Форум Камчатских радиолюбителей

Новый шпионский вирус!!!

Иран и Израиль объяты «Пламенем»

«Лаборатория Касперского» обнаружила вирус, собирающий секретные данные с компьютеров, расположенных на Ближнем Востоке. Судя по сложности вредоносной программы, ее писали не хакеры, а спонсируемая каким-то государством группа профессионалов. Иран и Израиль — под особым прицелом.

«По сложности и функционалу вредоносная программа превосходит все ранее известные виды угроз», — говорится в сообщении «Лаборатории Касперского». Вирус, названный создателями Flame («Пламя»), способен изменять настройки компьютера, похищать хранящиеся в нем файлы, а также информацию, выводимую на монитор, контактные данные пользователей и даже аудиозаписи разговоров.

К настоящему моменту заражены, по разным данным, от тысячи до пяти тысяч компьютеров по всему миру. Больше всего их в Иране — 189, следом идет Израиль (включая палестинские территории) — 98, за ними — Судан (32), Сирия (30), Ливан (18), Саудовская Аравия (10) и Египет (5).

Все эксперты сходятся во мнении, что новый вирус не мог быть создан любителями. В нем многократно более сложный код, чем содержался в Stuxnet, который в 2010 году поразил иранские компьютеры, используемые в работе над ядерной программой. По всей видимости, Flame — результат разработок государственных структур какой-то страны. В отличие от Stuxnet, он не мешает работе компьютеров, а только собирает с них информацию.

За разработкой вируса может стоять «одна из западных стран, которая обладает необходимыми для этого технологиями и при этом рассматривает ядерный Иран как угрозу», сказал сегодня в интервью израильскому радио «Галей ЦАХАЛ» израильский министр по стратегическим вопросам Моше Яалон. Министр отметил, что обнаружение вируса в очередной раз показало развитым странам, насколько серьезными являются киберугрозы, и выразил благодарность премьер-министру Нетаниягу, по инициативе которого в прошлом году в Израиле был создан Национальный коодинационный штаб по работе с киберпространством.

Исследование, результатом которого стало обнаружение Flame, было начато «Лабораторией Касперского» вместе с Международным союзом электросвязи после серии инцидентов с другой, пока еще неизвестной вредоносной программой, которая уничтожала данные на компьютерах в странах Западной Азии. Ее пока так и не идентифицировали.

По предварительной информации, Flame активно используется уже более двух лет (с марта 2010 года), но до сих пор не мог быть обнаружен ни одним защитным продуктом.

«Он фантастически, невероятно сложен», - сказал о новом вирусе главный эксперт по безопасности «Лаборатории Касперского» Александр Гостев. Его расшифровка, по словам специалиста, может занять годы. «У нас заняло полгода проанализировать Stuxnet. Этот вирус приблизительно в 20 раз объемнее. Нам может понадобиться до 10 лет», - цитирует слова эксперта издание Wired.

Выступая в начале мая на конференции Counter Terror Expo в Лондоне, основатель «Лаборатории Касперского» Евгений Касперский назвал кибервойны главной угрозой виртуального пространства, приведя в пример как раз вирус Stuxnet, а также недавние «вирусные» нападения на объекты нефтяной промышленности Ирана.

«В будущем это может произойти в гораздо большем масштабе, — предупредил Касперский. — Человечество может погрузиться во тьму, если киберпреступники нацелят свои усилия на электростанции. Вполне возможно, что компьютерный червь не сможет найти определенную жертву, а, так как электростанции спроектированы похожим образом и часто используют одинаковые системы, они все могут стать жертвами хакеров».

Эксперт отметил, что международное сотрудничество и договоры об использовании оружия в киберпространстве могут помочь предотвратить такие нападения.
http://www.jewish.ru/theme/world/2012/05/news994307862.php
____________________________________________________________________________________________

Судя по описанию, тут явно поработали спецы..., а не просто дешовые хакеры с переулка.

Уже обстебали на хабре, что минимум половина функций есть в любом трое, в том же зевсе.

Возможно и обмусолили его , но это уже другой уровень.... Думаю, что ближайшее направление вирусов - это промышленный и военный шпионаж, энергетические и др. предприятия.
Ну сам посуди, эра дешовых вирусов прошла. Что толку, что я 2 дня бился с вирусом WIN32.NESHTA.A. Ну побил он часть экзешников, фигня востановил. Про автораны, которые как блохи прыгают с флешки на флешку, то же поднадоело. С ними справляется обычный дихлофос...

А вообще у меня на работе, можно полигон по проверке на прочность устраивать, для антивирусных программ...
Каждый заезд пакетик с "блошками и клещами" кто-то разбрасывает. И ходят улыбаются, типа, а это не мы...
http://www.kaspersky.ru/news?id=207733770

Цитата: RAØZHM от 02 июня 2012, 10:04:27
А вообще у меня на работе, можно полигон по проверке на прочность устраивать, для антивирусных программ...
Каждый заезд пакетик с "блошками и клещами" кто-то разбрасывает. И ходят улыбаются, типа, а это не мы...

Вот сколько разя я спрашивал, а что мешает настроить комп, забыть про АВ и жить спокойно?

2 года все было хорошо, а тут на тебе. Хотя это 2 случай за это время и то так сказать, залет по своей не внимательности. Переустановил систему, а каспера поставил в последнюю очередь.

Линукс - скачал исходники, подправил код под установленную версию ядра, скомпилировал, запустил... и как давай бороться с этим вирусом  ;D

Иван, это мы знаем, что в таких случаях делать надо и где вилка у компа, а другие узнают когда 99.999999999999999999999% файлов уже заражено.
А написал этот вирус дояр Сидоркин, из Белорусии...

Раз тема пошла о вирусах, рассмотрим вирус: Win32.Neshta.a

ЦитироватьТехнические детали и как он работает

Вредоносная программа, которая находит и заражает исполняемые файлы. Программа является приложением Windows (PE EXE-файл). Написана на Delphi. Размер оригинального вредоносного файла — 41 472 байта.
Инсталляция

В корневом каталоге Windows (%WINDIR%) производится поиск и удаление файла svchost.com. После этого создается новый файл svchost.com, содержащий в себе тело вируса.

В системном реестре создается следующая запись:
[HKCR\exefile\shell\open\command]
@="%WINDIR%\svchost.com \"%1\" %*"

Таким образом, все EXE-файлы в системе при запуске будут вызывать тело вируса, который и будет производить их дальнейший запуск.

Прочее
В теле вируса содержатся следующие строки:

Delphi-the best.
**** off all the rest.
Neshta 1.0
Made in Belarus.

Деструктивная активность
При запуске вирус расшифровывает текстовые строки внутри себя, проверяет, является ли его длина равной 41472 байта и, если она больше (запущен зараженный файл, а не тело вируса), то происходит вызов функции расшифровки и запуска файла.

В функции расшифровки и запуска файла вирус производит расшифровку части тела программы, которая была зашифрована после внедрения тела вируса в программу. Если по каким-то причинам вирусу не получается изменить запускаемый файл, то во временном каталоге Windows (%TEMP%) создается папка 3582_490 куда расшифровывается уже чистый исполняемый файл.

После запуска производится попытка заражения файлов перечисленных в файле %WINDIR%\directx.sys, если таковой присутствует.

После этого производится проверка количества параметров, переданных при вызове файла. Если параметры присутствуют и окончание у исполняемого файла .com, то производится запуск файла, имя которого передается в виде параметра, а его полное имя помещается в файл %WINDIR%\directx.sys для дальнейшего заражения.

Дальше происходит регистрация вируса в системе (создание и регистрация файла svchost.com).

После этого вирус создает в системе уникальный идентификатор «MutexPolesskayaGlush» для определения своего присутствия в системе.

После чего выполняются следующие действия:

* вирус получает список дисков, которые не являются FDD и CD-ROM;
* производится поиск файлов по найденным дискам, причем файлы должны соответствовать заданным критериям:
o файлы должны быть не из каталогов %Program Files% и %WINDIR%;
o не заражаются файлы на логических дисках A: и B:;
o размер фалов должен быть не меньше 41473 и не больше 10000000 байт.

Вирус правильно обрабатывает файлы с атрибутом «только чтение». После заражения он восстанавливает начальные атрибуты файла.

Рекомендации по удалению!!!

1. В системном реестре изменить значение следующего ключа:
[HKCR\exefile\shell\open\command]
c
%WINDIR%\svchost.com "%1" %*
на
"%1" %*
2. Удалить файл %WINDIR%\svchost.com
3. Произвести полную проверку компьютера

Способ лечения вируса win32.neshta.a :

ЦитироватьПервый - переустановить начисто систему, предварительно прогнав из-под DOS антивирусом. В этом случае, вы лишитесь всех файлов EXE, зараженных NESHTA.
Второй. Как ни прискорбно, но большинство антивирусов не лечат файлы зараженные NESHTA, а просто удаляют их. Но, у DRWEB есть бесплатная утилита под названием CUREIT. Вы можете бесплатно скачать ее с сайта DRWEB. Так же вам понадобится файл реестра, который вы можете сделать сами следующим образом. Создаем текстовый документ и вносим в него следующие данные:

REGEDIT4


[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
@="\"%1\" %*"

Примечание: пустая строка после REGEDIT4 - обязательна.

Сохраняемся и закрываем текстовый документ. Затем, меняем расширение документа с TXT на REG. Запускаем полученный файл реестра и соглашаемся с добавление данных. После чего запускаем утилиту CUREIT и проводим полную проверку системы. Что удивительно, теперь утилита видит вирус и лечит его спокойно. Утилита от Касперского все и теперь не видит заражение - прискорбно. Ну продолжим ... На предложения типа «лечить» соглашаемся «да для всех».

душевно базарим:
я про ОС ты про студента недоученного-задрота поднявшим себе уважуху корявым вирусом.
Полностью осознавая каждую строку статьи пришел к выводу, что даже она и то местами сама себе противоречит, ну хотя бы

ЦитироватьВ системном реестре создается следующая запись:
[HKCR\exefile\shell\open\command]
@="%WINDIR%\svchost.com \"%1\" %*"

ЦитироватьREGEDIT4


[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
@="\"%1\" %*"

Касперыч эту фигню просто даже за вирус не считает: вирус на Делфи??? нененене
что то из разряда как сегодня по НТВ показали: разработана новая технология поиска киберпреступников по IP!!!
ссал кипятком, их теперь по айпи ищут, киберпреступность под угрозой епть :-)

Цитироватья про ОС ты про студента недоученного-задрота поднявшим себе уважуху корявым вирусом.

А когда вредительство было уважухой? Мочить надо зловредов... особенно из-за бугра.

За все мое наблюдение за вирусами, я видел как в течении 1-2 минут у товарища, комп как аппарат переставал сушествовать, программно. (kido, saliti  и т.д.)
Жалко было смотреть, как быстро таял огонек в глазах хозяина компа. В итоге, 2 дня непрерывного чистилища, если не помогает форм. и новая ПО.
И что самое главное, народ знает что в компе есть вирусы и все равно сует туда флешку или переностной диск!!! Я уже таблички вешал и объявы писал, по приколу, что мол у такого чела есть в компе вирусы. И что, да ничего. потом просто бегут комне и просят проверь...
А я говорю молоток видишь висит, вот если я вставлю твою флеху и на ней будет вирус, мы ее разбиваем... 5 секундная пауза и я вижу как мозг этого существа пытается представить картину конечного результата, но мой аргумент делает свое дело и ему приходиться искать другую жертву для переноски блох.

Фактически за вирусами у нас никто не следит. Я одно время вел борьбу, а потом забил. Так, что такая ситуация.

---

Чисто для информации:

Brain
Этот вирус в сравнении с последователями практически безопасен. Передается он по загрузочным секторам дискет, а примечателен тем, что первым вызвал настоящую вирусную эпидемию. Его разработка на совести братьев Амджата и Базита Алви (Amdjat и Basit Faroog Alvi), которые запустили его в 1986 году, а обнаружен он был летом 1987 года. Есть информация, что только в США вирус заразил более 18 тысяч компьютеров. А ведь в основе разработки лежали исключительно благие намерения: программа должна была наказать местных пиратов, ворующих программное обеспечение у фирмы братьев. Вирус Brain ко всему прочему еще и первый стелс-вирус. Так, при попытке чтения заражeнного сектора, он «подставлял» и его незаражeнный оригинал.

Jerusalem
Этот вирус был создан в 1988 году в Израиле - отсюда и основное имя. Второе его название «Пятница 13-е». Это первый вирус для MS-DOS, вызвавший грандиозную панику. Скачанный в любое время с дискеты, он активировался в момент наступления злополучного числа - пятницы 13-е - и удалял абсолютно все данные с жесткого диска. В те времена вообще мало кто верил в существование компьютерных вирусов. Антивирусных программ и вовсе почти не существовало, а потому пользователи были совершенно беззащитны перед ним.

Червь Морриса
Активность этого опасного вредителя пришлась на ноябрь 1988 года. Данный Интернет-вирус тогда был первым в рейтинге самых страшных. Компьютеры ударом ноги подобно своему знаменитому тезке, он, конечно же, не убивал. Что он делал? Парализовывал работу компьютеров своим хаотичным и бесконтрольным размножением. Из-за него-то и вышла из строя вся, тогда еще не слишком глобальная, Сеть. И хоть сбой длился совсем не долго, общие убытки оценили в 96 миллионов долларов.

Michelangelo («March6»)
Этот вирус в свое время сильно переоценили. Правда, он заслуженно считается одним из самых безжалостных. Проникая через дискеты на загрузочный сектор диска, он тихо сидел там, не напоминая о своем существовании до 6 марта. А в этот день «счастливчики», получившие «Микеланджело» на свой компьютер, обнаруживали, что все данные с их жесткого диска стерты. Лютовал этот вирус в 1992 году. Зато он сильно сыграл на руку компаниям, производящим антивирусы. Пользуясь случаем, бизнесмены раздули истерию до невиданных масштабов, в то время как на деле от него пострадали всего около 10000 машин.

Чернобыль (CIH)
Один из самых знаменитых вирусов мира. Создан в 1998 году тайваньским студентом, по инициалам которого и назван. Через Интернет, электронную почту и диски вирус попадал в компьютер, прятался внутри других программ, а в определенный момент (26 апреля) вирус активировался, стирая содержимое жесткого диска и нанося вред аппаратной части компьютера. Эпидемия «Чернобыля» пришлась на апрель 1999 года. Тогда из строя было выведено более 300 тысяч компьютеров, в основном в Восточной Азии. Причем в течение нескольких последующих лет 26 апреля вирус продолжал свое черное дело, что по итогам нанесло урон огромному количеству компьютеров во всем мире.

Melissa
Создан в 1999 году. Первый всемирно известный почтовый червь. Он заражал файлы документов MS Word и рассылал свои копии в сообщениях электронной почты при помощи MS Outlook. Вирус распространялся с бешеной скоростью, а потому сумма нанесенного им ущерба оценивается более чем в $100 млн.

ILOVEYOU («Письмо счастья»)
Создан в 2000 году и примечателен тем, что придуман он довольно хитро. Пользователю на почту приходило сообщение «I LOVE YOU» с вложенным файлом. Доверившись столь милой оболочке, пользователь скачивал его и получал скрипт, который отсылал письма в невероятных количествах, а также удалял важные файлы на ПК. Результаты шокируют до сих пор: 10% всех существовавших на тот момент компьютеров были инфицированы, что нанесло ущерб в размере $5,5 миллиардов.

Nimda. 2001 год
Название представляет собой слово «admin», только наоборот. Вирус, попадая на компьютер, мгновенно «выписывал себе» права администратора. После чего изменял и нарушал конструкцию сайтов, блокировал доступ на хосты, IP-адреса и т.д. А проникал на компьютеры он столь виртуозно и эффективно, что уже через 22 минуты после своего создания он стал самым распространенным в сети Интернет.

My Doom. 2004 год
Самый быстрый вирус электронной почты. Работал он по нарастающей: каждый следующий компьютер отправлял спама еще больше, чем предыдущий. Кроме того, он модифицировал операционную систему, блокируя доступ к сайтам многих антивирусных компаний, новостным лентам и различным разделам сайта компании Microsoft. На его счету даже DDOS-атака на сайт Microsoft.

Conficker. 2008 год
Самый последний из всемирно распространившихся вирусов имеет славу опаснейшего из известных компьютерных червей. Атакует он операционные системы семейства Microsoft Windows. Вирус поразил более 12 миллионов компьютеров во всeм мире. Принцип действия: червь находит уязвимости Windows, связанные с переполнением буфера, и при помощи обманного RPC-запроса выполняет код, отключая сервисные службы и обновление Windows, а также блокируя доступ к сайтам ряда производителей антивирусов.

---

А так же:

«Win32.Conficker.B» (Он же «Net-Worm.Win32.Kido.dv», он же «W32/Downadup.B», он же «W32/Downadup.AL», он же «W32/Confick-D», он же «WORM_DOWNAD.AD»), Java.Trojan.Downloader.OpenConnection.AI, BackDoor.Webcam.9, Net-Worm.Win32.Kido.ir, Net-Worm.Win32.Kido.ih, not-a-virus:AdWare.Win32.Boran.z, Virus.Win32.Sality.aa, Worm.Win32.FlyStudio.cu, Trojan-Downloader.Win32.VB.eql, Virus.Win32.Induc.a, Packed.Win32.Black.d, Worm.Win32.AutoRun.awkp,  Virus.Win32.Virut.ce, и т.д.

---

Список распространенных вредоносных программ http://www.microsoft.com/ru-ru/security/pc-security/malware-families.aspx

---

Как говориться, одни лечат другие калечат.

Рейтинг антивирусов 2011-2012 года.
http://basetop.ru/reyting-antivirusov-2011-2012-goda/
http://www.anti-malware.ru/tests_history
http://atlantis-tv.ru/forum/77-3821-1

Меня одного удивило вот это:

ЦитироватьВ корневом каталоге Windows (%WINDIR%) производится поиск и удаление файла svchost.com. После этого создается новый файл svchost.com, содержащий в себе тело вируса.

(http://pix.am/npJH.jpg)

УДАЛЕНИЕ СИСТЕМНОГО ФАЙЛА?
(еще раз картинку повторю)

(http://pix.am/npJH.jpg)

Как такое вообще можно допустить на своей системе??????? Мы же говорим не о хитровые***ном трояне или вире, а о какой-то шняге, написанной на дельфи.

ЦитироватьУДАЛЕНИЕ СИСТЕМНОГО ФАЙЛА?

Хочешь прикол, у меня его каспер съел в первые секунды заражения и теперь его у меня нет вообще! и система работает отлично!!!

Цитата: RAØZHM от 03 июня 2012, 11:57:29
Хочешь прикол, у меня его каспер съел в первые секунды заражения и теперь его у меня нет вообще! и система работает отлично!!!

так он съел зараженный файл.

Мой вопрос был к тому, что на защищенной системе его ни удалить ни модифицировать нельзя

Ну, что я могу сказать опять-25, сегодня заходик ко мне сотрудник и я вижу сильное горе на его лице, а за ним мокрый след.

Спрашиваю: Что намотал на USB конец?
Он в ответ: Ага.
Спрашиваю: Куда совал?
Он в ответ: Ходил к электрикам скачивал фильмы.
Я ему: Ну, что давай на операционный стол, будем вырезать опухоль.
Он в ответ: Доктор, а это не больно...

Отсюда выводы, не суй куда попало, без спец. защиты.

Короче, очередная зараза: WIN32.SALITY.BH


И аналогичные...

Virus.Win32.Sality.aa
Virus.Win32.Sality.d
Virus.Win32.Sality.e
Virus.Win32.Sality.t

По защите у товарища стоял "COMODO" который усравси. Минус его в том, что он выдирал рабочие экзешники с вирусом в карантин, соответственно блокировав работу программ.
Пришлось ставить старого доброе приведение, каспера + утилита salitykiller.exe . 1 час зачистки и все ОК.

---

Описание этого вируса:
http://www.securelist.com/ru/search?VN=Virus.Win32.Sality.bh&referer=fs
Как его лечить:
http://support.kaspersky.ru/faq?qid=208636131
Лекарство:
http://support.kaspersky.ru/downloads/utils/salitykiller.exe

---

Технические детали

Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ. Является приложением Windows (PE-EXE файл). Написана на С++. Имеет размер 70656 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 574 КБ.

Распространение

Копирует свое тело со случайным именем на все доступные на запись сетевые, логические и съемные диски, при этом расширение файла может быть ".exe", ".pif" или ".cmd", выбираемое случайным образом:
<X>:\<rnd>.<случайно выбираемое расширение файла>
Где <X> - буква зараженного раздела, <rnd> - случайный набор латинских букв.


Также помещает в корень диска сопровождающий файл:
<X>:\autorun.inf
который запускает исполняемый файл вредоноса, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Копии тела вредоноса и файлу его автозапуска устанавливает атрибуты "скрытый" и "системный".

Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями: .EXE, .SCR

Вирус не заражает файлы размером больше 20 971 520 байт и меньше 4 096 байт. Заражаются только файлы, которые содержат в PE-заголовке секции:

TEXT
UPX
CODE

При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело.
Поиск файлов для заражения производится на всех разделах жесткого диска и доступных для записи сетевых ресурсах.

---

а можешь мне передать зараженный файл? попробую у себя запустить :)

Не советую, вирус звиздец. С 12 дня до 8 вечера, 12 зачисток!!! Результат 2%. Поставлю на все ночь...

Особенности данного вируса.

1. Вирус, убил почему-то инсталяционные экзешники, но не все. Файлы программ он заразил, но Каспер сделал резервные копии, соответственно рабочии программы не повреждены.
2. Практически моментальное заражение!!! В течении 1-2 минут. Банер о заражении вылетает со скоростью звука.
3. Вирус сам себя генерирует, а это не есть хорошо, т.к. эффект от зачиток начился ощущаться, после 7 попытки.
Т.е. я делаю чистку всех дисков, после этого еще повторняю отдельно, но когда возвращаюсь на повтор проверки, вирус тут, как тут и все заново. Согласно описанию в сети, прошерстил весь реестр, соответственно кое, что пришлось править.
4. Этот вирус Каспер не лечит!!!, он его находит, определяет и предлагает только "удалить". С ним танцует только утилита salitykiller.exe и пакет от Веба.
5. Только комплексная защита спасла положение + "Зоркий глаз" (У него есть все разблокировки) + AVZ.
6. Вирус блокирует все!!!

Отключает диспетчер задач.
Запрещает редактирование реестра.
Отключает брандмауэр Windows.
Запрещает Internet Explorer работать в автономном режиме.
Запрещает отображение скрытых папок и файлов.
Отключает возможность запуска Windows в безопасном режиме.
Регистрирует и запускает свою службу, для блокировки доступа к сайтам антивирусных компаний.
Останавливает службы и выгружает из памяти процессы, относящиеся к антивирусным программам и Firewall.

7. Так же помещает в корень диска сопровождающий файл: <X>:\autorun.inf.
8. Практически, сразу у компьютера включается аварийный ручной тормоз!!!

Вывод: Для простого пользователя, это просто жуткий нервный оргазм!!! С переустановкой ПО.

Короче вирус гоблинский, думаю, что через пару дней у нас будет зараженно большая часть всех личных компов.
Я уже боюсь что либо вставлять в рабочие компы... иначе все сгорит.

Не знаю, попробую скачать эту зверюгу лично для тебя.

Цитата: RAØZHM от 03 июня 2012, 23:56:12
Не советую, вирус звиздец. С 12 дня до 8 вечера, 12 зачисток!!! Результат 2%.

Да ты мне его дай, а дальше я буду пробовать свою систему заразить :)

Хорошо, сделаем. Я тебе подборку соберу.
Я думал за 1 час управлюсь, я этот вирус недооценил... когда снял розовые очки.

ЦитироватьУДАЛЕНИЕ СИСТЕМНОГО ФАЙЛА?

легко. программа запускает cmd (командную строку) в скоытом режиме передавая ей параметром то что надо сделать ну например del c:/ntldr при чем с правами администратора и звездец. При рестарте компа ntldr is missing и система больше не включается. Если писать на Асме будет весить пару сотен байтов ну до килобайта можно растянуть с перекурами, если на гДэлфи 10-30килобайт
я иногда сам пользуюсь скрытым запуском цмд передавая ей команды если это целесообразнее чем писать 50-100 строк кода для того же замута.

Иван сталкивался с такой падалью или аналогичными вирусами? (WIN32.SALITY.BH)

А кто хочет поэкспериментировать и вкусить полноту ощущений, можете скачать его здесь:
http://khak.my1.ru/load/polzovatelskij/virusytrojanychervi/win32_sector_17_sality/19-1-0-133

Все что вы будете делать с вирусом, это на ваш страх и риск!!!

---

Вирусы, атакующие холодильники и телевизоры уже реальность.
http://virusinfo.info/content.php?r=181-%C2%E8%F0%F3%F1%FB-%E0%F2%E0%EA%F3%FE%F9%E8%E5-%F5%EE%EB%EE%E4%E8%EB%FC%ED%E8%EA%E8-%E8-%F2%E5%EB%E5%E2%E8%E7%EE%F0%FB-%F3%E6%E5-%F0%E5%E0%EB%FC%ED%EE%F1%F2%FC

Иван, тогда жду в почту nitro80@gmail.com exe-файл, который запущу на своем ноуте.
или сильно занят и некогда программировать такие глупости? ;)

Цитироватьили сильно занят и некогда программировать такие глупости?

Ха, глупости. Костя, ну ты то проженный клавишник "enter", и так наивно по-чукотски думаешь о вирусах.  Ладно, изучай мат. часть.
Потом поделишся впечатлением...

Хочу лишь добавить, что простому пользователю, этот вирус вызовет преждевременный психологический оргазм и он в панике будет метаться по комнате в поисках правды, как так и когда был залет?

Цитата: RAØZHM от 04 июня 2012, 17:28:00
Ха, глупости. Костя, ну ты то проженный клавишник "enter", и так наивно по-чукотски думаешь о вирусах.  Ладно, изучай мат. часть.
Потом поделишся впечатлением...

Интересно, что я о них думаю?

ЦитироватьИнтересно, что я о них думаю?

А какое мнение может быть о вирусной гадости... Она приходит в самый ответственный момент и забирает кучу того времени, которое тебе бы пригодилось для другого нужного дела.
Я к тому, когда ты в спаринге с вирусом пару раундов потрешся спинкой, скажешь какой был контакт...

---

Не желаете проверить свою дряхлую систему на прочность, тогда вам сюда. Исходники вирусов и просто вирусы.

Кто-то просил сало (Sality) на закуску, вот держите и пробуйте: http://rapidshare.com/files/100724150/Virtual.exe.html


А здесь можете задрочить свой антивирус, до по потери сознания и преждевременного испражнения. (http://www.securitylab.ru/blog/personal/viruspack/6718.php)

3700 вирусов качаем!!!
http://www.securitylab.ru/blog/personal/viruspack/6718.php ,
http://softtime.ucoz.com/load/progs/antivirusy/megapak_virusov_3700_sht/9-1-0-14
http://catzone.ws/webmaster/18475-megapak-virusov.-prover-svojj-antivirus.html

И вот еще. (http://forum.k0d.cc/showthread.php?t=5325)
Так для новичков!!! (http://pascal.proweb.kz/files/167.zip)
Вирусы. (http://pascal.proweb.kz/index.php?download=167)
Вирусы. (http://pascal.proweb.kz/index.php?download=169)
Вирусы. (http://www.xaker.name/forvb/showthread.php?t=12595)
Исходники вирусов и троянов, налетай: (http://informatoriy.ru/index.php?areaId=422)
Так баловство для начинающих: (http://dfcovermod.3dn.ru/publ/4-1-0-4)

Не сочтите за вредительство, но вы просили.

---

А вот простой тестовый вредоносный код:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Копируете в простой текстовый документ и сохраняете и смотрите на своего защитника.

Сегодня еще один с товарищч обратился за помощью в ОАО "Вирус Гондураса".
Короче аналогичная история, тот же вирус пакостный вирус "WIN32.SALITY.BH". Но к сожалению пациента не успели довести до реанимации, спекся на носилках. Если в первом случае обошлось небольшой потерей файлов EXE, то в этом случае пришлось просто, не тратить время на лечение, а переустановить систему. Вирус заблокировал все, что можно было заблоктровать.

Костя, вирус тебя ждет... ;)

Цитата: RAØZHM от 09 июня 2012, 21:02:36
Костя, вирус тебя ждет... ;)

Да ради бога, запущу его при тебе, самому интересно стало :)

ЦитироватьX5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

предположу, что данный текст в бинарном виде представляет некую сигнатуру, характерную для вредоносного софта, вот антидоты и реагируют на него.
а по факту:

ЦитироватьEICAR-Test-File
EICAR (или EICAR-Test-File — от European Institute for Computer Antivirus Research) — стандартный файл, применяемый для проверки, работает ли антивирус. По сути вирусом не является; будучи запущенным как COM-файл DOS, всего лишь выводит текстовое сообщение и возвращает управление DOS. Программа работает в средах, поддерживающих выполнение 16-битного ПО для DOS, таких как MS-DOS, OS/2, Windows 9x и 32-битные Windows NT. Под 64-битными версиями Windows файл не запускается.

Хотя COM-файлы в общем случае являются двоичными, EICAR содержит только символы ASCII. Поэтому любой пользователь может убедиться в работоспособности своего антивируса, набрав в текстовом редакторе (например, в Блокноте) тестовую строку длиной 68 байт и сохранив её с расширением .EXE или .COM,однако, если тестируется Антивирус Касперского, то сохранять можно просто в формате .txt. Символы CR/LF, которые редактор может добавить в конец файла, не влияют на работу EICAR. Обычно, если резидентный монитор антивируса включен, уже после нажатия кнопки «Сохранить» выводится предупреждение.

Для чего предназначен

Разумеется, EICAR не проверяет, насколько оперативно разработчики реагируют на вирусы и насколько качественно излечиваются заражённые файлы — для этого нужен «зоопарк» свежих вирусов. Его задача другая: продемонстрировать работоспособность антивирусной системы и указать, какие объекты проверяются антивирусом, а какие — нет. Например:
Есть подозрение, что компьютер заражён. Действует резидентный монитор, или вирус сумел его отключить?
Обычный почтовый червь наподобие VBS.LoveLetter должен для заражения пройти несколько стадий: загрузиться на компьютер по протоколу POP3; записаться в базу почтового клиента; по команде пользователя распаковаться во временный файл и запуститься. На какой стадии он будет замечен?
Существует много способов «протащить» вредоносную программу мимо «глаз» антивируса: закодировать в Base64, вложить в OLE-объект Microsoft Word, в RAR, JPEG, сжать упаковщиком наподобие UPX. Что из этого антивирус распакует?
Кроме того, антивирусы бывают не только локальные, но и сетевые — проверяющие сетевой трафик; при ошибке конфигурирования они будут либо загружать сервер излишней работой, либо, наоборот, пропускать вредоносные файлы.

Для того, чтобы проверить, какова будет реакция антивируса, конечно, можно применить и «живой» вирус — но это «как поджигание урны для проверки пожарной сигнализации».[1] Для этого и был предложен стандартизированный файл, не несущий вредоносной нагрузки.

Вики - http://ru.wikipedia.org/wiki/EICAR-Test-Fileздесь подробнее

Ура!!! Впервые за 2 года поймал вин-локер!!!!
Обрадовался как родному )))
Всё-таки есть польза от работы под непривилегированным пользователем - зашел под админом и тупо грохнул процесс вируса :) А  файлик скопировал к себе, буду работников тренировать :)


PS Так какой вы используете антивирус? :)

дома никакого, другие способы защиты есть.
на работе корпоративный волкодав Касперский, буквально сегодня это тупорылое создание расценило 1С как вредоносное ПО и заблокировало сохранение базы на сервере. ГлавБух в  :o. Админ душит каспа, но касп пока побеждает :)
жую попкорн наблюдаю за ситуацией и  :D

ClamAV  у себя, DrWeb у домашних.

Цитата: Varkus от 25 июля 2012, 13:07:24дома никакого, другие способы защиты есть.

Ну хоть кто-то адекватен  :lol:

Цитата: Varkus от 25 июля 2012, 13:07:24на работе корпоративный волкодав Касперский, буквально сегодня это тупорылое создание расценило 1С как вредоносное ПО и заблокировало сохранение базы на сервере. ГлавБух в  . Админ душит каспа, но касп пока побеждает жую попкорн наблюдаю за ситуацией и

ооооо, расскажешь потом )

Цитата: RAØZHX от 25 июля 2012, 12:38:05PS Так какой вы используете антивирус?

Это была ирония :)

Компания Carbon Black, которая занимается разработкой решений для обнаружения вирусов с помощью онлайн-сервисов, провела любопытное исследование с не менее интересными результатами. Согласно выводам Carbon Black, если сигнатура только что обнаруженного вируса не попадает в антивирусную базу продукта в течение первых 6 дней после первого обнаружения, с большой вероятностью этот вирус уже никогда не появится в базе, так что его обнаружение будет невозможно.

      Вывод специалистов Carbon Black неутешителен – у производителей антивирусов есть очень маленькое «окно» для обнаружения и блокирования атак. В исследовании было задействовано 84 образца вирусов, взятых из VirusTotal, и 43 коммерческих антивирусных продукта от известных поставщиков. Статистика показала, что если антивирус не получил сигнатур «нового» вредоносного ПО за первые 6 дней после первого обнаружения, то в большинстве случаев эта сигнатура не появится в базе данного антивируса и через 30 дней.

      С критикой выводов Carbon Black немедленно выступил Дэвид Хэрли (David Harley), старший научный сотрудник ESET. Хэрли указал на ряд методологических ошибок, которые могли сильно исказить результат и привести к неверным выводам. В частности, образцы, доступные на сайте VirusTotal, не являются точной копией реальных вирусов на клиентских машинах.

      Как бы то ни было, результаты исследования позволяют с полным основанием заявить, что ряд вирусов навсегда остаются незамеченными для защитных систем, если их сигнатуры не попали в базу обнаружения сразу. Эксперимент Carbon Black лишний раз показал, что несколько антивирусов лучше, чем один – это можно было ожидать.

      Еще один эксперимент Carbon Black показал, что некоторые антивирусные продукты через 30 дней после начала теста с фиксированным набором образцов определяют меньше вирусов, чем в условный первый день массового распространения. По мнению специалистов Carbon Black, это может происходить из-за того, что антивирусные компании удаляют сигнатуры вирусов, которые больше не актуальны.

---

Ну как, вы ещё пользуетесь антивирусом? :)

Цитировать
Вирусная атака мира
"Лаборатория Касперского" нашла "самый сложный вирус в мире"

Российская компания "Лаборатория Касперского", разрабатывающая антивирусные системы и ПО для защиты от киберугроз, заявила об обнаружении "самого сложного вируса в мире". Новый "червь" успел заразить сотни компьютеров в Иране, Судане, Сирии, Ливане, Саудовской Аравии и Египте.

По словам экспертов, вредоносное ПО состоит из множества независимых модулей, которые могут выполнять самые разные виды атак — от кражи данных до кибершпионажа. К примеру, троян способен удаленно менять настройки на ПК, включать микрофон, отправлять файлы, записывать разговоры в онлайн-чатах, перехватывать пароли и нажатия клавиш, а также делать скриншоты экрана. На компьютер Flame проникает с "флешки" или по локальной сети

До этого самым технически сложным вирусом считался Stuxnet, способный наносить физический ущерб заводам, электростанциям и другим промышленным объектам. Впервые об этом "черве" стало известно в июне 2010 года, когда он заразил компьютеры на Бушерской АЭС в Иране и разрушил двигатели урановых центрифуг, резко снижая и увеличивая частоты вращения конвертера.

Flame был впервые замечен в августе 2010 года, и с тех пор успел заразить более 600 объектов, в том числе компьютеры частных лиц, компаний, образовательных и правительственных учреждений. Как уточняет BBC, вирус "весит" 20 мегабайт — в двадцать раз больше, чем Stuxnet.

По словам представителя "Лаборатории" Виталия Камлюка, принцип действия Flame еще не ясен до конца, и на анализ трояна может уйти несколько лет. Он предположил, что вирус такой сложности невозможно создать в одиночку, и скорее всего, его разработчики пользовались поддержкой со стороны правительства.http://gaimed.ucoz.ru/news/virusnaja_ataka_mira/2012-05-29-103
Экперты полагают, что Flame, собиравший информацию с компьютеров в регионе Ближнего Востока, был создан около пяти лет назад американскими и израильскими программистами с целью противодействия иранской ядерной программе.

Главной целью Stuxnet были урановые центрифуги в Иране. Летом 2010 года на Бушерской АЭС в Иране этот вирус разрушил двигатели сотен урановых центрифуг, резко снижая и увеличивая частоты вращения конвертера. Некоторые эксперты полагают, что Stuxnet смог отбросить развитие ядерной программы Ирана на несколько лет назад.

Этио получается, что любой объект имея управление АСУТП И СДТУ может быть подвержен атаке и .....

У нас хоть и изолированная система управления серверами, но мало ли, что. Про обычные ПК я молчу т.к. заражения происходят постоянно, через Флешки и переносные жесткие диски.

---

Обзор вирусной активности в июле 2012 года: летнее затишье и новая угроза для Mac OS X

Цитировать
1 августа 2012 г., 15:29


В июле 2012 года повысилось число заражений пользовательских компьютеров троянцами-блокировщиками, одновременно было отмечено значительное снижение спам-трафика в результате прекращения деятельности одного из крупнейших ботнетов BackDoor.Blackenergy. В конце месяца специалистами компании «Доктор Веб» был обнаружен кросс-платформенный троянец BackDoor.DaVinci.1, способный работать как в ОС Microsoft Windows, так и в Mac OS X. Примечательно, что эта вредоносная программа использует руткит-технологии для скрытия своих процессов и файлов в Mac OS X, что само по себе можно назвать уникальным явлением.

По данным статистики, собранной с использованием лечащей утилиты Dr.Web CureIt!, наиболее распространенной угрозой, встречающейся на компьютерах пользователей в июле, как и прежде, является Trojan.Mayachok.1. По сравнению с предыдущим месяцем число детектов этого троянца выросло на 18,5%. Напомним, что основное предназначение данной вредоносной программы — блокирование на инфицированном компьютере доступа к некоторым сайтам с целью вынудить пользователя оформить услугу подписки с использованием мобильного телефона. По всей видимости, данная схема монетизации приносит злоумышленникам хороший доход, поскольку популярность этого троянца среди распространителей вредоносного ПО не снижается.

На втором месте по количеству обнаружений располагаются троянские программы семейства Trojan.SMSSend — их процент в сводной статистике также заметно вырос. А вот число детектов банковских троянцев Trojan.Carberp различных версий, наоборот, снизилось на 36%. По-прежнему велико число обнаруживаемых на компьютерах пользователей программ-загрузчиков и вредоносных приложений семейства Trojan.Hosts. В представленной ниже таблице демонстрируется список угроз, наиболее часто выявляемых лечащей утилитой Dr.Web CureIt! на компьютерах пользователей в июле 2012 года.

После наблюдавшегося в конце июня — начале июля снижения числа запросов от пользователей, пострадавших от действия троянцев-блокировщиков, во второй половине июля наметился некоторый рост случаев заражения винлоками.

В связи с прекращением деятельности одного из крупнейших ботнетов, ориентированных на рассылку спама — BackDoor.Blackenergy, объем спам-трафика в июле действительно сократился. Среди угроз, выявленных антивирусным программным обеспечением Dr.Web в почтовых сообщениях, лидирует BackDoor.Andromeda.22, на втором месте в данном списке следует Trojan.Necurs.21, на третьем — Trojan.Oficla.zip. Довольно часто в почтовом трафике встречаются троянцы-загрузчики, а также вредоносные программы семейств Trojan.Winlock (примерно 0,7% от объема всего вредоносного почтового трафика). Следует отметить, что по качественному составу угроз картина за последний месяц не слишком изменилась: число выявленных экземпляров троянца BackDoor.Andromeda.22 несколько возросло, в то время как распространение почтового червя семейства Win32.HLLM.MyDoom — наоборот, пошло на спад. Кроме того, в июле из статистики по почтовым серверам практически исчезли троянцы семейства Trojan.AVKill, которые еще месяц назад распространялись очень активно.

Угрозой месяца оказалась вредоносная программа BackDoor.DaVinci.1 — весьма интересный и многофункциональный бэкдором, включающий большое количество функциональных модулей, в том числе драйверы, использующие руткит-технологии для скрытия работы приложения в операционной системе.

Распространение BackDoor.DaVinci.1 осуществляется с использованием JAR-файла AdobeFlashPlayer.jar, подписанного недействительным цифровым сертификатом. Этот файл выполняет проверку типа операционной системы, после чего сохраняет и запускает на компьютере жертвы зараженное приложение как для ОС Windows и платформы Mac OS X. Помимо этого, известно о реализации данной угрозы, представляющей опасность для мобильных платформ.

BackDoor.DaVinci.1 позволяет устанавливать полный контроль над инфицированным компьютером. Помимо этого, троянец сохраняет и передает злоумышленникам информацию о зараженной машине, фиксирует нажатие клавиш, способен делать снимки экрана, перехватывать сообщения электронной почты, ICQ, Skype, передавать данные с микрофона или подключенной к компьютеру видеокамеры. Кроме того, бэкдор обладает обширным функционалом по обходу антивирусных программ и персональных файерволов, благодаря чему может в течение длительного времени работать на инфицированной машине незаметно для пользователя. Интересной особенностью реализации BackDoor.DaVinci.1 для Mac OS X является то обстоятельство, что впервые в данной платформе используются руткит-технологии для скрытия файлов и процессов вредоносной программы.

В течение месяца было зафиксировано появление целого ряда новых вредоносных программ для мобильной платформы Android. Так, в первой половине июля специалистами компании «Доктор Веб» было выявлено несколько вредоносных приложений, распространявшихся с официального сайта Google Play. Согласно общедоступной статистике, эти программы были загружены пользователями мобильных устройств более 18 тысяч раз.

Обширная категория банковских троянцев пополнилась новым представителем в лице вредоносной программы BackDoor.Bebloh.17. Данное приложение распространяется в виде вложения в сообщения массовых почтовых рассылок, отправляемых в том числе якобы от имени компании DHL, и представляет угрозу для пользователей систем дистанционного банковского обслуживания (ДБО), поскольку позволяет злоумышленникам красть конфиденциальную информацию путем перехвата заполняемых в браузере форм и встраивания в страницы сайтов некоторых банков.

В конце месяца была зафиксирована массовая спам-рассылка в социальной сети Twitter. Сообщения были написаны на русском языке и включали в себя ссылку, ведущую в зависимости от используемого браузера либо на мошеннический сайт, либо на ресурс, с которого выполняется загрузка вредоносных программ для мобильных устройств.

Помимо этого, во второй половине июля было зафиксировано распространение троянца-загрузчика Trojan.Yaryar.1, обладающего обширным функционалом по выявлению средств отладки и анализа, и, кроме того, умеющего напрямую работать со структурами файловой системы NTFS, что можно назвать нечастым явлением для вредоносных программ такого типа.

По материалам официального пресс-релиза.
http://soft.mail.ru/pressrl_page.php?id=47697

Цитата: RAØZHM от 27 августа 2012, 09:19:24По словам экспертов, вредоносное ПО состоит из множества независимых модулей, которые могут выполнять самые разные виды атак — от кражи данных до кибершпионажа. К примеру, троян способен удаленно менять настройки на ПК, включать микрофон, отправлять файлы, записывать разговоры в онлайн-чатах, перехватывать пароли и нажатия клавиш, а также делать скриншоты экрана. На компьютер Flame проникает с "флешки" или по локальной сети

Они издеваются? Такое умели трояны ещё 6 лет назад, когда попали мне в руки, да и на тот момент, они были устаревшие. Тот же Pinch.

Цитата: RAØZHM от 27 августа 2012, 09:19:24Этио получается. что любой объект имея управление АСУТП И СДТУ может быть подвержен атаке и .....У нас хоть и изолированная система управления серверами, но мало ли, что.

Там, где сидит грамотный сисадмин, "мало ли что" не получится.
1. флешки там просто работать не будут
2. не получится перезаписать данные
3. системы действительно не имеют доступа  в другие сети.
И наверняка стоят фаерволы + логирование всего и вся.

ЦитироватьТам, где сидит грамотный сисадмин, "мало ли что" не получится.
1. флешки там просто работать не будут
2. не получится перезаписать данные
3. системы действительно не имеют доступа  в другие сети.
И наверняка стоят фаерволы + логирование всего и вся.

Не поверишь, вот поэтому, мы еще до сих пор дискеты используем. И система управления у нас изолирована.
Хотя если посмотреть на это:

ЦитироватьЭксперты нашли компьютерный вирус, созданный для атак на аэропорты
17 августа 2012 12:43

Эксперты в сфере информационной безопасности обнаружили версию вредоносной троянской программы Citadel, специализирующуюся на атаках на IT-инфраструктуру аэропортов, согласно сообщению компании Trusteer.

Посредством Citadel хакерам удается перехватить управление защищенным VPN-соединением между компьютером сотрудника аэропорта, работающим удаленно, и интерфейсами внутренних компьютерных систем, которые обеспечивают работу аэропорта. Сотрудники Trusteer отмечают, что модификация вируса создает угрозу работе службы безопасности аэропорта и службы паспортного контроля.

Какой именно аэропорт стал целью хакерской атаки, в компании не сообщили.

"Взлом происходит с помощью заражения ноутбуков и рабочих станций компьютеров сотрудников специализированной вредоносной программой. Программа во многом аналогична банковским троянам, но вместо кражи реквизитов доступа к интернет-банку она копирует имя пользователя и пароль, вводимые в окне подключения к VPN (виртуальной частной сети), то есть удаленного доступа к корпоративной сети через интернет", - рассказал Сергей Гордейчик, технический директор российской корпорации Positive Technologies.

Вирусные атаки на компьютерные системы объектов инфраструктуры в целом учащаются. Первый случай такого заражения антивирусное оборудование зафиксировало в 2010 году, когда появился червь Stuxnet, атаковавший иранские заводы по обогащению урана. При этом вирусы Stuxnet и Flame, за последние несколько лет заразившие большое число компьютеров в Иране, предположительно являются продуктом совместной разработки специалистов из Израиля и США.
Тем не менее, как правило, подобные вредоносные программы хакеры используют для похищения конфиденциальных данных или их намеренного уничтожения.
http://cfts.org.ua/news/46783

Так сидишь в аэтопорту, ждешь рейс, а на табло ваш рейс задерживается, часиков так на 6. Соответственно вы в непонятках, как так, в справочную, ну и так далее, вобщем неприятная суета. Это в лучшем случае, а в худшем, если багаж, отсортируют не туда, куда надо и он улетит к примеру в Бангладешь, а вы на Аляску...
Судя по последней информации, такие промышленные заражения, стали очень популярны, так сказать под "заказ" на конкретный объект.

Цитата: RAØZHM от 27 августа 2012, 09:39:38она копирует имя пользователя и пароль, вводимые в окне подключения к VPN (виртуальной частной сети)

а сертификаты для кого?

это новости для ит-нубов. Если министр МВД говорит, что пользователи Линукс это потенциальные преступники и им есть что скрывать, то чего уж говорить о том бреде что пишут и показывают в новостях.
Из последнего что помню: Школьник написал свою операционную систему, местное министерство образования обдумывает возможность её установки на ПК школ.

По факт: тип взял Линукс исходники(не помню какой сборки) и все надписи Линукс затер на своё название, в сети народ выкладывал ссылки на его вопросы в нете где и как еще позатирать надписи Линукс. Ну типа он создатель всего и всея в своей сборке.

После шумихи корреспонденты извинились, что не так изложили новость, но об этом уже почти никто не узнал.

Обзор вирусной активности в сентябре-октябре 2012 года. Новое семейство опасного троянца и программы-шпионы для мобильных устройств на 1 октября 2012 года.

---

ЦитироватьМониторинг вирусной активности по состоянию на 12 ноября 2012г.
Вирусный код обнаружен на следующих сайтах:
*fre.ru (подробнее)
*ss-svet.cabel.ru (подробнее)
www.*ongroup.ru (подробнее)
*ogramms-novie.ucoz.ru (подробнее)
*asnokamensk.3dn.ru (подробнее)
*ar-kr.ucoz.ru (подробнее)
*gafilmus.ru (подробнее)
*oecologia.ru (подробнее)
*osmart.by (подробнее)
*yaker.3dn.ru (подробнее)
*onlli.ru (подробнее)
http://www.siteguard.ru/stat/12/11/2012/

---

ЦитироватьВ сентябре 2012 года заметно уменьшилось количество заражений опасной вредоносной программой Trojan.Mayachok.1, но в то же время появилось несколько новых ее модификаций, значительно отличающихся по своему исполнению. По всей видимости, на смену Trojan.Mayachok.1 приходит следующее поколение вредоносных программ этого семейства. Также сентябрь был отмечен появлением новой модификации широко известного троянца BackDoor.BlackEnergy, обнаружением программ-шпионов для Android и ряда других вредоносных приложений.
Вирусная обстановка, подробней: http://stop-winlock.ru/news/321-obzor-virusnoy-aktivnosti-v-sentyabre-2012-goda-novoe-semeystvo-opasnogo-troyanca-i-programmy-shpiony-dlya-mobilnyh-ustroystv.html

---

Лидеры:

Trojan.Mayachok.1
BackDoor.Butirat.91

---

Цитировать
Вредоносные файлы, обнаруженные в почтовом трафике в сентябре
01.09.2012 00:00 - 30.09.2012 23:00
1   Trojan.SMSSend.3245   1.07%
2   Trojan.Necurs.97   0.96%
3   BackDoor.Andromeda.22   0.72%
4   Win32.HLLM.MyDoom.54464   0.54%
5   Exploit.CVE2010-3333.6   0.51%
6   Trojan.Oficla.zip   0.48%
7   Win32.HLLM.MyDoom.33808   0.43%
8   Exploit.BlackHole.12   0.37%
9   Trojan.PWS.Panda.2401   0.32%
10   SCRIPT.Virus   0.29%
11   Win32.HLLM.Netsky.35328   0.27%
12   Win32.HLLM.Beagle   0.27%
13   Trojan.DownLoad2.39083   0.27%
14   Trojan.PWS.Panda.547   0.21%
15   W97M.Keylog.1   0.21%
16   Exploit.PDF.2990   0.21%
17   Trojan.DownLoader6.56603   0.21%
18   Trojan.Siggen4.19531   0.21%
19   Win32.HLLM.Netsky.18401   0.19%
20   Trojan.PWS.Panda.786   0.16%



Вредоносные файлы, обнаруженные в сентябре на компьютерах пользователей

01.09.2012 00:00 - 30.09.2012 23:00
1   SCRIPT.Virus   0.50%
2   Trojan.Fraudster.343   0.48%
3   Trojan.Inject1.9025   0.47%
4   Trojan.Fraudster.329   0.37%
5   Tool.Unwanted.JS.SMSFraud.10   0.37%
6   Adware.Downware.179   0.36%
7   Trojan.Fraudster.296   0.31%
8   Adware.Downware.426   0.30%

http://stop-winlock.ru/news/321-obzor-virusnoy-aktivnosti-v-sentyabre-2012-goda-novoe-semeystvo-opasnogo-troyanca-i-programmy-shpiony-dlya-mobilnyh-ustroystv.html

головой то я понимаю, бояться вирусов - в инет не ходить.
но с каждым годом серфинг становится все опаснее.
2022год переехал на новую квартиру, тебе только подключили интернет, включаешь ПК, вставляешь шнурок И ....
пи..дос начинается, ты еще IP не успел получить, а антивирус уже поднимает панику, начинает срочно что то лечить и удалять :)

Trojan.Mayachok как лечить и удалить.

---

ЦитироватьКомпания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей об участившихся в последнее время случаях заражения персональных компьютеров вредоносной программой Trojan.Mayachok.1. Данный троянец крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.

---

Способ №1

?1.?Загрузить ОС Windows в Безопасном режиме (Safe Mode).
?2.?Очистите кеш (временные файлы браузера) – там могут скрываться вирусы
?3.?Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие «Лечить».
?4.?Восстановить реестр из резервной копии.

Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик — Свойства почтового ящика — Файлы и каталоги — Хранить присоединенные файлы в отдельном каталоге (Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory).

---

Способ №2

Очистите кеш (временные файлы браузера) – там могут скрываться вирусы

Сакачайте  AVZ Portable бесплатно здесь с нашего сервера со страницы загрузки

Запустите AVZ (для Windows Vista и Windows 7 от имени Администратора – (правой кнопкой мыши по значку AVZ и в открывшемся меню выбираем "Запустить от имени Администратора")

Ищем месторасроложение вируса Trojan.Mayachok.1

Нажмите меню Сервис затем Менеджер внедренных DLL
Вирус будет написан черным цветом, все остальные доверенные - зеленым

Запомните путь к вирусу Trojan.Mayachok.1, который написан черным цветом. Скопируйте его, это и будет месторасположение (ПУТЬ К ВИРУСУ) вашего вируса который мешает работе на компьютере.

Затем выберите меню Файл -  Выполнить скрипт и в открывшемся пустом окне вставьте этот код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ПУТЬ К ВИРУСУ',");
DeleteFile('ПУТЬ К ВИРУСУ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.Далее нажмите выполнить скрипт.

Компьютер перезагрузится.

После этой процедуры  Trojan.Mayachok.1 должен удалиться.

---

Способ №3
Если не получается загрузиться в безопасном режиме то может помочь вам LiveCD. И проверьте компьютер на вирусы.

В конце прошлой недели была зафиксирована волна заражений, в ходе которой пользователи неожиданно столкнулись с невозможностью выйти в Интернет: вместо запрашиваемых ими сайтов в окне браузера демонстрировалось сообщение: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен. [...] Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее СМС-сообщение». Если пользователь следовал указаниям злоумышленников и вводил свой телефонный номер в соответствующую форму, а затем отвечал на входящее СМС, с его счета незамедлительно списывались средства.


Были зафиксированы случаи блокировки доступа в Интернет с подменой сайта «Ростелеком», однако этим аппетиты злоумышленников не ограничивались: вот неполный список интернет-ресурсов, страницы которых может подменить этот троянец: youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее СМС-сообщение.





Один из подтвержденных методов распространения данной вредоносной программы — рассылка в социальной сети «В контакте», рекламирующая программу для просмотра посещающих страницу пользователя гостей. В описании этой программы имеется ссылка, по которой и загружается Trojan.Mayachok.1. Запустившись на инфицированном компьютере, троянец создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временную папку под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в папку
C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.

Данная троянская программа распознается при сканировании дисков компьютера и потому не страшна пользователям Антивируса Dr.Web и Dr.Web Security Space, а также Dr.Web Enterprise Security Suite и подписчикам услуги «Антивирус Dr.Web». Если вы уже стали жертвой данного троянца, обновите вирусные базы и проведите сканирование дисков вашего компьютера. Кроме того, можно воспользоваться средством аварийного восстановления системы Dr.Web LiveCD или лечащей утилитой Dr.Web CureIt!

Компания «Доктор Веб» еще раз рекомендует пользователям с осторожностью относиться к ссылкам на различные приложения, присутствующим в распространяемых среди пользователей социальных сетей рекламных рассылках.

http://www.pc-manual.ru/virus__/trojan-mayachok-1/

Данные предоставил drweb.ru

---

Еще один момен по удалению этого вируса:

Цитировать
Не так давно один из моих пользователей пожаловался на проблему. Win 7 x32 браузеры перестали ходить по ссылкам. Скачал Drweb CureIt, антивирус обнаружил вирусняк Trojan.Mayachok.1. Оказалось, что этот вирус в данный момент является серьезной проблемой. Покопавшись в сети, нашел инфу по решению проблемы.

Ручное удаление Trojan.Mayachok.1

удалить trojan.win32.ddox.ci, удалить trojan.mayachok.1, удалить trojan.mayachok.550, удалить trojan.win32.cidox, удалить trojan.win32.zapchast.feh, удалить trojan:Win32/Vundo.OD, удалить trojan.Win32.Mondere, удалить trojan.Generic.KDV.169924

Встречается разновидность - trojan.mayachok.550. Принцип удаления аналогичный.

Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924)? По описаниям ресурса Dr.Web, это:


Цитата
Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.


Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление чтоTrojan.Mayachok.1 заражает файлы, но на самом деле это не так.

Что происходит после заражения? Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю что чаще всего пострадавший сталкивается со следующими проблемами:

// Подменой запрашиваемых страниц на "internet.com" "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта" и подобных;

// Полной невозможностью выйти в интернет при помощи любого браузера, или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код;

// Блокировкой запуска различных программ в нормальном режиме, в безопасном, как правило всё работает.



Итак, выяснили, у нас действительно Trojan.Mayachok.1 Как лечить? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто:

1. Открываем редактор реестра: нажимаем "Пуск" => "Выполнить" вписываем команду: regedit, нажимаем enter. Далее находим ветку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
и параметр AppInit_DLLs

Смотрим значение этого параметра. Если видим запись, подобную этой:
"AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll"

(кроме tvhihgf.dll имя файла может состоять семи из любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.

Ошибочные действия при правке реестра могут серьезно повредить систему!




2. Перезагружаемся. Это обязательный момент!

3. Разыскиваем этот файл на диске - и так же удаляем. Это и есть наш Trojan.Mayachok.1.

4. Находим и удаляем созданные одновременно с tvhihgf.dll или чуть позже (смотрим по дате) файлы с расширением .tmp из каталогов C:\windows\system32 иC:\windows\SYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1.



5. Ещё раз перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.

Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней, поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ.


Для пользователей x64 разрядных систем:

Троянец находится в каталоге C:\windows\SYSWOW64

Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64
Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь:
%SystemRoot%\SysWOW64\regedit.exe



По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, то есть проверять нужно в том числе ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows

*********************************************************************************************
Часто задаваемые вопросы

Я удалил ключ из реестра, но не запомнил и не записал имя троянского файла. Как теперь его найти?

При помощи поиска windows найдите все созданные на дату заражения файлы с расширением .dll в папках %windir%\system32 и %windir%\SYSWOW64. Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 42-56 kb. Все подозрительные файлы проверьте на сервисе virustotal.com. Троянский файл будет определен антивирусами. Так же, при поиске в Google, имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1).

А временные файлы можете удалить командой (вставить в командную строку):
del "%windir%\system32\*.tmp" /q

нажать enter.

Для 64 битных систем:
del "%windir%\syswow64\*.tmp" /q


Как воспользоваться поиском windows?

В меню папки выбрать "Вид" - "Панели обозревателя" - "Поиск", или нажать F3 или сочетание клавиш ctrl и E

Я по ошибке удалил из реестра троянский ключ вместе с параметром AppInit_DLLs. Что теперь произойдёт?

На работоспособность системы это не повлияет. Если в этом параметре помимо троянской записи присутствовали другие, например записи легального программного обеспечения - их функциональность может быть нарушена, поэтому такие программы рекомендуется переустановить. Обычно при установке достаточно выбрать опцию repair (восстановить).

При попытке внести изменения в реестр я получаю сообщение "Отказано в доступе"

Прежде всего убедитесь, что вы работаете под учетной записью администратора (выполняете действия от имени администратора). Откройте раздел реестра, в который требуется внести изменения. Из контекстного меню или меню "Правка" выберите команду "Разрешения". Нажмите кнопку "Дополнительно", откройте вкладку "Владелец". Назначьте себя в качестве нового владельца. На вкладке "Безопасность" владельцу должны быть назначены права - "полный доступ".

http://forums.ferra.ru/index.php?showtopic=44043
обсуждение на Ро.ру:
http://www.roller.ru/newforum/viewtopic.php?p=1025514#1025514

Факты года: TOP 5 ужасов Рунета
13 дек 2012
******************************************************************

1. Факты года: TOP 5 ужасов Рунета
2. Как подписаться на новостные блоки и отписаться от них
3. Правила безопасности


******************************************************************

1. Факты года: TOP 5 ужасов Рунета

"Лаборатория Касперского" подвела итоги уходящего 2012 года
и определила TOP 5 основных угроз, с которыми сталкивались российские
пользователи в течение последних 12 месяцев.

Опасности в Сети подстерегают россиян буквально с первых шагов. Согласно
данным, полученным с помощью облачной системы мониторинга угроз
Kaspersky Security Network, более половины пользователей в России (59%)
хотя бы раз в этому году подвергались угрозе заражения при посещении
веб-сайтов.

Но даже если попадания на опасную страницу удалось избежать, россиянам
все равно приходится держать ухо востро при серфинге в
киберпространстве, где мошенники активно используют всевозможные уловки
для заманивания доверчивых соотечественников в свои сети. Так, в
Интернете можно встретить предложения, например, воспользоваться
бесплатным антивирусом для "лечения" компьютера, скачать
клиентские базы компаний, узнать, кто просматривал персональную анкету
во "ВКонтакте". Для этого требуется лишь отправить
SMS-сообщение на короткий номер. На деле же все оказывается обманом, и с
мобильного счета жертвы списываются денежные средства. За последний год
более 11 млн пользователей подверглись подобного рода атакам.

Много неприятностей доставляют россиянам и так называемые
программы-блокеры, которые получили наибольшее распространение именно в
Рунете. Такие зловреды парализуют работу компьютера и выводят на экран
монитора сообщение с требованием отправить за разблокировку платное
SMS-сообщение на указанный номер или положить на него определенную сумму
денег. Но даже в этом случае вероятность того, что злоумышленники
пришлют код разблокировки, крайне мала. Ежедневно более 6,5 тыс
уникальных пользователей пользовались услугами сайта sms.kaspersky.ru,
чтобы восстановить работоспособность своего компьютера. Всего же за год
было зафиксировано свыше 13 млн посещений этого бесплатного ресурса
"Лаборатории Касперского".

С развитием в России онлайн-банкинга эксперты компании наблюдают

повышенный интерес к этим сервисам со стороны киберпреступников.
Ежедневно на компьютерах российских пользователей защитные решения
"Лаборатории Касперского" блокируют около 4 тыс. банковских
троянцев, нацеленных на кражу финансовых данных.

Наиболее бурный рост в 2012 году показали мобильные угрозы, увеличившись
почти в 6 раз по сравнению с количеством, которое было обнаружено за 7
предыдущих лет. Подавляющее большинство из них (99%) создаются под
Android, что объясняется большой популярностью устройств, работающих под
управлением данной платформы. В России наибольшее распространение в
последние годы получили SMS-троянцы. На сегодняшний день 8 из 10
мобильных зловредов, встречающихся на устройствах российских
пользователей, относятся именно к этому виду вредоносных программ.

"Большинство кибергуроз, характерных для Рунета, отличает
использование злоумышленниками методов социальной инженерии. В силу
слабой осведомленности большинства российских пользователей об
опасностях, которые могут подстерегать их в Сети, многие с легкостью
верят заманчивым предложениям, которые получают в Интернете. Это хорошо
видно на примере самых различных схем с применением платных
SMS-сообщений, - комментирует Сергей Новиков, руководитель
российского исследовательского центра "Лаборатории
Касперского". - В то же время, пробелы в действующем в
России законодательстве делают киберпреступников практически неуязвимыми
перед правосудием. К сожалению, киберугрозы постоянно усложняются, а
методы преступников становятся все более изощренными. Именно поэтому мы
советуем пользователям быть предельно осторожными при серфинге в
Интернете, использовать надежное защитное ПО и следовать здравому

смыслу, помня, что бесплатный сыр бывает только в мышеловке".

*****

Воистину редактор новостей, спасибо что не оставляешь и этот раздел без внимания. Была бы кнопка !спасибо! жмакнул бы :)

Ну как такое без внимания, у нас на работе полигон, для испытания всякой аналогичной заразы, что не вахта, то что-то новое и прекрасное. :) А народ все суетится и суетится, когда опадают символы....

Цитата: RAØZHM от 14 декабря 2012, 00:32:19Именно поэтому мы советуем пользователям быть предельно осторожными при серфинге в Интернете, использовать надежное защитное ПО и следовать здравому смыслу, помня, что бесплатный сыр бывает только в мышеловке".

бред журналистов. Или имелась ввиду windows грамотно настроенная?:)

здесь только пользователей нужно грамотно настраивать

Где модератор в этом разделе??? Спит наверное... Выговор, строгач и -100500 в копилку... Такие новости пропустил...

Цитировать

«Лаборатория Касперского» взломала шпионскую сеть «Красный октябрь»

Специалисты российской компании «Лаборатория Касперского» взломали крупную шпионскую сеть под кодовым названием «Красный октябрь». Сеть использовалась для сбора сведений о России, СНГ и Европе. Правда, личности ее создателей установить не удалось, однако похожий вирус не так давно атаковал компьютеры сторонников независимости Тибета.
15 января 2013, 10:05
фото: © Kaspersky Lab's Global Research & Analysis Team

«Красный октябрь» проникал на компьютер или мобильный телефон, используя электронную почту. Пользователь открывал файл со скрытым приложением, которое содержало в себе код вируса. Это приложение запускало вредоносную программу. Она, в свою очередь, открывала заинтересованным лицам доступ к особо ценной и конфиденциальной информации на компьютере жертвы (логины, пароли и другие подобные данные).

После этого «Красный октябрь» искал в локальной сети компьютеры, уязвимые для вируса. Он использовал логины и пароли с первого компьютера для того, чтобы переправить письмо с вирусом на другие компьютеры.

«Главной целью шпионской программы были компьютеры определенных организаций в России, бывшем СССР, странах Центральной Азии, а также в Европе и Северной Америке», - говорится в сообщении российской компании. Создатели «Красного октября» смогли собрать своеобразный «конструктор» из программных кодов, который позволял им в случае необходимости проникать в память смартфонов (включая iPhone), а также заражать компьютеры систем управления (на базе Cisco).

В России создатели вируса попытались заразить компьютеры на атомных станциях, в научных институтах, а также в военных частях. Об этом говорится в карте, которую «Лаборатория Касперского» приложила к своему пресс-релизу. В странах СНГ «Красный октябрь» избрал своей целью компьютеры Казахстана. Создатели вируса интересовались базами данных органов власти этой страны, а также состоянием атомных станций и военных сил. Из европейских стран особое внимание создателей «Красного октября» привлекла армия Франции и правительство Люксембурга.

Шпионская сеть поставляла информацию своим заказчикам более пяти лет. Создатели вируса остаются неизвестными: они тщательно заметали следы и использовали в своей работе прокси-серверы в России и Германии. В «Лаборатории Касперского» считают, что «Красный октябрь» подозрительно похож на вирус, с помощью которого неизвестные злоумышленники атаковали компьютеры сторонников независимости Тибета. Не говоря об этом прямо, российские борцы с компьютерным терроризмом намекают, что вирус мог быть создан в Китае.

Вирусы родом из Азии уже давно вызывают серьезное беспокойство у держав Запада. В начале января депутаты британского парламента потребовали от правительства немедленно выделить средства на создание «электронной контрразведки». По мнению членов Палаты общин, в похищении военных секретов Соединенного Королевства может быть заинтересован Китай.
http://russian.rt.com/Asia/3020

Цитировать
"Касперский": вирус Red October похищал секретные данные.
Хакерская программа Red October была нацелена на похищение секретной информации и, по словам экспертов, похоже, имеет российское происхождение. Специалисты говорят, что она могла нанести довольно значительный ущерб.

Вирус Red October нацеливался в первую очередь на взлом засекреченных файлов

Российские специалисты по компьютерной безопасности объявили об обнаружении опасного компьютерного вируса Red October, с помощью которого хакеры с 2007 года имели возможность похищать из компьютеров секретную информацию.

Исследователи из "Лаборатории Касперского" утверждают, что вирус был нацелен на компьютерные системы многих правительственных учреждений, включая посольства, ядерные исследовательские центры и предприятия нефтяной и газовой промышленности.

Программа должна была похищать зашифрованные файлы и даже могла восстанавливать информацию, стертую с жесткого диска.

Как отметил один эксперт, профессор Суррейского университета Алан Вудворд, размах атаки был "весьма значительным".
"Тщательный отбор"

"Главной мишенью этой хакерской кампании были страны Восточной Европы, бывшие советские республики и страны Центральной Азии, хотя ее жертвы могли находиться и в любом другом месте, включая Западную Европу и Северную Америку, - говорится в официальном заявлении "Лаборатории Касперского". - Злоумышленники собирали секретную информацию, в том числе разведданные геополитического значения, коды доступа к закрытым компьютерным системам, а также данные личных устройств мобильной связи и сетевого оборудования".

"Вирус был обнаружен в октябре прошлого года, - рассказал в интервью Би-би-си ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк. - Мы начали проверку и быстро поняли, что имеем дело с массированной кибератакой. Число жертв было весьма ограничено, и все они были тщательно отобраны. Все они были связаны с очень серьезными организациями".

Вирусная программа Red October ("Красный Октябрь"), названная в честь вымышленной российской подводной лодки из шпионского романа Тома Клэнси, очень напоминает нашумевшую кибератаку Flame.

Она также имеет модульную структуру, где каждый из модулей наделен своей функцией.

"Один из модулей отвечает за восстановление файлов, стертых с USB-устройств, - поясняет Камлюк. - Он засекает момент подключения такого устройства и пытается восстановить файлы. Такого нам еще не приходилось наблюдать во вредоносных программах".

Другая уникальная особенность вируса Red October, по словам профессора Вудворда, заключается в том, что он может притвориться "убитым" в случае выявления.

"Если его находят, он прячется, - поясняет профессор. - А когда всем кажется, что опасность миновала, вы просто отправляете электронное послание и вирус пробуждается вновь".
Взломанный шифр

Другие модули предназначались для атак на файлы, закодированные с помощью системы Cryptofiler, которой раньше активно пользовались разведслужбы.

Хотя сегодня Cryptofiler больше не применяется для кодировки особо секретных файлов, этой программой по-прежнему пользуются такие организации, как, например, НАТО для защиты конфиденциальной информации, которая может представлять интерес для хакеров.

По словам профессора Вудварда, тот факт, что Red October был нацелен на программы, зашифрованные с помощью Cryptofiler, может свидетельствовать о том, что хакеры взломали этот код.

Как и в случае с любой хакерской атакой, эксперты догадываются, откуда она могла исходить, однако они же и предупреждают, что улики могли быть оставлены умышленно, чтобы сбить со следа.

По словам Виталия Камлюка, программный код изобилует англицизмами с русским налетом: "Нам часто попадается слово "proga" - это русское сленговое обозначение программы, которого нет ни в каком другом языке".

Но, как предупреждает профессор Вудвард, "в таинственном мире шпионажа этот может быть лишь ложный след, потому что здесь ничего нельзя принимать за чистую монету".
http://news.ru.msn.com/science-and-technology/касперский-вирус-red-october-похищал-секретные-данные

---

Цитировать
Специалисты "Лаборатории Касперского" обнаружили вирус под названием Red October, который с 2007 года мог похищать секретную информацию из госучреждений и компаний России и десятка других государств

Специалисты "Лаборатории Касперского", занимающейся разработкой антивирусного программного обеспечения, установили, что вирус был ориентирован на похищение данных из правительственных организаций, НИИ, предприятий энергетики и аэрокосмической отрасли. Согласно пресс-релизу, больше всего заражений- 35 случаев- было зафиксировано на территории России. 21 случай - в Казахстане, по 15 – в Азербайджане и Бельгии. Впрочем, программа была замечена и в странах других континентов, в том числе в США и Марокко.

Вирус получил название Rocra или Red October (Красный Октябрь): оно было взято сотрудниками "Касперского" из романа американского писателя Тома Клэнси "Охота за Красным Октябрем", рассказывающего о похищении советской атомной подводной лодки.

Как сообщается в отчете "Лаборатории Касперского", впервые вредоносная программа попала в поле зрения специалистов в октябре 2012 года после анализа серии хакерских атак на информационные каналы дипломатических служб. Вскоре выяснилось, что эти атаки были лишь небольшой частью глобальной кампании по похищению секретных данных, следы действия которой прослеживались до мая 2007 года. Отмечалось, что в середине января 2013 года злоумышленники продолжали пользоваться найденными уязвимостями программы.

Вирус проникал на компьютеры через электронную почту: жертва получала сообщение, отправленное с анонимного почтового ящика и содержащее объявление о продаже подержанного автомобиля. Если пользователь открывал вложение к письму, на его компьютер устанавливалась "троянская программа", которая собирала информацию не только с инфицированной машины, но и с взаимодействующих с ней мобильных устройств (в том числе смартфонов iPhone и Nokia), съемных хранилищ и со всей внутренней сети.

- Китай готовится к "информационным войнам"

Вирус похищал с зараженных компьютеров файлы определенных типов: текстовые документы, архивы баз данных и, что особенно важно, файлы с информацией, зашифрованной определенными системами, в том числе программой Acid Cryptofiler, используемой рядом организаций Евросоюза и НАТО, причем мог даже восстанавливать ранее удаленные данные. Похищенная информация высылались злоумышленникам через длинную последовательность серверов-посредников в Германии и России. В пресс-релизе "Лаборатории Касперского" говорится, что некоторые особенности обнаруженного вируса позволяют говорить о его уникальности.

Специалисты "Касперского" пока не выявили заказчика или разработчика вируса. Предположительно, он был создан китайскими хакерами, однако некоторые из модулей вируса были созданы российскими программистами: на последний факт указывает, в частности, то, что в программном коде вируса многие слова были русскими: например, zakladka или proga (так в профессиональном сленге часто сокращают слово "программа"). Как отметили в компании, ни в каких других языках подобные слова и сокращения в обиходе не встречаются.

- НАТО готовится к кибервойне с Россией

- Диверсанты способны повлиять на ядерную программу Ирана?

В октябре 2012 года была обнаружена сходная по действию шпионская программа Flame, которая была нацелена, по данным The Washington Post, на саботаж иранских ядерных разработок. Однако в "Лаборатории Касперского" подчеркивают, что не выявили прямой связи между этим вирусом и "Красным Октябрем". Сообщается, что антивирусное программное обеспечение "Лаборатории Касперского" уже научилось распознавать и обезвреживать эту вредоносную программу.
http://rus.ruvr.ru/2013_01_15/Laboratorija-Kasperskogo-ostanovila-shpionskij-Red-October/

Цитироватьа также заражать компьютеры систем управления (на базе Cisco).

Это что???

Шутка.... модераторов мы ценим и уважаем.

Всем привет, что случилось с рекламмой, прет со всех щелей. Опера просто захлебывается от нее. Амиго, то же не блещет защитой.
Кто подскажет как избавиться от назойливых баннеров или хотя бы уменьшить их количество.

Цитата: RAØZHM от 24 февраля 2015, 19:06:54Всем привет, что случилось с рекламмой, прет со всех щелей. Опера просто захлебывается от нее. Амиго, то же не блещет защитой. Кто подскажет как избавиться от назойливых баннеров или хотя бы уменьшить их количество.

Java отключите или разбирайтесь с его настройками.

ЦитироватьКто подскажет как избавиться от назойливых баннеров или хотя бы уменьшить их количество.

Я сделал так: Установил Google Chrome и AdBlock plus поставил. Рекламы почти не вижу. Можно отдельные блоки на сайтах блокировать.

ЦитироватьJava отключите или разбирайтесь с его настройками

Вы хотели сказать Java-скрипты?

ЦитироватьВы хотели сказать Java-скрипты?

Всплывающие окна и JAVA отключено, в опере более менее спасает...
Амиго убило наповал, прет рекламма с банерамми, как забой на скотобазу...
Нажимаю на ссылку, а она раз и уже выходит другой сайт, а не тот который нужен.
Особенно убивает глаз, рекламма с крестиками и цифирками в правом верхнем углу...

Вот одна из ссылок:
news-316076-latest.rikhov.ru

---

Сообщения объединены: 24 февраля 2015, 21:25:26

---

Один из блоков:
<span style="background-image:none !important;background-color:transparent !important;border:0px !important;border-top-left-radius:0px !important;border-top-right-radius:0px !important;border-bottom-right-radius:0px !important;border-bottom-left-radius:0px !important;bottom:10px !important;box-shadow:none !important;box-sizing:content-box !important;clear:none !important;color:black !important;cursor:pointer !important;direction:inherit !important;display:block !important;filter:none !important;float:none !important;font-size:inherit !important;font-family:inherit !important;font-style:inherit !important;height:auto !important;left:10px !important;margin:0 !important;max-height:none !important;max-width:none !important;min-height:0px !important;min-width:0px !important;opacity:1 !important;outline:none !important;overflow:hidden !important;padding:0px !important;position:absolute !important;resize:none !important;right:5px !important;stroke:none !important;text-align:start !important;text-anchor:start !important;text-decoration:none !important;text-indent:0px !important;text-overflow:clip !important;text-rendering:auto !important;text-shadow:none !important;text-transform:none !important;top:15px !important;vertical-align:baseline !important;visibility:visible !important;white-space:normal !important;width:auto !important;word-break:normal !important;word-spacing:0px !important;word-wrap:normal !important;z-index:99999999 !important;zoom:1 !important;">Как заработать на обмене валют от 200$ в день? Инструкция по заработку на FOREX здесь!</span>

Цитата: RAØZHX от 24 февраля 2015, 20:27:49Вы хотели сказать Java-скрипты?

Да именно их.

Цитата: RAØZHM от 24 февраля 2015, 21:12:23Всплывающие окна и JAVA отключено, в опере более менее спасает... Амиго убило наповал, прет рекламма с банерамми, как забой на скотобазу...

Прием cookie включен?

Попробуйте Firefox с дополнениями типа AdBlock.

Спасибо попробую...

Цитировать<span style="background-image:none !important;background-color:transparent !important;border:0px !important;border-top-left-radius:0px !important;border-top-right-radius:0px !important;border-bottom-right-radius:0px !important;border-bottom-left-radius:0px !important;bottom:10px !important;box-shadow:none !important;box-sizing:content-box !important;clear:none !important;color:black !important;cursor:pointer !important;direction:inherit !important;display:block !important;filter:none !important;float:none !important;font-size:inherit !important;font-family:inherit !important;font-style:inherit !important;height:auto !important;left:10px !important;margin:0 !important;max-height:none !important;max-width:none !important;min-height:0px !important;min-width:0px !important;opacity:1 !important;outline:none !important;overflow:hidden !important;padding:0px !important;position:absolute !important;resize:none !important;right:5px !important;stroke:none !important;text-align:start !important;text-anchor:start !important;text-decoration:none !important;text-indent:0px !important;text-overflow:clip !important;text-rendering:auto !important;text-shadow:none !important;text-transform:none !important;top:15px !important;vertical-align:baseline !important;visibility:visible !important;white-space:normal !important;width:auto !important;word-break:normal !important;word-spacing:0px !important;word-wrap:normal !important;z-index:99999999 !important;zoom:1 !important;">Как заработать на обмене валют от 200$ в день? Инструкция по заработку на FOREX здесь!</span>

Это всего лишь навсего css

Ubuntu, несколько лет полёт без вирусов, антивирус не стоит.

Опера блокирует, вроде более менее, но амиго сцуко, при нажатии на новую вкладку, мгновенно перенаправляет на другую страницу с рекламмой. Приходиться ее закрывать и запускать заново то что нужно.
В Амиго есть настройки которые блокируют всплывающие окна?

ЦитироватьUbuntu, несколько лет полёт без вирусов, антивирус не стоит.

Ну ты ж понимаешь, что то, что ты не знаешь про вирусы на компьютере, ещё ни о чём не говорит?  ;)  Да и убунта тоже так себе развлечение

О каких вирусах я не знаю? О вирусах в моей убунте?)

А что тебя удивляет?
Или ты думал что с установкой ubuntu всё, можно забыть про вирусню и пр.?
http://www.opennet.ru/opennews/art.shtml?num=40328
https://www.google.ru/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#newwindow=1&q=%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8+ssh

Любое действие, связанное с гипотетической установкой вирусни в Ubuntu происходит с согласия юзера, для особо подозрительных антивири в убунте тоже есть, у меня стоял пару лет, потом снес, с инета лезли вири исключительно под винду, линуксовые сами не установятся

ЦитироватьЛюбое действие, связанное с гипотетической установкой вирусни в Ubuntu происходит с согласия юзера

А, ну тогда ладно  ;D

И сюда уже добрались...


ОСТОРОЖНО: ПОЯВИЛСЯ НОВЫЙ SMS-ТРОЯН ПОД ВИДОМ WHATSAPP

Ссылка: https://hi-tech.mail.ru/apps/news/whatsapp-trojan-steal.html