Компания «Доктор Веб» информирует о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based, который использует несколько альтернативных методов распространения, один из которых — уязвимости операционной системы Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ. Сетевой червь Win32.HLLW.Shadow.based, некоторые образцы которого также могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555, использует для своего распространения сразу несколько способов. Прежде всего — съёмные носители и сетевые диски посредством встроенного в Windows механизма автозапуска. В этом случае имя вредоносного файла является случайным и содержится в папке вида RECYCLERS-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же структуру папок использует Корзина Windows для хранения удалённых файлов, что позволяет вирусу оставаться незаметным для пользователя.
Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.
Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится, и если это процесс rundll32.exe, то внедряет свой код в системные процессы svchost.exe и explorer.exe. Затем вирус открывает в Проводнике текущую папку и прекращает свою работу.
Если Win32.HLLW.Shadow.based определяет, что он находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, а также в реестр для обеспечения автозапуска после перезагрузки компьютера и останавливает работу службы обновления Windows. Далее в системе устанавливается собственная реализация HTTP-сервера, с помощью которого начинается распространение вируса по сети.
Если вирус определяет, что он находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.
В состав Win32.HLLW.Shadow.based входит драйвер, который изменяет в памяти системный файл tcpip.sys с целью увеличения стандартного ограничения системы на количество одновременных сетевых подключений.
Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет.
Для лечения системы от Win32.HLLW.Shadow.based и профилактики заражения рекомендуется установить патчи, указанные в следующих информационных бюллетенях Microsoft: MS08-067, MS08-068, MS09-001. Также необходимо отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети. Лечение системы можно произвести при помощи бесплатной утилиты Dr.Web CureIt!.
Специалисты «Доктор Веб» недавно опубликовании информацию о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based, который использует несколько альтернативных методов распространения, один из которых — уязвимости операционной системы Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до бета-версии Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.
Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет.
Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений выглядит так: для начала нужно установить патчи, указанные в следующих информационных бюллетенях Microsoft:
MS08-067;http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx
MS08-068;http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
MS09-001.http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx
Затем нужно отключить компьютер от локальной сети и от интернета. Если компьютеры подсоединены к локальной сети, то вылеченный ПК необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети. В самом конце необходимо скачать текущую версию утилиты Dr.Web CureIt (http://www.freedrweb.com/cureit/)! и просканировать все диски.
5 июня 2009 года
Компания «Доктор Веб» - российский разработчик средств информационной безопасности – сообщает о появлении в Интернете опасного троянца, уничтожающего все файлы и папки на зараженном компьютере. Первые случаи инфицирования Trojan.KillFiles.904 зафиксированы в начале июня 2009 года.
Проникая в компьютер жертвы, Trojan.KillFiles.904 перебирает локальные и съемные диски в порядке от Z до A. В найденном диске троянец начинает удалять папки и файлы, перебирая их названия по алфавиту. Если удалить файл не удается, к примеру, по причине его использования, троянец делает его скрытым. Особая опасность заключается в том, что действия Trojan.KillFiles.904 касаются всех файлов и папок, находящихся на жестком диске компьютера жертвы, за исключением системных. Таким образом, пользователь может потерять все данные на дисках, при этом его операционная система продолжит свою работу.
Уникальным для современных вредоносных программ свойством данного троянца является нанесение максимального урона пользователю. В отличие от получивших в последнее время широкое распространение программ-вымогателей, Trojan.KillFiles.904 не просит о каких-либо финансовых вложениях и не пытается что-либо украсть – он просто уничтожает всю информацию, хранящуюся в зараженной системе.
Можно предположить, что данный троянец, появившийся в начале июня 2009 года, продолжает традицию вируса Win32.HLLW.Kati, также известного как Penetrator, который повреждает файлы форматов Microsoft Word и Excel, а также фотографии и мультимедийные файлы. За тем исключением, что Trojan.KillFiles.904 представляет еще большую угрозу.
1 апреля пользователям будет не смешно – готовится самая мощная атака вируса в истории Интернета
Первоапрельская атака вируса Kido может стать мощнейшей в истории Интернета. Специалисты по компьютерной безопасности прогнозируют 1 апреля новую атаку вируса, известного также как Conficker и Downadup. "Вирусологи" зафиксировали массовое обновление старых версий вредоносной программы в марте и забили тревогу: по их оценкам, эта атака может стать самой опасной в истории глобальной сети, пишет издание "Газета". Ведущий эксперт "Лаборатории Касперского" Виталий Камлюк сообщил, что данный вирус представляет серьезную угрозу для всего интернет-сообщества. По его словам, Kido распространяется через компьютерные сети и сменные носители информации. В частности, он проникает на компьютеры, используя критическую уязвимость MS 08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. "По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе, - рассказал Камлюк. - Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии. В настоящее время различными версиями Kido заражены, по разным оценкам, от 5 млн до 6 млн компьютеров, имеющих доступ в Интернет". Эксперт отметил, что Kido отличается от других вредоносных программ такого рода большей устойчивостью к обнаружению и более широкими возможностями по удаленному управлению зараженными машинами. В третьей версии Kido, которая в настоящее время широко распространяется в Интернете, реализованы самые совершенные технологии "вирусописателей", например, загрузка обновлений с постоянно меняющихся адресов сайтов, применение локальной сети в качестве дополнительного канала обновлений, использование стойкого шифрования для защиты от перехвата контроля и усовершенствованные способы отключения программ безопасности.
Конец марта в этом году ознаменовался двумя важными новостями – во-первых, найден способ помещения вредоносного кода в память BIOS, а во-вторых, обнаружено массовое заражение домашних маршрутизаторов червем под названием «psyb0t», который превращает роутер в компонент ботнет-сети.
1. Заражение микросхемы BIOS в компьютере до сих пор считалось чем-то из области фантастики. Именно BIOS (Basic Input/Output System) отвечает за сохранение конфигурации системы в неизменном виде, а также за исполнение базовых функций ввода и вывода информации. Тем не менее, два аргентинских специалиста, Альфредо Ортега (Alfredo Ortega) и Анибал Сакко (Anibal Sacco) из компании Core Security Technologies показали на конференции по информационной безопасности CanSecWest успешное введение в BIOS специальной программы для удаленного управления, или руткита (rootkit). В частности, им удалось на глазах зрителей заразить компьютеры с операционными системами Windows и OpenBSD, а также виртуальную машину OpenBSD на платформе VMware Player.
Хотя для заражения BIOS по методу Ортеги и Сакко необходимо заранее скомпрометировать машину или иметь физический доступ к машине, последствия такого заражения оказались просто ужасными – даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена. Подробнее об атаке на BIOS можно прочитать в блоге ThreatPost.
2. Еще одну серьезную опасность обнаружили администраторы сайта DroneBL, который занимается мониторингом IP-адресов, служащих источником различных сетевых атак. Примерно две недели назад на сайт была совершена DDoS-атака (Distributed Denial of Service – распределенная атака на отказ в обслуживании). При расследовании инцидента выяснилось, что атаку производили зараженные роутеры и DSL-модемы. Дальнейший анализ показал, что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и серверах, а на сетевом оборудовании домашнего уровня. Эта вредоносная сеть вместе с червем, распространяющим заразу, получила название «psyb0t».
Механизм заражения «psyb0t» оказался довольно необычным. Заражению подвержены любые устройства с маршрутизацией пакетов на базе операционной системы Linux Mipsel, снабженные административным интерфейсом, либо открывающие доступ через службы sshd или telnetd для защищенной зоны DMZ, если у них заданы слабые сочетания имени пользователя и пароля (включая устройства openwrt/dd-wrt). Червь «psyb0t» использует специальный алгоритм подбора имен пользователя и паролей, а также несколько стратегий для перехвата управления устройством.
После заражения червь «psyb0t» встраивает фрагмент вредоносного кода в операционную систему устройства – в состав червя входят варианты кода для нескольких версий системы Mipsel, они загружаются с центрального сервера злоумышленников. Затем червь закрывает конечному пользователю доступ к устройству по telnet, sshd и через веб-интерфейс, а сам начинает исследовать все проходящие через устройство пакеты, выуживая из них различные имена и пароли. Также червь пересылает своим владельцам информацию о наличии в локальной сети серверов с уязвимыми конфигурациями службы phpMyAdmin и СУБД MySQL. По данным DroneBL, уже сейчас в ботнет-сети насчитывается более 100 тысяч активных зараженных устройств, используемых для похищения частной информации и проведения крупномасштабных DDoS-атак. Особую опасность, по мнению первооткрывателей, представляет то, что большинство домашних пользователей, скорее всего, не смогут заметить присутствия червя «psyb0t» в своей сети.
Соответственно отсюда вопрос, никто не ловил ничего новенького за последние дни?
Немного расскажу о своих "злоключениях" Поймала подруга из контакта новый вид информера, раньше я с такими не встречался. Свиду как у обычных информеров, только порнухи нет, а чисто информативная часть, так мол и так отправте смску и наше програмное обеспечение исчезнет, так же еще написано что нивкакую сами не удаляйте! а то мол непоправимый вред системе будет нанесён!
Ну я само собой смску не стал отправлять, стал удалять стандартным путём чистки реестра. Сам информер с баннером удалился, однако выяснилось, что вред системе был нанесён весьма сущевственный!
Заблокировались от имени администратора практически все службы связанные с интернетом. Естевственно пропал и сам интернет!
Заблокировалась панель процессов
Был нанесён фатальный ущерб антивирусу и некоторым другим файлам и программам, об этом по подробней: вред был нанесён самым грубым образом, оказались каким то образом повреждены те места на жестком диске (кластеры), где хранились файлы DLL антивиря, некоторых других прог, а так же некоторых загрузочных системных файлов CONFIGSIS,BOOTSGM,BOOTRGM, и возможно каких то еще.
Исчезла возможность загружатся в безопастном режиме.
В общем даже новая система не вставала, пока жесткий диск не пролечил.
Расскажу как именно эта зараза подцепилась, из контакта, вместо закрытия какого то баннера (всё так хитро завуалированно - нажимаешь закрыть, а фактически соглашаешься установить данную прогу к себе на комп, и привет!).
И самое что интересное, человек пять моих знакомых за последние два дня словили такую же хрень, похожим образом (из контакта).
Наверно эпидемия нового вирусняка. Так что будте осторожны, на гнилых сайтах, особо надоедливые баннеры убивайте через панель процессов.
Добавлю еще что проникает этот информер через слабости интернет эксплодера, в виде какой то надстройки. Искренне советую пользоваться хромом или мозилой, ну или оперой.
Да, если кто то столкнулся с этим, отпишитесь, просто интересно.