Новости:

You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Поздравления!

Главное меню
A

ИТ-безопастность

Автор ADMIN, 01-09-2012, 18:05

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

ADMIN

«Лаборатория Касперского»: анализ вредоносной программы Wiper

«Лаборатория Касперского» опубликовала результаты исследования, посвященного вредоносной программе Wiper.

Той самой, поиск которой инициировал Международный союз электросвязи (МСЭ) в мае 2012 года после того, как месяцем ранее неизвестная вредоносная программа удалила всю информацию с компьютеров ряда промышленных объектов нефтегазовой отрасли, расположенных в ближневосточном регионе. Тогда аналитики «Лаборатории Касперского» обнаружили сложную вредоносную программу Flame. Однако найти Wiper так и не удалось.

Результаты текущего исследования основаны на детальном анализе образов жестких дисков, подвергшихся атаке Wiper. Они свидетельствуют о наличии уникального алгоритма действия вредоносной программы, который приводил к полному удалению всех данных и последующему выведению из строя компьютерной системы.

Анализ, проведенный экспертами «Лаборатории Касперского», показал, что вредоносная программа уничтожала все данные, которые бы могли быть использованы для ее обнаружения. В пораженной Wiper компьютерной системе данные, находящиеся на жестком диске, удалялись без возможности их последующего восстановления. Несмотря на это, экспертам «Лаборатории Касперского» удалось получить информацию о специфическом методе удаления данных, использованном вредоносной программой, а также именах некоторых ее компонент, таких как, например, записи системного реестра, которые позволили определить имена файлов, удаленных с жесткого диска. Так, имена ряда файлов начинались с ~D, что схоже именами файлов, использованных в программах Duqu и Stuxnet.

Анализ алгоритма действия Wiper показал, что специфический метод удаления данных был использован на каждом компьютере, на котором была активирована вредоносная программа. Деструктивный алгоритм был направлен на эффективное удаление файлов без возможности последующего восстановления, причем настолько быстро, насколько это возможно: одновременно могли удаляться гигабайты данных. На 75% исследованных дисков данные были полностью удалены.

Основной акцент был сделан на уничтожения первой половины дискового пространства. Затем происходило систематическое стирание оставшихся файлов, которые отвечали за работу системы, в результате чего она переставала функционировать. Кроме того, в ходе исследования выяснилось, что особое внимание удалялось уничтожению PNF-файлов. Стоит отметить, что именно этот тип файлов использовался Duqu и Stuxnet для хранения в зашифрованном виде своего основного кода.

Временные файлы с расширением TMP (Temporary files), начинающиеся с ~D, также были использованы в троянце Duqu, который был создан на той же Tilded-платформе, что и Stuxnet. Основываясь на этих данных, исследователи стали искать другие неизвестные имена файлов, созданных на Tilded-платформе и имеющих отношение к Wiper. Для этих целей была использована облачная система мониторинга Kaspersky Security Network (KSN), которая предоставляет экспертам «Лаборатории Касперского» телеметрические данные для анализа обнаруженных на компьютере пользователя вредоносных программ. В ходе исследования выяснилось, что на нескольких компьютерах, расположенных в ближневосточном регионе, содержится файл "~DEB93D.tmp". Его анализ привел экспертов «Лаборатории Касперского» к последующему обнаружению Flame. При этом Wiper так и не был найден.

Register or Login" border="0" alt=""/>


«Результаты проведенного нами детального анализа образов жестких дисков дают все основания говорить о существовании вредоносной программы Wiper и ее использовании для совершения атак на ряд компьютерных систем на Ближнем Востоке в апреле 2012 года, а возможно, и ранее – начиная с декабря 2011 года, – говорит Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». – Несмотря на то, что во время целенаправленных поисков Wiper нам удалось обнаружить троянца Flame, мы убеждены, что это две совершенно разные вредоносные программы, имеющие различное предназначение. Цели Wiper, а также использование злоумышленниками определенных названий файлов, следы которых нам удалось обнаружить на атакованных компьютерах, позволяют сделать вывод о его связи с вредоносными программами, созданными на Tilded-платформе. При этом Flame имел совершенно иную модульную архитектуру и был предназначен для осуществления кибершпионажа. Кроме того, Flame не имел деструктивного функционала, который был обнаружен у Wiper».

ADMIN

Как защититься от нового 0-day эксплойта Java?

Специалисты по безопасности предложили несколько способов, как защититься от нового 0-day эксплойта Java. Компания Oracle ещё нескоро выпустит патч, закрывающий уязвимости в Java Runtime Environment 7.

Напомним, что свежий эксплойт уже включён в набор модулей для фреймворка Metasploit, а также в популярный эксплойт-пак Blackhole, который используется для заражения пользовательских компьютеров.

Способ 0. Как уже рекомендовала организация US-CERT, самый надёжный способ защититься от новой угрозы — удалить Java с компьютера или хотя бы отключить Java-плагин в браузере. Для большинства юзеров это самый лучший вариант. К сожалению, для некоторых пользователей такой способ не подходит, если им нужна обязательная работоспособность специфических Java-приложений, вроде GoTo Meeting и WebEx. Этим людям придётся прибегнуть к менее радикальным и менее надёжным способам защиты.

Способ 1. Ведущий разработчик из компании Qualys предложил использовать механизм разграничения прав доступа по зонам в Internet Explorer, чтобы установить, какие сайты имеют право загружать Java-апплеты. Такое право можно оставить избранным сайтам из доверенной зоны. Запрет для всех сайтов зоны интернета осуществляется путём установки ключа 1C00 в значение "0".

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones
Способ 2. Пользователи других браузеров могут добиться того же результата, активировав функцию запуска плагинов «по щелчку» (click-to-play). В Chrome это можно сделать в меню настроек, а в Firefox 14+ — установив флажок You are not allowed to view links. Register or Login_to_play в значение "true" через You are not allowed to view links. Register or Login

Способ 3. Популярные расширения для браузеров типа NoScript тоже могут блокировать плагины для запуска «по щелчку» или запретить исполнение Java-апплетов на любых сайтах.

Способ 4. Использовать браузер с отключенным плагином Java (безопасный браузер) для обычного повседневного сёрфинга, а браузер с включенным плагином Java — для доступа к специфическому веб-приложению, которое нужно по работе.

Способ 5. В конце концов, есть неофициальный патч для Java от Майкла Ширла (Michael Schierl), довольно авторитетного специалиста, который специализируется на уязвимостях Java. Патч проверили на самом первом эксплойте, который появился несколько дней назад, он вроде помог, но никакой гарантии против будущих модификаций эксплойта разработчики не дают. Чтобы не дразнить злоумышленников, разработчики вообще не выложили патч в открытый доступ, а высылают только по почте только компаниям, которые обратятся персонально.

ADMIN

"Доктор Веб": Trojan.Xytets - новый многокомпонентный буткит

Компания «Доктор Веб» сообщает о распространении нового многокомпонентного буткита — вредоносного приложения, способного заражать загрузочную запись жесткого диска на инфицированном компьютере.

Основное предназначение данной угрозы, добавленной в базы Dr.Web под именем Trojan.Xytets, — перенаправление жертвы с использованием ее браузера на указанные вирусописателями веб-страницы.

Вредоносная программа Trojan.Xytets разработана в Китае и состоит из восьми функциональных модулей: инсталлятора, трех драйверов, динамической библиотеки и ряда вспомогательных компонентов. Запустившись в операционной системе, троянец проверяет, не загружен ли он в виртуальной машине и не используется ли на атакованном компьютере отладчик — если наличие подобных приложений подтверждается, Trojan.Xytets сообщает об этом удаленному командному центру и завершает свою работу. Также осуществляется проверка на наличие в инфицированной системе ряда приложений, используемых для тарификации и биллинга в китайских интернет-кафе, — о результатах этой проверки также сообщается серверу. Затем троянец инициирует процесс заражения атакованного компьютера.

В ходе заражения Trojan.Xytets сохраняет на диске и регистрирует в реестре два драйвера, реализующих различные функции вредоносной программы, а также запускает собственный брандмауэр, перехватывающий отправляемые с инфицированного компьютера IP-пакеты. Брандмауэр не пускает пользователя на некоторые веб-сайты, список которых хранится в специальном конфигурационном файле. При этом файлы троянца и вредоносные драйверы сохраняются на диск дважды: в файловой системе и в конце раздела жесткого диска. Даже если эти файлы удалить (что является не такой уж тривиальной задачей, так как троянец скрывает собственные файлы), они будут автоматически восстановлены при следующей загрузке Windows.

Помимо этого, один из драйверов отслеживает запускаемые в инфицированной системе процессы и пытается определить их «опасность» для троянца. При этом Trojan.Xytets не позволяет запуститься тем процессам, которые могут помешать его работе. Кроме того, Trojan.Xytets обладает функционалом, позволяющим удалять нотификаторы драйверов некоторых антивирусных программ, — в результате антивирусное ПО перестает реагировать на запуск инициированных троянцем вредоносных процессов. Троянец осуществляет перенаправление пользовательского браузера на веб-сайты, список которых также хранится в конфигурационном файле. Среди поддерживаемых Trojan.Xytets браузеров — Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari, Maxthon, QQBrowser, GreenBrowser и некоторые другие.

Затем троянец скрывает ряд хранящихся на диске файлов и перезаписывает главную загрузочную запись таким образом, что в процессе загрузки операционной системы вредоносная программа получает управление. Помимо прочего, Trojan.Xytets обладает развитым функционалом, позволяющим скрывать собственное присутствие в инфицированной системе, вследствие чего эту угрозу также можно отнести к категории руткитов.

В процессе обмена данными с управляющим сервером, расположенным в Китае, Trojan.Xytets передает злоумышленникам информацию об инфицированном компьютере, о версиях операционной системы и самой вредоносной программы. Судя по содержимому веб-страниц, которые демонстрирует в пользовательском браузере Trojan.Xytets, его целевой аудиторией являются жители Китая.

Среди функциональных возможностей Trojan.Xytets можно перечислить следующие:
подмена стартовой страницы популярных браузеров на URL сайта, принадлежащего злоумышленникам;
осуществление http-редиректов;
загрузка и запуск различных исполняемых файлов;
сохранение в панели быстрого запуска Windows, в папке «Избранное» и на Рабочем столе ярлыков, содержащих ссылки на принадлежащие злоумышленникам сайты, — по щелчку мышью на таком ярлыке соответствующая веб-страница открывается в браузере;
запуск по расписанию обозревателя Microsoft Internet Explorer и открытие в нем принадлежащей злоумышленникам веб-страницы;
блокировка доступа к ряду веб-сайтов по заранее сформированному списку;
блокировка запуска некоторых приложений по заранее сформированному списку;
скрытие хранящихся на диске файлов;
заражение MBR.

ADMIN

Количество кибератак в 2011 году возросло в 40 раз

В компании SafeNet провели опрос, по итогам которого выяснилось, что только 43,7% из британских компаний сегодня шифруют трафик веб-приложений; 33,3% - базы данных; 30,6% - системы хранения данных и 15% – виртуальную инфраструктуру.

Как показывают последние события, в большинстве случаев атаки стали возможными благодаря тому, что в ИТ-системах пострадавших организаций не была реализована комплексная стратегия шифрования, необходимая для защиты наиболее ценных данных.

Эксперты отмечают, что именно отсутствие такой стратегии позволило хакерам похитить большие объемы конфиденциальной информации сразу же после проникновения внутрь сети. Эти и другие случаи сбоев в системе защиты данных приводят к потере выручки, многочисленным штрафам от регулирующих инстанций и в целом оказывают негативный эффект на общую репутацию компаний. Всё это говорит о том, что многие ИТ-менеджеры не до конца осознают всю значимость защиты основных данных с помощью протоколов шифрования. Несмотря на увеличение количества инцидентов нарушения безопасности в 2011 году, британские компании, принявшие участие в исследовании, заявили лишь о намерении осуществлять шифрование в конечных точках, и не собираются внедрять шифрование внутри сети, на уровне основной системы.

По данным недавнего исследования Verizon, в большинстве своем киберпреступники продолжили автоматизировать и оптимизировать ставшие уже стандартными методики массированных атак с низким риском по наименее защищенным мишеням. Намного реже, но, вероятно, и с намного большим уроном осуществлялись продолжительные атаки, ставящие целью получение коммерческой тайны, конфиденциальной информации, объектов интеллектуальной собственности и т.д. Объем скомпрометированных данных в результате этих инцидентов достиг рекордной цифры в 174 миллиона записей, тогда как еще по данным прошлогоднего отчета за всю историю Интернета было скомпрометировано всего четыре миллиона записей. Вообще, 2011 год занимает второе место объёму скомпрометированных данных за всю историю ведения этой статистики с 2004 года.

Еще один любопытный факт заключается в том, что в 2011 году 98% всех утечек данных было обусловлено внешними факторами. Самый большой вклад в общую прошлогоднюю статистику внесли группы хакеров-активистов – в общей сложности ими было скомпрометировано больше данных, чем любой другой группой (58%). Кроме того, за прошлый год значительно увеличилось количество инцидентов, связанных со взломом систем (81% утечек сопровождались той или иной формой взлома) и использованием вредоносного ПО (69%), при этом практически все случаи компрометации данных были связаны с деятельностью хакеров.

Подобные механизмы взлома являются излюбленными методами работы хакеров, осуществляющих атаки извне, которые, как уже было отмечено ранее, стоят за большинством утечек данных. По-прежнему существует множество атак, препятствующих аутентификации или позволяющих обмануть такую защиту за счет использования украденных или подобранных паролей (для получения доступа) и создания лазеек для обхода системы защиты (для сохранения доступа).

Так или иначе, пока что одной из основных проблем остаются утечки данных, приводящие к потере незащищенной информации, при этом количество зарегистрированных и незарегистрированных случаев примерно одинаково. Вне всяких сомнений, следует проанализировать, какая доля из этих утечек была обусловлена человеческой ошибкой, а какая – действительно представляет собой хакерские атаки. Но тем не менее, все они представляют для атакованной организации реальный риск: приводят к репутационному урону, штрафам или даже финансовым потерям. В любом случае, утечки неизбежны, но потенциальный ущерб от этих утечек можно значительно сократить, если конфиденциальная информация, которая может стать объектом атаки, – будь то интеллектуальная собственность, данные кредитных карт или персональные данные заказчиков – шифруется, а пароль заказчика держится в секрете.

ADMIN

Михал Залевски из отдела безопасности Google: хостинг пользовательского контента является чрезвычайно опасным делом

Компания Google занимается этим много лет и накопила большой опыт, из которого можно сделать определённые выводы. Главный вывод, который озвучивает Михал, — хостинг пользовательского контента является чрезвычайно опасным делом.

Исторически, все браузеры и плагины для браузеров проектируются таким образом, чтобы отображать несколько видов контента, игнорируя любые ошибки на веб-сайте. Во времена статического HTML и простых веб-приложений это было нормальным подходом, потому что весь контент находился под контролем веб-мастера.

Всё изменилось в середине 2000-х годов, когда обнаружилась новая проблема: умный хакер мог манипулировать браузером, подсовывая ему на первый взгляд безопасные изображения и документы в форматах HTML, Java или Flash — и получать возможность исполнять вредоносные скрипты в контексте приложения, которое отображает эти документы (межсайтовый скриптинг).

За последние годы веб-браузеры постепенно стали совершенствоваться. Например, разработчики браузеров начали вводить ограничения на различные типы изображений и неизвестные типы MIME. Однако, веб-стандарты предусматривают способы обхода такой защиты, например, игнорирование любого типа MIME при загрузке контента через object, embed или applet — это гораздо сложнее исправить, и такие действия ведут к появлению уязвимостей, похожих на баг GIFAR.

Отдел информационной безопасности Google в эти годы принимал активное участие в расследовании многих уязвимостей, связанных с отображением контента. В реальности, многие методы борьбы с ними были впервые реализованы в Chrome. К сожалению, проблема не решена до сих пор: для каждой закрытой дыры исследователи вскоре находят новый способ её эксплуатировать или обнаруживают новую уязвимость в браузере. Два недавних примера — уязвимость Byte Order Mark (BOM) и атаки MHTML, которые до сих пор успешно осуществляются в интернете.

Какое-то время отдел информационной безопасности Google возлагал надежды на инспекцию контента перед исполнением, но со временем они поняли, что и здесь невозможно всего предусмотреть. Например, хакер Александр Добкин продемонстрировал Flash-апплет, используя только символы алфавита и цифры, а один сотрудник Google сумел сконструировать изображение, в которое можно внедрять текстовые команды.

В конце концов, отдел безопасности Google пришёл к выводу, что пользовательский контент нужно в обязательном порядке хранить на отдельном изолированном домене, в Google это обычно .googleusercontent.com. В этой «песочнице» файлы практически не представляют опасности для веб-приложения, и аутентификационные куки You are not allowed to view links. Register or Login тоже в безопасности.

С непубличными пользовательскими документами ситуация сложнее. В веб-приложениях Google использует три стратегии, в зависимости от уровня рисков:
В ситуациях высокого риска (например, документы с высоким риском утечки URL в открытый доступ) Google может сочетать схему с использованием токенов в URL с кратковременными, уникальными для каждого документа куками, выданными для конкретного поддомена на You are not allowed to view links. Register or Login. Этот механизм, известный внутри Google под названием FileComp, позволяет защититься от атак на самые критические приложения Google.
В других ситуациях, когда риск меньше (встроенные изображения), можно ограничиться выдачей URL, привязанных к конкретному юзеру.
В малорискованных ситуациях Google выдаёт глобально валидные, долгоживущие URL.

Исследования в области безопасности веб-браузеров продолжаются, и ситуация здесь быстро меняется. Михал Залевски говорит, что отдел безопасности Google отслеживает новости и быстро реагирует, в случае необходимости.

ADMIN

Oracle выпустила срочные патчи для Java 6 и 7

Компания Oracle всё-таки выпустила внеочередной патч для 0-day уязвимости, которую в последние дни начали активно эксплуатировать несколько киберкриминальных групп.

Обновления для JDK и JRE 7 Update 6, JDK и JRE 6 Update 34 содержат патчи для четырёх уязвимостей Java, в том числе для пресловутой CVE-2012-4681. Компания Oracle подчёркивает: учитывая опасность этой угрозы, она настоятельно рекомендует всем пользователям установить данные патчи как можно скорее.

Уязвимости затрагивают только десктопные версии плагина Java, работающего через веб-браузер, они не касаются серверной версии или отдельных Java-приложений.

Таким образом, компания Oracle всё-таки приняла мудрое решение выпустить патчи, не дожидаясь планового октябрьского апдейта. Открытием стало то, что уязвимости затрагивают не только Java 7, но и Java 6. Точнее, из четырёх закрытых уязвимостей три относятся к Java 7, а одна — к Java 6 и 7. Впрочем, судя по опубликованной информации, закрытая уязвимость в Java 6 не допускает удалённого выполнения кода и не имеет максимального рейтинга по CVSS. Но тот факт, что её включили в общий пакет вместе с остальными, может говорить о том, что все четыре уязвимости связаны между собой.

Так или иначе, остаётся открытым вопрос, каким образом можно безопасно использовать плагин Java в браузере? Если рекомендации по его полному отключению уже вряд ли можно считать актуальными, то ограничения типа «запуск по клику» и ведение списка сайтов, для которых разрешено выполнение Java-апплетов, по-прежнему имеет смысл.

Хакер H.D.Moore, который недавно написал новый модуль для Java для фреймворка Metasploit, предупреждает, что Oracle закрыла очевидные дыры, а злоумышленники могут найти способ эксплуатировать тот же код иным способом, так что через некоторое время могут появиться другие эксплойты. Но даже если патч работает надёжно, говорит H.D.Moore, пройдут ещё месяцы, пока его установят у себя все пользователи.

ADMIN

Security Explorations: обнаружена уязвимость в секьюрити-апдейте Java 7

Специалисты по ИТ-безопасности из польской компании Security Explorations сообщили об обнаружении уязвимости в секьюрити-апдейте Java 7, выпущенным менее суток назад.

В компании говорят, что обнаруженная уязвимость позволяет обойти "песочницу" Java и выполнить потенциальный вредоносный код в целевой системе. В Security Explorations говорят, что уже передали данные об уязвимости в Oracle вместе с коцептуальным эксплоитом, выполняющим взлом Java в тестовых целях.

Генеральный директор Security Explorations Адам Говдиак говорит, что пока его компания не публикует технических подробностей об уязвимости, чтобы дать Oracle определенное время на устранение проблемы.

Напомним, что традиционно Oracle выпускает для своих продуктов исправления раз в квартал, но на этой неделе для Java 7 был выпущен внеочередной апдейт, в котором компания закрывала три критических уязвимости, информация о которых стала доступна широкой общественности, а хакеры начали активно использовать уязвимости для проведения атак.

Java 7 Update 7 также должна была избавиться от проблемы security-in-depth, которая хотя и не эксплуатировалась напрямую, все же представляла опасность. В польской компании говорят, что работы, проведенные Oracle в плане устранения проблем в Java Virtual Machine, оказались неэффективными и продукте по-прежнему присутствуют уязвимости, связанные с работой среды изолированного исполнения (так называемой песочницей).

Говдиак говорит, что еще в апреле его компания передала данные о почти трех десятках уязвимостей в Java 7 корпорации Oracle, однако по сей день не все из них устранены, а две уязвимости находятся в фазе активной эксплуатации. В компании говорят, что Oracle удалила методы getField и getMethod из класса sun.awt.SunToolkit, что позволило избавиться от так называемых POC-эксплоитов, но с другой стороны здесь появилась возможность обхода песочницы в JVM, что представляет собой не менее опасную угрозу.

В польской компании говорят, что не знают, когда последняя уязвимость будет устранена. Возможно, что не ранее 16 октября, когда Oracle выпустит очередной квартальный набор патчей для своих продуктов.

ADMIN

«Лаборатории Касперского» модуль «Родительский контроль» : в России на четвертом месте оказалась категория «оружие» (6,42%)

Накануне 1 сентября в антивирусной компании «Лаборатории Касперского» опубликовали статистические данные по срабатыванию программного модуля «Родительский контроль», встроенного в антивирусные продукты компании.

Как рассказали в компании, три категории лидируют с большим отрывом от остальных. На первом месте «Порнография и эротика». На всех компьютерах пользователей продуктов «Лаборатории Касперского», где в «Родительском контроле» эта категория сайтов активирована, система фиксирует ежемесячно около 60 млн. попыток выхода на сайты соответствующего содержания. На втором месте категория «Социальные сети» с 16 млн. срабатываний в месяц. Замыкает тройку лидеров категория «Нелегальный софт», которая лишь немного уступает «Социальным сетям» (14,3 млн. срабатываний в месяц).

Также в компании предоставили статистические данные о срабатывание этого компонента в странах из разных регионов мира: России, Германии, Великобритании, США, Японии, Бразилии и Саудовской Аравии.

Россия

В стране традиционно популярен нелегальный софт — процент срабатываний по соответствующей категории превышает мировые показатели почти на 2%. Единственная из стран, подвергнутых анализу, которая обогнала по этой категории Россию, – Саудовская Аравия. Есть в распределении и тревожный показатель: на четвертом месте оказалась категория «оружие» (6,42%).

Германия

Германия стала абсолютным лидером по категории «порнография и эротика»: 80% всех срабатываний компонента «Родительский контроль» в стране пришлось именно на эти сайты, что значительно превышает общемировую статистику (53,6%). В пересчете на абсолютные цифры это 5,3 млн. срабатываний в месяц. Однако полученные данные не стоит оценивать однозначно: возможно, родители в Германии активируют в компоненте «Родительский контроль» преимущественно эту категорию сайтов, оставляя остальные сайты доступными для детей.

Великобритания

В Великобритании категория «анонимные прокси-серверы» оказалась на третьем месте с показателем 9,93%. На четвертом месте – «нелегальное программное обеспечение». На эту категорию сайтов пришлось 6,3% срабатываний компонента «Родительский контроль. Очевидно, дети и подростки в Великобритании не только интересуются ПО, но и хорошо в нем разбираются: в частности, они знают технологии и способы обхода веб-фильтров и используют для этого анонимайзеры. Еще одна особенность рейтинга – сравнительно высокий процент категории «азартные игры» — 5,68%.

США

В США категория «анонимные прокси-серверы» также заняла 3-е место с показателем 8,98% — это немного меньше, чем в Великобритании. В США отмечен сравнительно высокий процент срабатываний категории «Жестокость и насилие», которая заняла четвертое место (7,32%), — это больше, чем в остальных анализируемых странах. Категория «Азартные игры» заняла пятое место с 5,77%. Этот процент также больше, чем аналогичный показатель в остальных странах.

Япония

В Японии процент срабатываний по категории «Порнография и эротика» на 12,12% выше, чем в мире в целом. Кроме того, в стране был отмечен неожиданно высокий интерес к нелегальному софту (11,83%). Что странно, ведь такого рода программы, как правило, популярны в развивающихся странах. В то же время в Японии, где очень высок уровень технической грамотности, анонимные прокси-серверы подросткам оказались неинтересны. На третьем и четвертом местах в рейтинге — категории «насилие и жестокость» и «оружие». Однако показатели этих категорий относительно невелики — 3,16% и 2,48% соответственно.

Бразилия

В Бразилии абсолютным лидером стала категория «социальные сети» (57,84%), она срабатывает почти в 2 раза чаще, чем «порнография и эротика». Эта статистика срабатываний компонента отличается как от общемировой, так и от статистики большинства других стран. 4-е место категории «анонимные прокси-серверы» (2%) характеризует умение детей в этой стране работать с различными программами.

Саудовская Аравия

Саудовская Аравия значительно опережает все анализируемые страны по категории «Нелегальное программное обеспечение», на которую приходится почти половина всех срабатываний компонента «Родительский контроль». Напомним, что в целом по миру аналогичный показатель составляет 14,3%. Относительно невысокий процент срабатываний по категории «порнография и эротика» в Саудовской Аравии (30,88%) можно объяснить особенностями культуры и воспитания: в большинстве стран Ближнего Востока общество и государство относятся к порнографии и эротике негативно. Категория «азартные игры» заняла четвертое место с показателем 4,61%.

ADMIN

McAfee обнаружили вредонос, отключающий антивирусные программы

Вирус способен деактивировать модули обновления различного программного обеспечения.

Эксперты из McAfee обнаружили вредоносную программу, способную упрощать атаки прочим вирусам, отключая имеющиеся на системе антивирусные программы, а также деактивируя модули обновления для различного программного обеспечения.

По данным исследователей, червь распространяется через социальную сеть Facebook, а также через ряд IM-клиентов, в том числе ICQ, Skype, GTalk, Pidgin, MSN и YIM.

Злоумышленники присылают потенциальным жертвам сообщения со ссылками якобы на смешное или интересное видео. Если пользователь пройдет на предлагаемый web-сайт, на его компьютер автоматически скачается и запустится вредоносный код.

Среди основных возможностей вредоносного приложения эксперты перечислили:
· Вирус способен обойти любой межсетевой экран, отмечая себя как разрешенную программу.
· Копирует себя в несколько папок и скрывает их.
· Содержит инструментарий для автозапуска.
· Отключает модули обновления антивирусных решений, ОС Windows и Yahoo Update.
· Червь может заменить стартовую страницу IE и Firefox, а также файл настроек Chrome.

ADMIN

FinFisher используется как кибероружие странами с сомнительной репутацией

Коммерческий троян FinFisher (FinSpy) создан немецкой компанией Gamma Group для использования спецслужбами и правоохранительными органами. Продажи программы осуществляются через британскую дочернюю компанию Gamma International.

Разработчика обвиняют в том, что он не брезгует продавать этот инструмент странам с сомнительной репутацией. Например, в июле 2012 года появилась информация, что диктаторский режим в Бахрейне закупил систему для слежки за оппозиционерами, хотя компания Gamma International отрицает факт продажи лицензий в Бахрейн. Они говорят, что ближневосточная страна самовольно использовала модифицированную демо-версию FinFisher. Документально подтверждённый факт покупки пятимесячной лицензии режиму Мубарака в Египет за €287 000 компания тоже отрицает.

FinFisher попал в поле внимания специалистов в прошлом году, но тогда он заражал только десктопные ОС. Возможности FinFisher позволяют отслеживать звонки и GPS-координаты, записывать разговоры по Skype, регистрировать нажатия клавиш, видео с веб-камер и звук с микрофона. Управляющие серверы программы обнаружены в Индонезии, Австралии, Эстонии, Латвии, Чехии, Катаре, Эфиопии, Монголии, ОАЭ и в США (в облаке Amazon EC2).

Сейчас специалист компании Google Морган Маркус-Бойр (Morgan Marquis-Boire) с коллегой провели тщательное исследование новой версии FinFisher и выяснили, что теперь шпионская программа заражает не только десктопные ПК, но и мобильные устройства iOS, Android, Blackberry, Symbian и Windows Mobile.

По мнению исследователей, им удалось доказать связь шпионской программы с компанией Gamma Group. Дело в том, что в версия под Symbian была подписана сертификатом компании Cyan Engineering, а домен этой компании зарегистрирован на имя Джонни Гедс (Johnny Geds) — это же имя указано в качестве менеджера по продажам Gamma Group в контракте на поставку FinSpy в Египет.

🡱 🡳

* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.