloader.WMA.GetCodec.c
12. Worm.Win32.Mabezat.b
13. Trojan-Downloader.JS.SWFlash.ak
14. Worm.Win32.AutoIt.ar
15. Virus.Win32.Sality.z
16. Trojan-Downloader.JS.SWFlash.aj
17. Email-Worm.Win32.Brontok.q
18. Packed.Win32.Tdss.c
19. Worm.Win32.AutoIt.i
20. Trojan-Downloader.WMA.GetCodec.u