Автор Тема: Все о вирусах, борьба с ними и обсуждение.  (Прочитано 26454 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн RAØZHX

  • Модераторы
  • Ветеран
  • *****
  • Пол: Мужской
  • War... War never change...
  • QTH: QO93
Re: Все о вирусах, борьба с ними и обсуждение.
« Ответ #30 : 26 Августа 2012, 14:10:10 »
Компания Carbon Black, которая занимается разработкой решений для обнаружения вирусов с помощью онлайн-сервисов, провела любопытное исследование с не менее интересными результатами. Согласно выводам Carbon Black, если сигнатура только что обнаруженного вируса не попадает в антивирусную базу продукта в течение первых 6 дней после первого обнаружения, с большой вероятностью этот вирус уже никогда не появится в базе, так что его обнаружение будет невозможно.

      Вывод специалистов Carbon Black неутешителен – у производителей антивирусов есть очень маленькое «окно» для обнаружения и блокирования атак. В исследовании было задействовано 84 образца вирусов, взятых из VirusTotal, и 43 коммерческих антивирусных продукта от известных поставщиков. Статистика показала, что если антивирус не получил сигнатур «нового» вредоносного ПО за первые 6 дней после первого обнаружения, то в большинстве случаев эта сигнатура не появится в базе данного антивируса и через 30 дней.

      С критикой выводов Carbon Black немедленно выступил Дэвид Хэрли (David Harley), старший научный сотрудник ESET. Хэрли указал на ряд методологических ошибок, которые могли сильно исказить результат и привести к неверным выводам. В частности, образцы, доступные на сайте VirusTotal, не являются точной копией реальных вирусов на клиентских машинах.

      Как бы то ни было, результаты исследования позволяют с полным основанием заявить, что ряд вирусов навсегда остаются незамеченными для защитных систем, если их сигнатуры не попали в базу обнаружения сразу. Эксперимент Carbon Black лишний раз показал, что несколько антивирусов лучше, чем один – это можно было ожидать.

      Еще один эксперимент Carbon Black показал, что некоторые антивирусные продукты через 30 дней после начала теста с фиксированным набором образцов определяют меньше вирусов, чем в условный первый день массового распространения. По мнению специалистов Carbon Black, это может происходить из-за того, что антивирусные компании удаляют сигнатуры вирусов, которые больше не актуальны.

Ну как, вы ещё пользуетесь антивирусом? :)

Оффлайн RAØZHM

  • Репа: 144.325/435.325 тон 100
  • Ветеран
  • *****
  • Пол: Мужской
  • Магазин РАДИОИМПУЛЬС
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Re: Все о вирусах, борьба с ними и обсуждение.
« Ответ #31 : 27 Августа 2012, 09:19:24 »
Цитировать (выделенное)
Вирусная атака мира
"Лаборатория Касперского" нашла "самый сложный вирус в мире"

Российская компания "Лаборатория Касперского", разрабатывающая антивирусные системы и ПО для защиты от киберугроз, заявила об обнаружении "самого сложного вируса в мире". Новый "червь" успел заразить сотни компьютеров в Иране, Судане, Сирии, Ливане, Саудовской Аравии и Египте.

По словам экспертов, вредоносное ПО состоит из множества независимых модулей, которые могут выполнять самые разные виды атак — от кражи данных до кибершпионажа. К примеру, троян способен удаленно менять настройки на ПК, включать микрофон, отправлять файлы, записывать разговоры в онлайн-чатах, перехватывать пароли и нажатия клавиш, а также делать скриншоты экрана. На компьютер Flame проникает с "флешки" или по локальной сети

До этого самым технически сложным вирусом считался Stuxnet, способный наносить физический ущерб заводам, электростанциям и другим промышленным объектам. Впервые об этом "черве" стало известно в июне 2010 года, когда он заразил компьютеры на Бушерской АЭС в Иране и разрушил двигатели урановых центрифуг, резко снижая и увеличивая частоты вращения конвертера.

Flame был впервые замечен в августе 2010 года, и с тех пор успел заразить более 600 объектов, в том числе компьютеры частных лиц, компаний, образовательных и правительственных учреждений. Как уточняет BBC, вирус "весит" 20 мегабайт — в двадцать раз больше, чем Stuxnet.

По словам представителя "Лаборатории" Виталия Камлюка, принцип действия Flame еще не ясен до конца, и на анализ трояна может уйти несколько лет. Он предположил, что вирус такой сложности невозможно создать в одиночку, и скорее всего, его разработчики пользовались поддержкой со стороны правительства.http://gaimed.ucoz.ru/news/virusnaja_ataka_mira/2012-05-29-103
Экперты полагают, что Flame, собиравший информацию с компьютеров в регионе Ближнего Востока, был создан около пяти лет назад американскими и израильскими программистами с целью противодействия иранской ядерной программе.

Главной целью Stuxnet были урановые центрифуги в Иране. Летом 2010 года на Бушерской АЭС в Иране этот вирус разрушил двигатели сотен урановых центрифуг, резко снижая и увеличивая частоты вращения конвертера. Некоторые эксперты полагают, что Stuxnet смог отбросить развитие ядерной программы Ирана на несколько лет назад.


Этио получается, что любой объект имея управление АСУТП И СДТУ может быть подвержен атаке и .....

У нас хоть и изолированная система управления серверами, но мало ли, что. Про обычные ПК я молчу т.к. заражения происходят постоянно, через Флешки и переносные жесткие диски.


Обзор вирусной активности в июле 2012 года: летнее затишье и новая угроза для Mac OS X

Цитировать (выделенное)
1 августа 2012 г., 15:29


В июле 2012 года повысилось число заражений пользовательских компьютеров троянцами-блокировщиками, одновременно было отмечено значительное снижение спам-трафика в результате прекращения деятельности одного из крупнейших ботнетов BackDoor.Blackenergy. В конце месяца специалистами компании «Доктор Веб» был обнаружен кросс-платформенный троянец BackDoor.DaVinci.1, способный работать как в ОС Microsoft Windows, так и в Mac OS X. Примечательно, что эта вредоносная программа использует руткит-технологии для скрытия своих процессов и файлов в Mac OS X, что само по себе можно назвать уникальным явлением.

По данным статистики, собранной с использованием лечащей утилиты Dr.Web CureIt!, наиболее распространенной угрозой, встречающейся на компьютерах пользователей в июле, как и прежде, является Trojan.Mayachok.1. По сравнению с предыдущим месяцем число детектов этого троянца выросло на 18,5%. Напомним, что основное предназначение данной вредоносной программы — блокирование на инфицированном компьютере доступа к некоторым сайтам с целью вынудить пользователя оформить услугу подписки с использованием мобильного телефона. По всей видимости, данная схема монетизации приносит злоумышленникам хороший доход, поскольку популярность этого троянца среди распространителей вредоносного ПО не снижается.

На втором месте по количеству обнаружений располагаются троянские программы семейства Trojan.SMSSend — их процент в сводной статистике также заметно вырос. А вот число детектов банковских троянцев Trojan.Carberp различных версий, наоборот, снизилось на 36%. По-прежнему велико число обнаруживаемых на компьютерах пользователей программ-загрузчиков и вредоносных приложений семейства Trojan.Hosts. В представленной ниже таблице демонстрируется список угроз, наиболее часто выявляемых лечащей утилитой Dr.Web CureIt! на компьютерах пользователей в июле 2012 года.

После наблюдавшегося в конце июня — начале июля снижения числа запросов от пользователей, пострадавших от действия троянцев-блокировщиков, во второй половине июля наметился некоторый рост случаев заражения винлоками.

В связи с прекращением деятельности одного из крупнейших ботнетов, ориентированных на рассылку спама — BackDoor.Blackenergy, объем спам-трафика в июле действительно сократился. Среди угроз, выявленных антивирусным программным обеспечением Dr.Web в почтовых сообщениях, лидирует BackDoor.Andromeda.22, на втором месте в данном списке следует Trojan.Necurs.21, на третьем — Trojan.Oficla.zip. Довольно часто в почтовом трафике встречаются троянцы-загрузчики, а также вредоносные программы семейств Trojan.Winlock (примерно 0,7% от объема всего вредоносного почтового трафика). Следует отметить, что по качественному составу угроз картина за последний месяц не слишком изменилась: число выявленных экземпляров троянца BackDoor.Andromeda.22 несколько возросло, в то время как распространение почтового червя семейства Win32.HLLM.MyDoom — наоборот, пошло на спад. Кроме того, в июле из статистики по почтовым серверам практически исчезли троянцы семейства Trojan.AVKill, которые еще месяц назад распространялись очень активно.

Угрозой месяца оказалась вредоносная программа BackDoor.DaVinci.1 — весьма интересный и многофункциональный бэкдором, включающий большое количество функциональных модулей, в том числе драйверы, использующие руткит-технологии для скрытия работы приложения в операционной системе.

Распространение BackDoor.DaVinci.1 осуществляется с использованием JAR-файла AdobeFlashPlayer.jar, подписанного недействительным цифровым сертификатом. Этот файл выполняет проверку типа операционной системы, после чего сохраняет и запускает на компьютере жертвы зараженное приложение как для ОС Windows и платформы Mac OS X. Помимо этого, известно о реализации данной угрозы, представляющей опасность для мобильных платформ.

BackDoor.DaVinci.1 позволяет устанавливать полный контроль над инфицированным компьютером. Помимо этого, троянец сохраняет и передает злоумышленникам информацию о зараженной машине, фиксирует нажатие клавиш, способен делать снимки экрана, перехватывать сообщения электронной почты, ICQ, Skype, передавать данные с микрофона или подключенной к компьютеру видеокамеры. Кроме того, бэкдор обладает обширным функционалом по обходу антивирусных программ и персональных файерволов, благодаря чему может в течение длительного времени работать на инфицированной машине незаметно для пользователя. Интересной особенностью реализации BackDoor.DaVinci.1 для Mac OS X является то обстоятельство, что впервые в данной платформе используются руткит-технологии для скрытия файлов и процессов вредоносной программы.

В течение месяца было зафиксировано появление целого ряда новых вредоносных программ для мобильной платформы Android. Так, в первой половине июля специалистами компании «Доктор Веб» было выявлено несколько вредоносных приложений, распространявшихся с официального сайта Google Play. Согласно общедоступной статистике, эти программы были загружены пользователями мобильных устройств более 18 тысяч раз.

Обширная категория банковских троянцев пополнилась новым представителем в лице вредоносной программы BackDoor.Bebloh.17. Данное приложение распространяется в виде вложения в сообщения массовых почтовых рассылок, отправляемых в том числе якобы от имени компании DHL, и представляет угрозу для пользователей систем дистанционного банковского обслуживания (ДБО), поскольку позволяет злоумышленникам красть конфиденциальную информацию путем перехвата заполняемых в браузере форм и встраивания в страницы сайтов некоторых банков.

В конце месяца была зафиксирована массовая спам-рассылка в социальной сети Twitter. Сообщения были написаны на русском языке и включали в себя ссылку, ведущую в зависимости от используемого браузера либо на мошеннический сайт, либо на ресурс, с которого выполняется загрузка вредоносных программ для мобильных устройств.

Помимо этого, во второй половине июля было зафиксировано распространение троянца-загрузчика Trojan.Yaryar.1, обладающего обширным функционалом по выявлению средств отладки и анализа, и, кроме того, умеющего напрямую работать со структурами файловой системы NTFS, что можно назвать нечастым явлением для вредоносных программ такого типа.

По материалам официального пресс-релиза.
http://soft.mail.ru/pressrl_page.php?id=47697
« Последнее редактирование: 27 Августа 2012, 09:22:55 от RAØZHM »

Оффлайн RAØZHX

  • Модераторы
  • Ветеран
  • *****
  • Пол: Мужской
  • War... War never change...
  • QTH: QO93
Re: Все о вирусах, борьба с ними и обсуждение.
« Ответ #32 : 27 Августа 2012, 09:28:59 »
По словам экспертов, вредоносное ПО состоит из множества независимых модулей, которые могут выполнять самые разные виды атак — от кражи данных до кибершпионажа. К примеру, троян способен удаленно менять настройки на ПК, включать микрофон, отправлять файлы, записывать разговоры в онлайн-чатах, перехватывать пароли и нажатия клавиш, а также делать скриншоты экрана. На компьютер Flame проникает с "флешки" или по локальной сети

Они издеваются? Такое умели трояны ещё 6 лет назад, когда попали мне в руки, да и на тот момент, они были устаревшие. Тот же Pinch.
Этио получается. что любой объект имея управление АСУТП И СДТУ может быть подвержен атаке и .....У нас хоть и изолированная система управления серверами, но мало ли, что.

Там, где сидит грамотный сисадмин, "мало ли что" не получится.
1. флешки там просто работать не будут
2. не получится перезаписать данные
3. системы действительно не имеют доступа  в другие сети.
И наверняка стоят фаерволы + логирование всего и вся.

Оффлайн RAØZHM

  • Репа: 144.325/435.325 тон 100
  • Ветеран
  • *****
  • Пол: Мужской
  • Магазин РАДИОИМПУЛЬС
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Re: Все о вирусах, борьба с ними и обсуждение.
« Ответ #33 : 27 Августа 2012, 09:39:38 »
Цитировать (выделенное)
Там, где сидит грамотный сисадмин, "мало ли что" не получится.
1. флешки там просто работать не будут
2. не получится перезаписать данные
3. системы действительно не имеют доступа  в другие сети.
И наверняка стоят фаерволы + логирование всего и вся.
Не поверишь, вот поэтому, мы еще до сих пор дискеты используем. И система управления у нас изолирована.
Хотя если посмотреть на это:
Цитировать (выделенное)
Эксперты нашли компьютерный вирус, созданный для атак на аэропорты
17 августа 2012 12:43

Эксперты в сфере информационной безопасности обнаружили версию вредоносной троянской программы Citadel, специализирующуюся на атаках на IT-инфраструктуру аэропортов, согласно сообщению компании Trusteer.

Посредством Citadel хакерам удается перехватить управление защищенным VPN-соединением между компьютером сотрудника аэропорта, работающим удаленно, и интерфейсами внутренних компьютерных систем, которые обеспечивают работу аэропорта. Сотрудники Trusteer отмечают, что модификация вируса создает угрозу работе службы безопасности аэропорта и службы паспортного контроля.

Какой именно аэропорт стал целью хакерской атаки, в компании не сообщили.

"Взлом происходит с помощью заражения ноутбуков и рабочих станций компьютеров сотрудников специализированной вредоносной программой. Программа во многом аналогична банковским троянам, но вместо кражи реквизитов доступа к интернет-банку она копирует имя пользователя и пароль, вводимые в окне подключения к VPN (виртуальной частной сети), то есть удаленного доступа к корпоративной сети через интернет", - рассказал Сергей Гордейчик, технический директор российской корпорации Positive Technologies.

Вирусные атаки на компьютерные системы объектов инфраструктуры в целом учащаются. Первый случай такого заражения антивирусное оборудование зафиксировало в 2010 году, когда появился червь Stuxnet, атаковавший иранские заводы по обогащению урана. При этом вирусы Stuxnet и Flame, за последние несколько лет заразившие большое число компьютеров в Иране, предположительно являются продуктом совместной разработки специалистов из Израиля и США.
Тем не менее, как правило, подобные вредоносные программы хакеры используют для похищения конфиденциальных данных или их намеренного уничтожения.
http://cfts.org.ua/news/46783

Так сидишь в аэтопорту, ждешь рейс, а на табло ваш рейс задерживается, часиков так на 6. Соответственно вы в непонятках, как так, в справочную, ну и так далее, вобщем неприятная суета. Это в лучшем случае, а в худшем, если багаж, отсортируют не туда, куда надо и он улетит к примеру в Бангладешь, а вы на Аляску...
Судя по последней информации, такие промышленные заражения, стали очень популярны, так сказать под "заказ" на конкретный объект.
« Последнее редактирование: 27 Августа 2012, 09:43:59 от RAØZHM »

Оффлайн RAØZHX

  • Модераторы
  • Ветеран
  • *****
  • Пол: Мужской
  • War... War never change...
  • QTH: QO93
Re: Все о вирусах, борьба с ними и обсуждение.
« Ответ #34 : 27 Августа 2012, 12:20:23 »
она копирует имя пользователя и пароль, вводимые в окне подключения к VPN (виртуальной частной сети)
а сертификаты для кого?

Оффлайн Varkus

  • white
  • Модератор
  • Ветеран
  • *****
  • Пол: Мужской
  • black
Re: Все о вирусах, борьба с ними и обсуждение.
« Ответ #35 : 27 Сентября 2012, 17:41:56 »
это новости для ит-нубов. Если министр МВД говорит, что пользователи Линукс это потенциальные преступники и им есть что скрывать, то чего уж говорить о том бреде что пишут и показывают в новостях.
Из последнего что помню: Школьник написал свою операционную систему, местное министерство образования обдумывает возможность её установки на ПК школ.

По факт: тип взял Линукс исходники(не помню какой сборки) и все надписи Линукс затер на своё название, в сети народ выкладывал ссылки на его вопросы в нете где и как еще позатирать надписи Линукс. Ну типа он создатель всего и всея в своей сборке.

После шумихи корреспонденты извинились, что не так изложили новость, но об этом уже почти никто не узнал.

Оффлайн RAØZHM

  • Репа: 144.325/435.325 тон 100
  • Ветеран
  • *****
  • Пол: Мужской
  • Магазин РАДИОИМПУЛЬС
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Re: Все о вирусах, борьба с ними и обсуждение.
« Ответ #36 : 27 Ноября 2012, 11:08:24 »
Обзор вирусной активности в сентябре-октябре 2012 года. Новое семейство опасного троянца и программы-шпионы для мобильных устройств на 1 октября 2012 года.



Цитировать (выделенное)
Мониторинг вирусной активности по состоянию на 12 ноября 2012г.
 Вирусный код обнаружен на следующих сайтах:
 *fre.ru (подробнее)
 *ss-svet.cabel.ru (подробнее)
 www.*ongroup.ru (подробнее)
 *ogramms-novie.ucoz.ru (подробнее)
 *asnokamensk.3dn.ru (подробнее)
 *ar-kr.ucoz.ru (подробнее)
 *gafilmus.ru (подробнее)
 *oecologia.ru (подробнее)
 *osmart.by (подробнее)
 *yaker.3dn.ru (подробнее)
 *onlli.ru (подробнее)
http://www.siteguard.ru/stat/12/11/2012/



Цитировать (выделенное)
В сентябре 2012 года заметно уменьшилось количество заражений опасной вредоносной программой Trojan.Mayachok.1, но в то же время появилось несколько новых ее модификаций, значительно отличающихся по своему исполнению. По всей видимости, на смену Trojan.Mayachok.1 приходит следующее поколение вредоносных программ этого семейства. Также сентябрь был отмечен появлением новой модификации широко известного троянца BackDoor.BlackEnergy, обнаружением программ-шпионов для Android и ряда других вредоносных приложений.
Вирусная обстановка, подробней: http://stop-winlock.ru/news/321-obzor-virusnoy-aktivnosti-v-sentyabre-2012-goda-novoe-semeystvo-opasnogo-troyanca-i-programmy-shpiony-dlya-mobilnyh-ustroystv.html
 


Лидеры:

Trojan.Mayachok.1
BackDoor.Butirat.91



Цитировать (выделенное)
Вредоносные файлы, обнаруженные в почтовом трафике в сентябре
 01.09.2012 00:00 - 30.09.2012 23:00
1   Trojan.SMSSend.3245   1.07%
2   Trojan.Necurs.97   0.96%
3   BackDoor.Andromeda.22   0.72%
4   Win32.HLLM.MyDoom.54464   0.54%
5   Exploit.CVE2010-3333.6   0.51%
6   Trojan.Oficla.zip   0.48%
7   Win32.HLLM.MyDoom.33808   0.43%
8   Exploit.BlackHole.12   0.37%
9   Trojan.PWS.Panda.2401   0.32%
10   SCRIPT.Virus   0.29%
11   Win32.HLLM.Netsky.35328   0.27%
12   Win32.HLLM.Beagle   0.27%
13   Trojan.DownLoad2.39083   0.27%
14   Trojan.PWS.Panda.547   0.21%
15   W97M.Keylog.1   0.21%
16   Exploit.PDF.2990   0.21%
17   Trojan.DownLoader6.56603   0.21%
18   Trojan.Siggen4.19531   0.21%
19   Win32.HLLM.Netsky.18401   0.19%
20   Trojan.PWS.Panda.786   0.16%



Вредоносные файлы, обнаруженные в сентябре на компьютерах пользователей

 01.09.2012 00:00 - 30.09.2012 23:00
1   SCRIPT.Virus   0.50%
2   Trojan.Fraudster.343   0.48%
3   Trojan.Inject1.9025   0.47%
4   Trojan.Fraudster.329   0.37%
5   Tool.Unwanted.JS.SMSFraud.10   0.37%
6   Adware.Downware.179   0.36%
7   Trojan.Fraudster.296   0.31%
8   Adware.Downware.426   0.30%

http://stop-winlock.ru/news/321-obzor-virusnoy-aktivnosti-v-sentyabre-2012-goda-novoe-semeystvo-opasnogo-troyanca-i-programmy-shpiony-dlya-mobilnyh-ustroystv.html






Оффлайн Varkus

  • white
  • Модератор
  • Ветеран
  • *****
  • Пол: Мужской
  • black
Re: Все о вирусах, борьба с ними и обсуждение.
« Ответ #37 : 27 Ноября 2012, 11:25:31 »
головой то я понимаю, бояться вирусов - в инет не ходить.
но с каждым годом серфинг становится все опаснее.
2022год переехал на новую квартиру, тебе только подключили интернет, включаешь ПК, вставляешь шнурок И ....
пи..дос начинается, ты еще IP не успел получить, а антивирус уже поднимает панику, начинает срочно что то лечить и удалять :)

Оффлайн RAØZHM

  • Репа: 144.325/435.325 тон 100
  • Ветеран
  • *****
  • Пол: Мужской
  • Магазин РАДИОИМПУЛЬС
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Re: Все о вирусах, борьба с ними и обсуждение.
« Ответ #38 : 27 Ноября 2012, 12:17:31 »
Trojan.Mayachok как лечить и удалить.



Цитировать (выделенное)
Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей об участившихся в последнее время случаях заражения персональных компьютеров вредоносной программой Trojan.Mayachok.1. Данный троянец крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.



Способ №1


?1.?Загрузить ОС Windows в Безопасном режиме (Safe Mode).
?2.?Очистите кеш (временные файлы браузера) – там могут скрываться вирусы
?3.?Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие «Лечить».
?4.?Восстановить реестр из резервной копии.

Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик — Свойства почтового ящика — Файлы и каталоги — Хранить присоединенные файлы в отдельном каталоге (Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory).


Способ №2

Очистите кеш (временные файлы браузера) – там могут скрываться вирусы

Сакачайте  AVZ Portable бесплатно здесь с нашего сервера со страницы загрузки

Запустите AVZ (для Windows Vista и Windows 7 от имени Администратора – (правой кнопкой мыши по значку AVZ и в открывшемся меню выбираем “Запустить от имени Администратора“)

Ищем месторасроложение вируса Trojan.Mayachok.1

Нажмите меню Сервис затем Менеджер внедренных DLL
 Вирус будет написан черным цветом, все остальные доверенные - зеленым

Запомните путь к вирусу Trojan.Mayachok.1, который написан черным цветом. Скопируйте его, это и будет месторасположение (ПУТЬ К ВИРУСУ) вашего вируса который мешает работе на компьютере.

Затем выберите меню Файл -  Выполнить скрипт и в открывшемся пустом окне вставьте этот код

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile(‘ПУТЬ К ВИРУСУ‘,”);
 DeleteFile(‘ПУТЬ К ВИРУСУ‘);
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
 end.
Далее нажмите выполнить скрипт.

Компьютер перезагрузится.

После этой процедуры  Trojan.Mayachok.1 должен удалиться.



Способ №3
 Если не получается загрузиться в безопасном режиме то может помочь вам LiveCD. И проверьте компьютер на вирусы.

В конце прошлой недели была зафиксирована волна заражений, в ходе которой пользователи неожиданно столкнулись с невозможностью выйти в Интернет: вместо запрашиваемых ими сайтов в окне браузера демонстрировалось сообщение: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен. […] Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее СМС-сообщение». Если пользователь следовал указаниям злоумышленников и вводил свой телефонный номер в соответствующую форму, а затем отвечал на входящее СМС, с его счета незамедлительно списывались средства.


Были зафиксированы случаи блокировки доступа в Интернет с подменой сайта «Ростелеком», однако этим аппетиты злоумышленников не ограничивались: вот неполный список интернет-ресурсов, страницы которых может подменить этот троянец: youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее СМС-сообщение.





Один из подтвержденных методов распространения данной вредоносной программы — рассылка в социальной сети «В контакте», рекламирующая программу для просмотра посещающих страницу пользователя гостей. В описании этой программы имеется ссылка, по которой и загружается Trojan.Mayachok.1. Запустившись на инфицированном компьютере, троянец создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временную папку под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в папку
C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.

Данная троянская программа распознается при сканировании дисков компьютера и потому не страшна пользователям Антивируса Dr.Web и Dr.Web Security Space, а также Dr.Web Enterprise Security Suite и подписчикам услуги «Антивирус Dr.Web». Если вы уже стали жертвой данного троянца, обновите вирусные базы и проведите сканирование дисков вашего компьютера. Кроме того, можно воспользоваться средством аварийного восстановления системы Dr.Web LiveCD или лечащей утилитой Dr.Web CureIt!

Компания «Доктор Веб» еще раз рекомендует пользователям с осторожностью относиться к ссылкам на различные приложения, присутствующим в распространяемых среди пользователей социальных сетей рекламных рассылках.

 http://www.pc-manual.ru/virus__/trojan-mayachok-1/

Данные предоставил drweb.ru



Еще один момен по удалению этого вируса:

Цитировать (выделенное)
Не так давно один из моих пользователей пожаловался на проблему. Win 7 x32 браузеры перестали ходить по ссылкам. Скачал Drweb CureIt, антивирус обнаружил вирусняк Trojan.Mayachok.1. Оказалось, что этот вирус в данный момент является серьезной проблемой. Покопавшись в сети, нашел инфу по решению проблемы.

Ручное удаление Trojan.Mayachok.1

удалить trojan.win32.ddox.ci, удалить trojan.mayachok.1, удалить trojan.mayachok.550, удалить trojan.win32.cidox, удалить trojan.win32.zapchast.feh, удалить trojan:Win32/Vundo.OD, удалить trojan.Win32.Mondere, удалить trojan.Generic.KDV.169924

Встречается разновидность - trojan.mayachok.550. Принцип удаления аналогичный.

Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924)? По описаниям ресурса Dr.Web, это:


Цитата
Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.


Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление чтоTrojan.Mayachok.1 заражает файлы, но на самом деле это не так.

Что происходит после заражения? Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю что чаще всего пострадавший сталкивается со следующими проблемами:

// Подменой запрашиваемых страниц на "internet.com" "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта" и подобных;

// Полной невозможностью выйти в интернет при помощи любого браузера, или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код;

// Блокировкой запуска различных программ в нормальном режиме, в безопасном, как правило всё работает.



Итак, выяснили, у нас действительно Trojan.Mayachok.1 Как лечить? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто:

1. Открываем редактор реестра: нажимаем "Пуск" => "Выполнить" вписываем команду: regedit, нажимаем enter. Далее находим ветку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
и параметр AppInit_DLLs

Смотрим значение этого параметра. Если видим запись, подобную этой:
"AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll"

(кроме tvhihgf.dll имя файла может состоять семи из любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.

Ошибочные действия при правке реестра могут серьезно повредить систему!




2. Перезагружаемся. Это обязательный момент!

3. Разыскиваем этот файл на диске - и так же удаляем. Это и есть наш Trojan.Mayachok.1.

4. Находим и удаляем созданные одновременно с tvhihgf.dll или чуть позже (смотрим по дате) файлы с расширением .tmp из каталогов C:\windows\system32 иC:\windows\SYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1.



5. Ещё раз перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.

Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней, поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ.


Для пользователей x64 разрядных систем:

Троянец находится в каталоге C:\windows\SYSWOW64

Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64
Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь:
%SystemRoot%\SysWOW64\regedit.exe



По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, то есть проверять нужно в том числе ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows

*********************************************************************************************
Часто задаваемые вопросы

Я удалил ключ из реестра, но не запомнил и не записал имя троянского файла. Как теперь его найти?

При помощи поиска windows найдите все созданные на дату заражения файлы с расширением .dll в папках %windir%\system32 и %windir%\SYSWOW64. Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 42-56 kb. Все подозрительные файлы проверьте на сервисе virustotal.com. Троянский файл будет определен антивирусами. Так же, при поиске в Google, имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1).

А временные файлы можете удалить командой (вставить в командную строку):
del "%windir%\system32\*.tmp" /q

нажать enter.

Для 64 битных систем:
del "%windir%\syswow64\*.tmp" /q


Как воспользоваться поиском windows?

В меню папки выбрать "Вид" - "Панели обозревателя" - "Поиск", или нажать F3 или сочетание клавиш ctrl и E

Я по ошибке удалил из реестра троянский ключ вместе с параметром AppInit_DLLs. Что теперь произойдёт?

На работоспособность системы это не повлияет. Если в этом параметре помимо троянской записи присутствовали другие, например записи легального программного обеспечения - их функциональность может быть нарушена, поэтому такие программы рекомендуется переустановить. Обычно при установке достаточно выбрать опцию repair (восстановить).

При попытке внести изменения в реестр я получаю сообщение "Отказано в доступе"

Прежде всего убедитесь, что вы работаете под учетной записью администратора (выполняете действия от имени администратора). Откройте раздел реестра, в который требуется внести изменения. Из контекстного меню или меню "Правка" выберите команду "Разрешения". Нажмите кнопку "Дополнительно", откройте вкладку "Владелец". Назначьте себя в качестве нового владельца. На вкладке "Безопасность" владельцу должны быть назначены права - "полный доступ".

http://forums.ferra.ru/index.php?showtopic=44043
обсуждение на Ро.ру:
http://www.roller.ru/newforum/viewtopic.php?p=1025514#1025514
« Последнее редактирование: 28 Ноября 2012, 08:40:59 от RAØZHM »

Оффлайн RAØZHM

  • Репа: 144.325/435.325 тон 100
  • Ветеран
  • *****
  • Пол: Мужской
  • Магазин РАДИОИМПУЛЬС
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Re: Все о вирусах, борьба с ними и обсуждение.
« Ответ #39 : 14 Декабря 2012, 00:32:19 »
Факты года: TOP 5 ужасов Рунета
 13 дек 2012
******************************************************************

 1. Факты года: TOP 5 ужасов Рунета
 2. Как подписаться на новостные блоки и отписаться от них
 3. Правила безопасности


 ******************************************************************


 1. Факты года: TOP 5 ужасов Рунета


 "Лаборатория Касперского" подвела итоги уходящего 2012 года
 и определила TOP 5 основных угроз, с которыми сталкивались российские
 пользователи в течение последних 12 месяцев.

 Опасности в Сети подстерегают россиян буквально с первых шагов. Согласно
 данным, полученным с помощью облачной системы мониторинга угроз
 Kaspersky Security Network, более половины пользователей в России (59%)
 хотя бы раз в этому году подвергались угрозе заражения при посещении
 веб-сайтов.

 Но даже если попадания на опасную страницу удалось избежать, россиянам
 все равно приходится держать ухо востро при серфинге в
 киберпространстве, где мошенники активно используют всевозможные уловки
 для заманивания доверчивых соотечественников в свои сети. Так, в
 Интернете можно встретить предложения, например, воспользоваться
 бесплатным антивирусом для "лечения" компьютера, скачать
 клиентские базы компаний, узнать, кто просматривал персональную анкету
 во "ВКонтакте". Для этого требуется лишь отправить
 SMS-сообщение на короткий номер. На деле же все оказывается обманом, и с
 мобильного счета жертвы списываются денежные средства. За последний год
 более 11 млн пользователей подверглись подобного рода атакам.

 Много неприятностей доставляют россиянам и так называемые
 программы-блокеры, которые получили наибольшее распространение именно в
 Рунете. Такие зловреды парализуют работу компьютера и выводят на экран
 монитора сообщение с требованием отправить за разблокировку платное
 SMS-сообщение на указанный номер или положить на него определенную сумму
 денег. Но даже в этом случае вероятность того, что злоумышленники
 пришлют код разблокировки, крайне мала. Ежедневно более 6,5 тыс
 уникальных пользователей пользовались услугами сайта sms.kaspersky.ru,
 чтобы восстановить работоспособность своего компьютера. Всего же за год
 было зафиксировано свыше 13 млн посещений этого бесплатного ресурса
 "Лаборатории Касперского".

 С развитием в России онлайн-банкинга эксперты компании наблюдают

 повышенный интерес к этим сервисам со стороны киберпреступников.
 Ежедневно на компьютерах российских пользователей защитные решения
 "Лаборатории Касперского" блокируют около 4 тыс. банковских
 троянцев, нацеленных на кражу финансовых данных.

 Наиболее бурный рост в 2012 году показали мобильные угрозы, увеличившись
 почти в 6 раз по сравнению с количеством, которое было обнаружено за 7
 предыдущих лет. Подавляющее большинство из них (99%) создаются под
 Android, что объясняется большой популярностью устройств, работающих под
 управлением данной платформы. В России наибольшее распространение в
 последние годы получили SMS-троянцы. На сегодняшний день 8 из 10
 мобильных зловредов, встречающихся на устройствах российских
 пользователей, относятся именно к этому виду вредоносных программ.

 "Большинство кибергуроз, характерных для Рунета, отличает
 использование злоумышленниками методов социальной инженерии. В силу
 слабой осведомленности большинства российских пользователей об
 опасностях, которые могут подстерегать их в Сети, многие с легкостью
 верят заманчивым предложениям, которые получают в Интернете. Это хорошо
 видно на примере самых различных схем с применением платных
 SMS-сообщений, - комментирует Сергей Новиков, руководитель
 российского исследовательского центра "Лаборатории
 Касперского". - В то же время, пробелы в действующем в
 России законодательстве делают киберпреступников практически неуязвимыми
 перед правосудием. К сожалению, киберугрозы постоянно усложняются, а
 методы преступников становятся все более изощренными. Именно поэтому мы
 советуем пользователям быть предельно осторожными при серфинге в
 Интернете, использовать надежное защитное ПО и следовать здравому

 смыслу, помня, что бесплатный сыр бывает только в мышеловке".

 *****

« Последнее редактирование: 14 Декабря 2012, 00:35:03 от RAØZHM »

Оффлайн Varkus

  • white
  • Модератор
  • Ветеран
  • *****
  • Пол: Мужской
  • black
Re: Все о вирусах, борьба с ними и обсуждение.
« Ответ #40 : 14 Декабря 2012, 00:44:16 »
Воистину редактор новостей, спасибо что не оставляешь и этот раздел без внимания. Была бы кнопка !спасибо! жмакнул бы :)

Оффлайн RAØZHM

  • Репа: 144.325/435.325 тон 100
  • Ветеран
  • *****
  • Пол: Мужской
  • Магазин РАДИОИМПУЛЬС
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Re: Все о вирусах, борьба с ними и обсуждение.
« Ответ #41 : 14 Декабря 2012, 00:54:02 »
Ну как такое без внимания, у нас на работе полигон, для испытания всякой аналогичной заразы, что не вахта, то что-то новое и прекрасное. :) А народ все суетится и суетится, когда опадают символы....




Оффлайн RAØZHX

  • Модераторы
  • Ветеран
  • *****
  • Пол: Мужской
  • War... War never change...
  • QTH: QO93
Re: Все о вирусах, борьба с ними и обсуждение.
« Ответ #42 : 14 Декабря 2012, 16:15:21 »
Именно поэтому мы советуем пользователям быть предельно осторожными при серфинге в Интернете, использовать надежное защитное ПО и следовать здравому смыслу, помня, что бесплатный сыр бывает только в мышеловке".
бред журналистов. Или имелась ввиду windows грамотно настроенная?:)

Оффлайн Varkus

  • white
  • Модератор
  • Ветеран
  • *****
  • Пол: Мужской
  • black
Re: Все о вирусах, борьба с ними и обсуждение.
« Ответ #43 : 14 Декабря 2012, 19:42:49 »
здесь только пользователей нужно грамотно настраивать

Оффлайн RAØZHM

  • Репа: 144.325/435.325 тон 100
  • Ветеран
  • *****
  • Пол: Мужской
  • Магазин РАДИОИМПУЛЬС
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Re: Все о вирусах, борьба с ними и обсуждение.
« Ответ #44 : 15 Января 2013, 21:16:56 »
Где модератор в этом разделе??? Спит наверное... Выговор, строгач и -100500 в копилку... Такие новости пропустил...

Цитировать (выделенное)

«Лаборатория Касперского» взломала шпионскую сеть «Красный октябрь»

Специалисты российской компании «Лаборатория Касперского» взломали крупную шпионскую сеть под кодовым названием «Красный октябрь». Сеть использовалась для сбора сведений о России, СНГ и Европе. Правда, личности ее создателей установить не удалось, однако похожий вирус не так давно атаковал компьютеры сторонников независимости Тибета.
15 января 2013, 10:05
 фото: © Kaspersky Lab’s Global Research & Analysis Team

«Красный октябрь» проникал на компьютер или мобильный телефон, используя электронную почту. Пользователь открывал файл со скрытым приложением, которое содержало в себе код вируса. Это приложение запускало вредоносную программу. Она, в свою очередь, открывала заинтересованным лицам доступ к особо ценной и конфиденциальной информации на компьютере жертвы (логины, пароли и другие подобные данные).

После этого «Красный октябрь» искал в локальной сети компьютеры, уязвимые для вируса. Он использовал логины и пароли с первого компьютера для того, чтобы переправить письмо с вирусом на другие компьютеры.

«Главной целью шпионской программы были компьютеры определенных организаций в России, бывшем СССР, странах Центральной Азии, а также в Европе и Северной Америке», - говорится в сообщении российской компании. Создатели «Красного октября» смогли собрать своеобразный «конструктор» из программных кодов, который позволял им в случае необходимости проникать в память смартфонов (включая iPhone), а также заражать компьютеры систем управления (на базе Cisco).

В России создатели вируса попытались заразить компьютеры на атомных станциях, в научных институтах, а также в военных частях. Об этом говорится в карте, которую «Лаборатория Касперского» приложила к своему пресс-релизу. В странах СНГ «Красный октябрь» избрал своей целью компьютеры Казахстана. Создатели вируса интересовались базами данных органов власти этой страны, а также состоянием атомных станций и военных сил. Из европейских стран особое внимание создателей «Красного октября» привлекла армия Франции и правительство Люксембурга.

Шпионская сеть поставляла информацию своим заказчикам более пяти лет. Создатели вируса остаются неизвестными: они тщательно заметали следы и использовали в своей работе прокси-серверы в России и Германии. В «Лаборатории Касперского» считают, что «Красный октябрь» подозрительно похож на вирус, с помощью которого неизвестные злоумышленники атаковали компьютеры сторонников независимости Тибета. Не говоря об этом прямо, российские борцы с компьютерным терроризмом намекают, что вирус мог быть создан в Китае.

Вирусы родом из Азии уже давно вызывают серьезное беспокойство у держав Запада. В начале января депутаты британского парламента потребовали от правительства немедленно выделить средства на создание «электронной контрразведки». По мнению членов Палаты общин, в похищении военных секретов Соединенного Королевства может быть заинтересован Китай.
http://russian.rt.com/Asia/3020

Цитировать (выделенное)
"Касперский": вирус Red October похищал секретные данные.
Хакерская программа Red October была нацелена на похищение секретной информации и, по словам экспертов, похоже, имеет российское происхождение. Специалисты говорят, что она могла нанести довольно значительный ущерб.

Вирус Red October нацеливался в первую очередь на взлом засекреченных файлов

Российские специалисты по компьютерной безопасности объявили об обнаружении опасного компьютерного вируса Red October, с помощью которого хакеры с 2007 года имели возможность похищать из компьютеров секретную информацию.

Исследователи из "Лаборатории Касперского" утверждают, что вирус был нацелен на компьютерные системы многих правительственных учреждений, включая посольства, ядерные исследовательские центры и предприятия нефтяной и газовой промышленности.

Программа должна была похищать зашифрованные файлы и даже могла восстанавливать информацию, стертую с жесткого диска.

Как отметил один эксперт, профессор Суррейского университета Алан Вудворд, размах атаки был "весьма значительным".
"Тщательный отбор"

"Главной мишенью этой хакерской кампании были страны Восточной Европы, бывшие советские республики и страны Центральной Азии, хотя ее жертвы могли находиться и в любом другом месте, включая Западную Европу и Северную Америку, - говорится в официальном заявлении "Лаборатории Касперского". - Злоумышленники собирали секретную информацию, в том числе разведданные геополитического значения, коды доступа к закрытым компьютерным системам, а также данные личных устройств мобильной связи и сетевого оборудования".

"Вирус был обнаружен в октябре прошлого года, - рассказал в интервью Би-би-си ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк. - Мы начали проверку и быстро поняли, что имеем дело с массированной кибератакой. Число жертв было весьма ограничено, и все они были тщательно отобраны. Все они были связаны с очень серьезными организациями".

Вирусная программа Red October ("Красный Октябрь"), названная в честь вымышленной российской подводной лодки из шпионского романа Тома Клэнси, очень напоминает нашумевшую кибератаку Flame.

Она также имеет модульную структуру, где каждый из модулей наделен своей функцией.

"Один из модулей отвечает за восстановление файлов, стертых с USB-устройств, - поясняет Камлюк. - Он засекает момент подключения такого устройства и пытается восстановить файлы. Такого нам еще не приходилось наблюдать во вредоносных программах".

Другая уникальная особенность вируса Red October, по словам профессора Вудворда, заключается в том, что он может притвориться "убитым" в случае выявления.

"Если его находят, он прячется, - поясняет профессор. - А когда всем кажется, что опасность миновала, вы просто отправляете электронное послание и вирус пробуждается вновь".
Взломанный шифр

Другие модули предназначались для атак на файлы, закодированные с помощью системы Cryptofiler, которой раньше активно пользовались разведслужбы.

Хотя сегодня Cryptofiler больше не применяется для кодировки особо секретных файлов, этой программой по-прежнему пользуются такие организации, как, например, НАТО для защиты конфиденциальной информации, которая может представлять интерес для хакеров.

По словам профессора Вудварда, тот факт, что Red October был нацелен на программы, зашифрованные с помощью Cryptofiler, может свидетельствовать о том, что хакеры взломали этот код.

Как и в случае с любой хакерской атакой, эксперты догадываются, откуда она могла исходить, однако они же и предупреждают, что улики могли быть оставлены умышленно, чтобы сбить со следа.

По словам Виталия Камлюка, программный код изобилует англицизмами с русским налетом: "Нам часто попадается слово "proga" - это русское сленговое обозначение программы, которого нет ни в каком другом языке".

Но, как предупреждает профессор Вудвард, "в таинственном мире шпионажа этот может быть лишь ложный след, потому что здесь ничего нельзя принимать за чистую монету".
http://news.ru.msn.com/science-and-technology/касперский-вирус-red-october-похищал-секретные-данные



Цитировать (выделенное)
Специалисты "Лаборатории Касперского" обнаружили вирус под названием Red October, который с 2007 года мог похищать секретную информацию из госучреждений и компаний России и десятка других государств

Специалисты "Лаборатории Касперского", занимающейся разработкой антивирусного программного обеспечения, установили, что вирус был ориентирован на похищение данных из правительственных организаций, НИИ, предприятий энергетики и аэрокосмической отрасли. Согласно пресс-релизу, больше всего заражений- 35 случаев- было зафиксировано на территории России. 21 случай - в Казахстане, по 15 – в Азербайджане и Бельгии. Впрочем, программа была замечена и в странах других континентов, в том числе в США и Марокко.

Вирус получил название Rocra или Red October (Красный Октябрь): оно было взято сотрудниками "Касперского" из романа американского писателя Тома Клэнси "Охота за Красным Октябрем", рассказывающего о похищении советской атомной подводной лодки.

Как сообщается в отчете "Лаборатории Касперского", впервые вредоносная программа попала в поле зрения специалистов в октябре 2012 года после анализа серии хакерских атак на информационные каналы дипломатических служб. Вскоре выяснилось, что эти атаки были лишь небольшой частью глобальной кампании по похищению секретных данных, следы действия которой прослеживались до мая 2007 года. Отмечалось, что в середине января 2013 года злоумышленники продолжали пользоваться найденными уязвимостями программы.

Вирус проникал на компьютеры через электронную почту: жертва получала сообщение, отправленное с анонимного почтового ящика и содержащее объявление о продаже подержанного автомобиля. Если пользователь открывал вложение к письму, на его компьютер устанавливалась "троянская программа", которая собирала информацию не только с инфицированной машины, но и с взаимодействующих с ней мобильных устройств (в том числе смартфонов iPhone и Nokia), съемных хранилищ и со всей внутренней сети.

- Китай готовится к "информационным войнам"

Вирус похищал с зараженных компьютеров файлы определенных типов: текстовые документы, архивы баз данных и, что особенно важно, файлы с информацией, зашифрованной определенными системами, в том числе программой Acid Cryptofiler, используемой рядом организаций Евросоюза и НАТО, причем мог даже восстанавливать ранее удаленные данные. Похищенная информация высылались злоумышленникам через длинную последовательность серверов-посредников в Германии и России. В пресс-релизе "Лаборатории Касперского" говорится, что некоторые особенности обнаруженного вируса позволяют говорить о его уникальности.

Специалисты "Касперского" пока не выявили заказчика или разработчика вируса. Предположительно, он был создан китайскими хакерами, однако некоторые из модулей вируса были созданы российскими программистами: на последний факт указывает, в частности, то, что в программном коде вируса многие слова были русскими: например, zakladka или proga (так в профессиональном сленге часто сокращают слово "программа"). Как отметили в компании, ни в каких других языках подобные слова и сокращения в обиходе не встречаются.

- НАТО готовится к кибервойне с Россией

- Диверсанты способны повлиять на ядерную программу Ирана?

В октябре 2012 года была обнаружена сходная по действию шпионская программа Flame, которая была нацелена, по данным The Washington Post, на саботаж иранских ядерных разработок. Однако в "Лаборатории Касперского" подчеркивают, что не выявили прямой связи между этим вирусом и "Красным Октябрем". Сообщается, что антивирусное программное обеспечение "Лаборатории Касперского" уже научилось распознавать и обезвреживать эту вредоносную программу.
http://rus.ruvr.ru/2013_01_15/Laboratorija-Kasperskogo-ostanovila-shpionskij-Red-October/
« Последнее редактирование: 15 Января 2013, 21:39:31 от RAØZHM »