Все новости о вирусах и антивирусах

Сообщение **wova** » 08 авг 2015 12:13

Боевой вирус маскируется под программу для шифрования данных

Специалисты антивирусной компании ESET выполнили технический анализ шпионского ПО Win32/Potao. Один из наиболее интересных векторов распространения вредоносной программы – компрометация приложения для шифрования данных TrueCrypt.

В процессе изучения Win32/Potao специалисты ESET обнаружили заражения компьютеров, выполненные другим вредоносным ПО. Было установлено, что Potao загружался в систему с помощью исполняемого файла TrueCrypt.exe. В качестве загрузчика (downloader) выступала скомпрометированная версия ПО для шифрования данных TrueCrypt.

Дальнейшее расследование показало, что данная модификация TrueCrypt распространялась через сайт truecryptrussia.ru. Более этого, эксперты установили факт использования злоумышленниками этого доменного имени в качестве одного из адресов управляющего сервера. Это может указывать на то, что сайт изначально был создан для реализации вредоносных операций.

Первые вредоносные модификации программы TrueCrypt, содержащие бэкдор, датированы апрелем 2012 г. Они доставлялись на выборочной основе только некоторым пользователям, что указывает на таргетированность атак. В ряде случаев Potao загружался на ПК другой программой, которая обнаруживается антивирусными продуктами ESET NOD32 как Win32/FakeTC.

Сообщение **Deputy Admin** » 21 дек 2016 14:44

Хакеры запустили вирус Android-троян для кражи банковских данных у украинцев

Компьютерные хакеры разработали уникальный вирус-вымогатель с расширением .cat и украли данные тысяч пользователей Android из России и Украины.
Сообщается, что еще летом этого года специалисты "Лаборатории Касперского" обнаружили новую версию вируса, способного воровать банковские данные с мобильных устройств.
Троян под названием Trojan-Banker.AndroidOS.Faketoken устанавливается в системе, получает доступ к финансовым приложениям и похищает данные. Вирус может также запросить разрешение на показ всплывающих окон. При этом злоумышленники распространяют вредоносное ПО под видом различных программ, игр и Adobe Flash Player.
Faketoken способен взаимодействовать с реализованными в ОС механизмами безопасности. К примеру, он может запрашивать разрешение на отображение поверх окон других программ или становиться приложением по умолчанию для работы с SMS.
По оценкам специалистов, трояном могут быть заражены более 16 тысяч пользователей в 27 странах, в том числе из России, Германии, Таиланда и с Украины.

Сообщение **DEWABEK** » 13 июл 2019 20:20

Лишь три из ста крупнейших мировых банков максимально защищены от хакерских атак

Швейцарская компания ImmuniWeb осуществила масштабное исследование, в рамках которого была изучена степень безопасности сайтов, веб-сервисов и мобильных приложений 100 ведущих мировых банков, а также соответствие их систем требованиям к защите персональных данных, предъявляемым принятым Европейским Союзом Общим регламентом по защите данных (GDPR). Результаты не могут не вызывать тревогу, поскольку говорят о серьезных проблемах с безопасностью, существующих у многих финансовых институтов.

Так, лишь три банка из ста получили высшую оценку в вопросах безопасности своих сайтов и реализации SSL-шифрования. «Отличниками» оказались швейцарский Credit Suisse, датский Danske Bank и шведский Handelsbanken. При этом 31 банк получил по этим показателям лишь оценку С («тройку), а еще пять испытание вообще провалили: на их сайтах обнаружились «описанные в открытом доступе и подлежащие эксплуатации неисправленные уязвимости». Стоит отметить, что самой старой из неисправленных уязвимостей, найденных на сайтах банков в ходе исследования, оказалась CVE-2011-4969, известная с 2011 года. Таким образом, одной из крупнейших финансовых организаций оказалось недостаточно 8 лет, чтобы исправить проблему.

Если говорить о мобильных приложениях, то во всех без исключения присутствовала хотя бы одна уязвимость, относящаяся к категории низкого риска. В 92% изученных приложений содержались уязвимости, степень риска которых оценивается уже как средняя, а в 20% приложений обнаружились уязвимости с высокой степенью риска. Также исследование установило, что главные сайты лишь 39 из 100 банков соответствуют требованиям GDPR по защите персональных данных.

Сообщение **Deputy Admin** » 20 сен 2019 08:47

Главный антивирус Windows перестал искать вирусы

Снова обновление от Microsoft, и снова всё не слава богу. На этот раз проблема коснулась встроенной антивирусной программы «Защитник Windows» (Windows Defender). Последний апдейт «сломал» программе функцию сканирования системы.
На проблему пожаловались некоторые пользователи. Они рассказали, что при запуске сканирования после установки обновления, антивирус перестаёт проверять файлы примерно после 40-го. Касается это апдейта 4.18.1908.7.
Забавно, что данную версию программы Microsoft готовила, чтобы устранить ранний баг, приводивший к ошибке команды SFC /scannow. Что ж, свято место пусто не бывает.
СМИ сообщают, что баг в версии 4.18.1908.7 устраняется после установки обновления Security Intelligence Update с техническим номером KB2267602. Скачать его можно через «Центр обновлений Windows». Кроме того, компания указала, что баг распространяется только на ручную проверку. В автоматическом режиме «Защитник» продолжает работать нормально.

Deputy Admin писал(а): ↑20 сен 2019 08:47 Главный антивирус Windows перестал искать вирусы

Ха, точно. Жёлтым уведомление горит. До последнего обновления такого не замечал.

Сообщение **wova** » 10 ноя 2019 16:14

Ущерб от BEC-атак превышает 300 миллионов долларов в месяц

Сеть по расследованию финансовых преступлений – специальный орган при Министерстве финансов США – оценивает ежемесячные потери от BEC-атак более чем в 300 миллионов долларов. Термин BEC (сокращение от business email compromise) означает атаки с компрометацией электронной деловой переписки. В «классическом» виде BEC-атака подразумевает взлом учетной записи одной из руководителей компании или организации. Затем от его имени киберпрестпуники шлют сообщения работникам финансовых подразделений с распоряжением срочно перевести крупную сумму на указанный счет (разумеется, подконтрольный самим хакерам).

Но в последнее время все более популярной становится другая разновидность этих атак. Киберпреступники взламывают аккаунты компаний-подрядчиков, выполняющих те или иные работы по контракту с жертвами – либо успешно выдают себя за представителей подрядчиков - и выставляют фиктивные счета на оплату выполненных работ. Очередной жертвой такого мошенничества стал муниципалитет города Окала в американском штате Флорида. Его сотрудники получили сообщение электронной почты якобы от компании Ausley Construction, которая ведет строительство нового терминала международного аэропорта Окалы. В письме указывалось, что очередной транш платежа по контракту следует перевести на другой счет, поскольку компания сменила банк. К письму прилагались код банка, номер банковского счета и перечень выполненных работ. Служащие муниципалитета приняли сообщение за чистую монету и перевели по указанным реквизитам чуть более 742 тысяч долларов. Мошенничество раскрылось лишь через несколько дней, когда настоящий представитель компании Ausley Construction поинтересовался судьбой очередного платежа.

Сумма в 300 миллионов ежемесячных потерь, приведенная в начале, может показаться невероятной. Однако лишь за последние два с небольшим месяцами жертвами подобных BEC-атак, помимо Окалы, стали муниципалитет города Нейплс (также в штате Флорида, сумма ущерба – порядка 700 тысяч долларов), американское подразделение медиа-корпорации Nikkei (около 29 миллионов долларов) и одно из подразделений Toyota Group (более 37 миллионов). И речь идет лишь о самых ярких случаях, получивших широкую огласку.

Сообщение **MAXSIMUS** » 11 май 2021 14:48

Троянец, ворующий данные из Linux, три года оставался невидимым для любых антивирусов
Обнаруженный бэкдор RotaJakiro использует многослойное шифрование для всех своих компонентов, и почти три года остается невидимым для антивирусов. Известно, что он умеет выводить данные из зараженных систем, но этим его функциональность явно не ограничивается.

Секретные материалы

Эксперты компании QihooNetlab 360 обнаружили вредонос-бэкдор под Linux, который почти три года оставался невидимым для антивирусных решений.
Первые сэмплы вредоноса RotaJakiro попали на VirusTotal еще в 2018 г., однако до сих пор антивирусы его не детектировали. Разработчики бэкдора очень многое сделали для того, чтобы он оставался невидимым как можно дольше.

Весь сетевой трафик вредоноса сжимается с помощью ZLib и шифруется с помощью сразу трех алгоритмов. Шифруются также данные внутри тела вредоноса и все ресурсы, которые он выгружает в зараженную систему. Это явно сделано для того, чтобы пресечь попытки анализа его кода и функциональности.

RotaJakiro способен определять системные привилегии текущего пользователя: root или нет. В зависимости от этого, он использует разные способы запуска и по-разному обеспечивает устойчивое пребывание в системе.

Вопрос расширений

Операторы RotaJakiro могут использовать его для вывода системных данных и других значимых сведений и доустанавливать и запускать дополнительные плагины с разной функциональностью в 64-битных системах. О каких именно функциях идет речь, остается пока загадкой.

«RotaJakiro поддерживает 12 различных функций, три из которых связаны с запуском определенных плагинов. Однако мы не видели самих плагинов и потому не знаем их истинного назначения», — отметили авторы исследования. Открытым также остается вопрос, как именно RotaJakiro распространяется, и есть ли у него какая-то особенная цель и приоритетная мишень».

«Вероятно, это намек на то, что RotaJakiro может быть лишь компонентом более широкого набора хакерских инструментов, который не ограничивается самим бэкдором и его плагинами, — полагает Алексей Водясов, технический директор компании SECConsultServices. — Впрочем, без информации о том, на что способны необнаруженные плагины, это лишь предположения. Хотя и не лишенные смысла: разработчики явно очень много ресурсов вложили в то, чтобы сделать RotaJakiro максимально неуловимым. Наверняка это делалось с расчетом на широкий спектр вероятных атак».

С 2018 г. на VirusTotal были загружены в общей сложности четыре сэмпла вредоноса — антивирусы игнорировали их всех. Теперь ситуация, вероятно, изменится.

Интересно, что контрольные серверы, выявленные специалистами Qihoo 360, были запущены в 2015 г. По мнению экспертов, RotaJakiro использует ту же инфраструктуру, что и ботнет интернета вещей Torii, впервые замеченный в сентябре 2018 г.

Torii и RotaJakiro выполняют одни и те же команды после изначальной компрометации целевой системы, имеют похожую структуру и используют одни и те же константы. Вероятнее всего, речь идет о разработках одной и той же группировки.

📺Пикник ТВ👍