Перейти к содержанию

Поиск сообщества

Показаны результаты для тегов 'веб»'.

  • Поиск по тегам

    Введите теги через запятую.
  • Поиск по автору

Тип контента


Форумы

  • Новости
    • Новости сервера
    • Новости спутниковых провайдеров
    • Новости цифровой техники
    • Новости спутников и космических технологий
    • Новости телеканалов
    • Новости операторов связи, кабельного и IPTV
    • Новости сети интернет и софта (software)
    • Архив новостей
  • IPTV
    • Обсуждение IPTV каналов
    • IPTV на iptv-приставках
    • IPTV на компьютере
    • IPTV на телевизорах Smart TV
    • IPTV на спутниковых ресиверах
    • IPTV на мобильных устройствах
    • Kodi (XBMC Media Center)
    • FAQ по IPTV
  • Cпутниковое ТВ
    • Основной раздел форума
    • Кардшаринг
    • Транспондерные новости, настройка антенн и приём
    • Dreambox/Tuxbox/IPBox/Sezam и др. на базе Linux
    • Ресиверы Android
    • Другие ресиверы
    • Galaxy Innovations (без OS Linux)
    • Обсуждение HD\UHD телевизоров и проекторов
    • DVB карты (SkyStar, TwinHan, Acorp, Prof и др.)
    • OpenBOX F-300, F-500, X540, X560, X590, X-800, X-810, X-820, S1
    • Openbox X-730, 750, 770CIPVR, 790CIPVR
    • OpenBOX 1700(100), 210(8100),6xx, PowerSky 8210
    • Golden Interstar
    • Globo
    • Спутниковый интернет/спутниковая рыбалка
  • Общий

Категории

  • Dreambox/Tuxbox
    • Эмуляторы
    • Конфиги для эмуляторов
    • JTAG
    • Picons
    • DM500
    • DM600
    • DM7000
    • DM7020
    • Программы для работы с Dreambox
    • DM7025
    • DM500 HD
    • DM800 HD
    • DM800 HDSE
    • DM8000 HD
    • DM 7020 HD
    • DM800 HD SE v2
    • DM 7020 HD v2
    • DM 500 HD v2
    • DM 820 HD
    • DM 7080
    • DM 520/525HD
    • Dreambox DM 900 Ultra HD
    • Dreambox DM920 Ultra HD
  • Openbox HD / Skyway HD
  • Openbox AS4K/ AS4K CI
  • Opticum/Mut@nt 4K HD51
  • Mut@nt 4K HD60
  • Octagon SF4008 4K
  • OCTAGON SF8008 MINI 4K
  • Octagon SF8008 4K
  • GI ET11000 4K
  • Formuler 4K S Mini/Turbo
  • VU+ 4K
  • Galaxy Innovations
  • IPBox HD / Sezam HD / Cuberevo HD
  • HD Box
  • Star Track
  • Samsung SmartTV SamyGo
  • DVB карты
  • Openbox F-300, X-8XX, F-500, X-5XX
  • Openbox X-730PVR, X-750PVR, X-770CIPVR, X-790CIPVR
  • OpenBOX 1700[100], 210[8100], 6xx, PowerSky 8210
  • Globo
  • Golden Interstar
  • SkyGate
  • Samsung 9500
  • Openbox 7200
  • Season Interface
  • Прошивки для приставок MAG

Поиск результатов в...

Поиск контента, содержащего...


Дата создания

  • Начало

    Конец


Дата обновления

  • Начало

    Конец


Фильтр по количеству...

Регистрация

  • Начало

    Конец


Группа


ICQ


Jabber


Skype


Город


Интересы

Найдено: 14 результатов

  1. Специалисты компании «Доктор Веб» обнаружили в магазине приложений Google Play более сотни вредоносных программных продуктов, выдающих себя за известное или полезное ПО и используемых злоумышленниками в различных мошеннических схемах. В частности, вирусными аналитиками «Доктор Веб» были выявлены вредоносные приложения, замаскированные под официальные клиентские программы крупных торговых сетей, букмекерских контор и популярных интернет-сервисов. Подобного рода софт в изобилии представлен в Google Play и активно используется киберпреступниками для подписки обманным путём владельцев Android-смартфонов и планшетов на дорогостоящие мобильные премиум-услуги. Схема работы мошенников довольно простая: у потенциальной жертвы запрашивается номер мобильного телефона, якобы необходимый для получения кода и вымышленного выигрыша. Однако на самом деле этот код используется для подтверждения подписки на платную услугу. Если же заражённое устройство подключено к Интернету, то после ввода номера телефона владелец Android-гаджета подписывается на премиум-услугу автоматически. Компания Google оперативно удаляет подобного рода приложения из Google Play, однако предприимчивые мошенники продолжают добавлять их в каталог почти каждый день. «Для отъёма денег у владельцев мобильных устройств и получения иной выгоды злоумышленники применяют всевозможные уловки, а также изобретают всё новые мошеннические схемы. Именно поэтому устанавливать приложения даже из магазина Google Play необходимо с осторожностью. Стоит обращать внимание на имя разработчика, дату публикации интересующей программы, а также отзывы других пользователей. Эти простые действия помогут снизить риск заражения смартфонов и планшетов», — говорится в информационном сообщении антивирусного вендора.
  2. «Доктор Веб» сообщил о заключении соглашения о противодействии киберугрозам в доменах .РФ и .RU. с Координационным центром национального домена сети интернет. Соглашение позволит повысить эффективность борьбы с вредоносными сайтами, задействовав компетенции, технологии и ресурсы российского антивирусного разработчика. Координационный центр обеспечивает надежное и стабильное функционирование доменов .RU и .РФ, а также реализует различные проекты, направленные на развитие и расширение использования Интернета в России. Соглашение заключено с целью обмена информацией о доменах, используемых для фишинга, хакерских атак, распространения вредоносных программ и управления бот-сетями. В случае выявления таковых доменов «Доктор Веб» уведомляет об этом соответствующего регистратора и Координационный центр и взаимодействует с ними с целью блокировки опасных сайтов. Также наша компания осуществляет мониторинг возможности разблокировки доступа – в случае если регистратор принял меры по «оздоровлению» соответствующих ресурсов. Подобное взаимодействие позволит значительно повысить эффективность противодействия ботнетам и обезопасить российский сегмент глобальной сети – ведь специалисты компании обладают значительным опытом выявления вредоносных ресурсов.
  3. Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play игру со встроенным троянцем-загрузчиком. Это вредоносное приложение может без ведома пользователей загружать, устанавливать и запускать другое ПО. Троянца скачали более 1 000 000 владельцев мобильных устройств. Вредоносное приложение, получившее имя Android.DownLoader.558.origin, встроено в популярную игру BlazBlue, которую загрузили более 1 000 000 пользователей. Этот троянец является частью специализированного программного комплекса (SDK, Software Development Kit) под названием Excelliance, предназначенного для автоматизации и упрощения обновления Android-программ. В отличие от стандартной процедуры обновления, когда старая версия приложения полностью заменяется новой, указанный SDK позволяет загружать необходимые компоненты по отдельности без переустановки всего программного пакета. Это дает разработчикам возможность поддерживать версию установленного на мобильных устройствах ПО в актуальном состоянии даже если пользователи самостоятельно не следят за выходом его новых версий. Однако платформа Excelliance работает как троянец-загрузчик, поскольку может скачивать и запускать непроверенные компоненты приложений. Такой способ обновления нарушает правила каталога Google Play, т. к. он представляет опасность. Android.DownLoader.558.origin начинает работу при первом старте программы или игры, в которую он встроен. Троянец вместе с другими элементами приложения извлекается из каталога с его ресурсами и расшифровывается. После этого он самостоятельно загружается при каждом подключении мобильного устройства к Интернету, даже если пользователь больше не запускает зараженное приложение. Троянский модуль отслеживает сетевую активность и пытается соединиться с управляющим сервером. В зависимости от настроек сервера в ответ Android.DownLoader.558.origin может получить команду на загрузку того или иного программного компонента. Например, в случае с игрой BlazBlue модуль предлагает скачать недостающие файлы, а также обновления, если они доступны. Помимо дополнительных ресурсов приложения и его обновлений Android.DownLoader.558.origin способен загружать отдельные apk-, dex- и elf-файлы. При этом их запуск в некоторых случаях может выполняться без ведома пользователя. Например, исполнение кода загруженных dex-файлов происходит автоматически и не требует каких-либо действий со стороны владельца устройства. В то же время при установке скачиваемых apk-файлов пользователь видит стандартное диалоговое окно, однако при наличии root-доступа в системе Android.DownLoader.558.origin может устанавливать их совершенно незаметно. В этом и заключается главная опасность SDK Excelliance. Его авторы в любое время могут отдать команду на загрузку объектов, никак не связанных с основным приложением, – например, рекламных модулей, сторонних программ и даже других троянцев, которые могут быть скачаны в обход каталога Google Play и запущены без разрешения. Специалисты «Доктор Веб» уведомили компанию Google об опасном поведении троянского компонента в SDK, который используется в игре BlazBlue, однако на момент выхода этого материала в каталоге Google Play для скачивания все еще была доступна ее версия с Android.DownLoader.558.origin. Приложения, в которые встроен этот троянец, детектируются как Android.RemoteCode.81.origin и успешно удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей опасности не представляют.
  4. Специалисты «Доктор Веб» исследовали сложного многокомпонентного троянца, способного заражать устройства под управлением Linux с различной аппаратной архитектурой. Первые атаки с применением троянца, вошедшего в семейство Linux.LuaBot, специалисты «Доктор Веб» фиксировали еще в декабре 2016 года. Все представители семейства написаны на скриптовом языке Lua. Троянец непрерывно эволюционирует с ноября 2016 года, и новые версии Linux.LuaBot появляются с завидной регулярностью. Вредоносная программа Linux.LuaBot представляет собой набор из 31 Lua-сценария и двух дополнительных модулей, каждый из которых выполняет собственную функцию. Троянец способен заражать устройства с архитектурами Intel x86 (и Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k – иными словами, не только компьютеры, но и широчайший ассортимент роутеров, телевизионных приставок, сетевых хранилищ, IP-камер и других «умных» девайсов. При этом специалистам «Доктор Веб» не удалось обнаружить в «дикой природе» сборки троянца для архитектуры SPARC: заражающий устройства инфектор троянца умеет определять эту архитектуру, но реально существующих модулей для нее не выявлено. Все входящие в состав Linux.LuaBot сценарии взаимосвязаны. Троянец генерирует список IP-адресов, которые будет атаковать, а затем пытается соединиться с удаленными устройствами по созданному списку и авторизоваться путем перебора логинов и паролей по словарю. Скрипты, с использованием которых осуществляется взлом сетевых узлов, умеют определять архитектуру атакуемого устройства и, кроме того, имеют специальный механизм для детектирования «ханипотов» (от англ. honeypot, «горшочек с медом») — серверов, играющих роль приманки для злоумышленников. С помощью «ханипотов» специалисты по информационной безопасности изучают методики атак и инструментарий злоумышленников. При этом атаки выполняются как по протоколу Telnet, так и посредством SSH — за работу с каждым из этих протоколов отвечает отдельный Lua-сценарий. Если получить доступ к устройству удалось, вредоносный скрипт устанавливает на него троянца Linux.LuaBot соответствующей архитектуры. В процессе атаки по протоколу Telnet на скомпрометированный узел сначала загружается небольшой модуль, который, запустившись, скачивает самого троянца, при атаке по протоколу SSH троянец загружается сразу. Один из модулей Linux.LuaBot представляет собой полноценный веб-сервер, работающий по протоколу HTTP. Сервер может сохранить на инфицированном устройстве и выполнить приложение, передать по запросу файл из своей директории и сообщать информацию о версии троянца. Отметим, что в майской версии Linux.LuaBot злоумышленники убрали функцию передачи данных о зараженном устройстве. Linux.LuaBot общается с управляющим сервером по протоколу HTTP, при этом вся передаваемая информация шифруется. Для поиска свежих конфигурационных файлов и модулей используется сеть P2P на основе протокола Bittorent DHT, такого же, который задействован в обычных торрент-сетях. За эту функцию отвечает еще один скрипт. При этом принимаемые и передаваемые сообщения проверяются на подлинность с помощью цифровой подписи. Если P2P-сеть недоступна, отдельный сценарий выполняет обновление Linux.LuaBot с помощью других зараженных узлов, закачивая свои файлы на скомпрометированные устройства по специальному запросу. Этот сценарий присутствовал только в ранних версиях троянца. Опасность Linux.LuaBot для владельцев Linux-устройств заключается в том, что этот троянец фактически является бэкдором, то есть способен выполнять поступающие от злоумышленников команды. Кроме того, ранние версии этой вредоносной программы запускали на скомпрометированном устройстве прокси-сервер, который злоумышленники использовали для анонимизации своих действий в интернете. Вирусные аналитики «Доктор Веб» собрали статистику об уникальных IP-адресах устройств, зараженных Linux.LuaBot. Специалистам «Доктор Веб» известно несколько модификаций Linux.LuaBot, отличающихся набором функций и архитектурными особенностями. Антивирус Dr.Web детектирует все существующие на сегодняшний день образцы Linux.LuaBot.
  5. «Доктор Веб» анонсировала выпуск десятой версии бесплатного антивируса для Android – Dr.Web Light для Android. Приложение усовершенствовано с точки зрения как интерфейса, так и функциональных возможностей, реализована поддержка Android версии 7.1. В интерфейс Dr.Web Light для Android был внесен ряд изменений для комфортной работы с приложением. Теперь программа обладает единым окном событий, где собраны все уведомления о возникающих угрозах. Программа получила новый антивирусный «движок», а детектирование вредоносных объектов было улучшено. Для локализации возникающих проблем была добавлена система сбора и записи дополнительной информации. Для пользователей Dr.Web Light для Android обновление до версии 10.0 пройдет автоматически. Если же автоматические обновления на устройстве отключены, необходимо зайти на Google Play, выбрать в списке приложений Антивирус Dr.Web Light и нажать кнопку «Обновить».
  6. Специалисты компании «Доктор Веб» обнаружили и исследовали троянца для операционной системы Apple macOS, способного выполнять поступающие от злоумышленников команды. Троянец-бэкдор был добавлен в вирусные базы Dr.Web под именем Mac.BackDoor.Systemd.1. В момент старта он выводит в консоль сообщение с опечаткой «This file is corrupted and connot be opened» и перезапускает себя в качестве демона с именем systemd. При этом Mac.BackDoor.Systemd.1 пытается скрыть собственный файл, установив для него соответствующие флаги. Затем троянец регистрирует себя в автозагрузке, для чего создает файл с командами sh и файл .plist. Зашифрованная конфигурационная информация хранится в самом файле троянца. В зависимости от нее Mac.BackDoor.Systemd.1 либо сам устанавливает связь с управляющим сервером, либо ожидает входящего запроса на соединение. После установки связи бэкдор выполняет поступающие команды и периодически отсылает злоумышленникам следующую информацию: наименование и версия операционной системы; имя пользователя; наличие у пользователя привилегии администратора (root); MAC-адреса всех доступных сетевых интерфейсов; IP-адреса всех доступных сетевых интерфейсов; внешний IP-адрес; тип процессора; объем оперативной памяти; данные о версии вредоносной программы и ее конфигурации. Троянец имеет собственный файловый менеджер, с использованием которого киберпреступники могут выполнять различные действия с файлами и папками на зараженном компьютере. Бэкдор способен выполнять следующие команды: получить список содержимого заданной директории; прочитать файл; записать в файл; получить содержимое файла; удалить файл или папку; переименовать файл или папку, изменить права для файла или папки (команда chmod); изменить владельца файлового объекта (команда chown); создать папку; выполнить команду в оболочке bash; обновить троянца; переустановить троянца; сменить IP-адрес управляющего сервера; установить плагин. Троянец Mac.BackDoor.Systemd.1 обнаруживается и удаляется продуктами Dr.Web для Mac и потому не представляет опасности для пользователей Dr.Web.
  7. Компания «Доктор Веб» предупредила об обнаружении новой уязвимости в офисном пакете Microsoft Office. Она позволяет злоумышленникам загружать на атакуемый компьютер исполняемые файлы, сообщили в «Доктор Веб». Уязвимость выявлена в приложении Microsoft Word. Злоумышленники разработали для нее действующий эксплойт, получивший в вирусной базе Dr.Web обозначение Exploit.Ole2link.1. Он использует технологию XML, в то время как раньше вирусописатели для эксплуатации уязвимостей в Microsoft Office применяли OLE-объекты, рассказали в компании. Эксплойт реализован в виде документа Microsoft Word, имеющего расширение .docx. При попытке открытия этого документа происходит загрузка другого файла с именем doc.doc, который содержит встроенный HTA-сценарий, детектируемый Dr.Web под именем PowerShell.DownLoader.72. Этот HTA-сценарий, написанный с использованием синтаксиса Windows Script, вызывает командный интерпретатор PowerShell. В нем обрабатывается другой вредоносный скрипт, скачивающий на атакуемый компьютер исполняемый файл. В настоящий момент при помощи этого механизма злоумышленники устанавливают на компьютеры жертв троян-загрузчик Trojan.DownLoader24.49614, который способен скачивать и запускать на инфицированной машине другое опасное ПО. По утверждению «Доктор Веб», «Антивирус Dr.Web» детектирует и удаляет файлы, содержащие эксплойт Exploit.Ole2link.1.
  8. Специалисты компании «Доктор Веб» исследовали троянца Trojan.DownLoader23.60762, способного похищать логины и пароли из популярных браузеров и скачивать опасные файлы. Большинство современных троянцев выполняет либо только одну функцию, либо сразу несколько, одна из которых – основная.Многофункциональные вредоносные программы встречаются гораздо реже. К такому типу можно отнести троянца Trojan.DownLoader23.60762, представляющего опасность для устройств под управлением Microsoft Windows. Эта вредоносная программа способна скачивать на зараженную машину другие приложения, похищать из браузеров логины и пароли, а также перехватывать вводимые на страницах различных сайтов данные. Запустившись на атакуемом компьютере, Trojan.DownLoader23.60762 распаковывает собственное тело и ищет в памяти своего процесса фрагменты вредоносного кода, которые затем выполняет. Копию исполняемого файла Trojan.DownLoader23.60762 сохраняет во временной папке на диске инфицированного компьютера, а затем записывает путь к этому файлу в ключ системного реестра, отвечающий за автоматический запуск приложений. В результате троянец получает возможность стартовать вместе с операционной системой. Для кражи конфиденциальной информации Trojan.DownLoader23.60762 встраивается в процесс Проводника Windows, а также в процессы браузеров Microsoft Internet Explorer, Mozilla Firefox и Google Chrome. В браузерах он перехватывает функции, отвечающие за работу с сетью. Благодаря этому вредоносная программа может извлекать и передавать злоумышленникам сохраненные в браузерах логины и пароли, а также перехватывать информацию, которую пользователь вводит на страницах веб-сайтов. Троянец связывается с управляющим сервером для получения команд, среди которых замечены следующие: запустить файл из временной папки на диске зараженного компьютера; встроиться в работающий процесс; скачать указанный файл; запустить указанный исполняемый файл; сохранить и передать злоумышленникам базу данных SQLite, используемую Google Chrome; сменить управляющий сервер на указанный; удалить файлы cookies; перезагрузить операционную систему; выключить компьютер. Сигнатура Trojan.DownLoader23.60762 добавлена в вирусные базы Dr.Web, поэтому троянец не представляет угрозы для наших пользователей.
  9. «Доктор Веб» объявил об обнаружении рассылки спама с набором вредоносных модулей, позволяющих шпионить за пользователем и похищать конфиденциальную информацию. Массовая рассылка вредоносных вложений по электронной почте — один из самых популярных методов распространения троянцев. Злоумышленники стараются составить текст сообщения таким образом, чтобы получатель самостоятельно открыл приложенный к письму файл, что приведет к заражению компьютера. В течение последних нескольких дней по электронной почте активно распространяются сообщения с темой «Оплату произвели» от имени некоей компании ООО «Глобальные Системы». Письма содержат следующий текст (оригинальные синтаксис и орфография сохранены): Добрый день! Мы произвели оплату 6 апреля, но по какой то причине ответа от вас не получили. Просим в кратчайшие сроки обработать платеж и предоставить услуги, так как у нас сроки сильно поджимают. Копию платежки и других документов высылаем в прикрепленном архиве. Просьба проверить правильность указанных реквизитов в платежке. Может где то была допущена ошибка и деньги не поступили к вам на счет. В связи с этим такая задержка. С уважением, ООО «Глобальные Системы». К письму прилагается архив с именем Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG.zip размером более 4 МБ. Он содержит исполняемый файл с расширением .JPG[несколько десятков пробелов].exe, добавленный в вирусную базу Dr.Web под именем Trojan.MulDrop7.24844. Если пользователь попытается открыть это «изображение», программа запустится на выполнение. Приложение представляет собой упакованный контейнер, который создан с использованием возможностей языка Autoit. В момент старта эта программа проверяет, что она запущена в единственном экземпляре, а затем сохраняет на диск библиотеку для обхода системы контроля учетных записей пользователя (UAC, User Account Control) в 32- и 64-разрядных версиях Windows и несколько других файлов. Затем Trojan.MulDrop7.24844 регистрирует себя в автозагрузке: в Windows XP — путем модификации системного реестра, в более современных версиях Windows — при помощи Планировщика задач. Также троянец пытается извлечь и сохранить в текстовом файле пароли из браузеров Google Chrome и Mozilla Firefox. Один из компонентов, который Trojan.MulDrop7.24844 запускает на зараженном компьютере, — приложение для удаленного администрирования, детектируемое Антивирусом Dr.Web как Program.RemoteAdmin.753. Другой компонент троянца также представляет собой зашифрованный Autoit-контейнер с именем xservice.bin, извлекающий на диск два исполняемых файла. Эти программы являются 32- и 64-разрядной версиями утилиты Mimikatz, которая предназначена для перехвата паролей открытых сессий в Windows. Файл xservice.bin может быть запущен с различными ключами, в зависимости от которых он выполняет на инфицированном компьютере те или иные действия. Также это приложение активирует кейлоггер, записывающий в файл информацию о нажатых пользователем клавишах, и создает в момент запуска снимок экрана. Троянец открывает злоумышленникам удаленный доступ к зараженной машине по протоколу RDP (Remote Desktop Protocol). Для этого он скачивает с сервера Github и устанавливает на инфицированном компьютере программу Rdpwrap с параметрами, обеспечивающими ее запуск в скрытом режиме. Она детектируется Антивирусом Dr.Web как Program.Rdpwrap. Затем Trojan.MulDrop7.24844 с помощью ранее сохраненной на диске утилиты Mimikatz пытается получить пароль от учетной записи текущего пользователя, который сохраняется в системном реестре. Этот пароль в дальнейшем используется для организации связи с зараженным ПК. В результате такого несанкционированного подключения злоумышленники могут получить полный контроль над атакованным компьютером. Сигнатура Trojan.MulDrop7.24844 добавлена в вирусную базу Dr.Web, поэтому троянец не представляет опасности для наших пользователей. Специалисты компании «Доктор Веб» призывают владельцев устройств, работающих под управлением Microsoft Windows, проявлять бдительность и не открывать подозрительные вложения в электронных письмах.
  10. «Доктор Веб» сообщает о том, что специалистам компании удалось найти способ восстановить доступ к файлам, закодированным опасным шифровальщиком Trojan.Encoder.10465. Названный зловред атакует пользователей персональных компьютеров под управлением операционных систем Windows. Троян написан на языке Delphi. Он распространяется в том числе посредством электронной почты в письмах с вложением. Для шифрования файлов на заражённом компьютере вредоносная программа используется библиотека DCPCrypt, при этом применяется алгоритм AES в режиме CBC с длиной ключа 256 бит. Зашифрованным файлам энкодер присваивает расширение .crptxxx, а также сохраняет на диске текстовый файл с именем HOW_TO_DECRYPT.txt следующего содержания: Инструкции по расшифровке закодированных файлов можно получить здесь. Нужно отметить, что только в прошлом году от программ-шифровальщиков пострадали как минимум полтора миллиона пользователей. Как показывают исследования, многие такие программы разработаны русскоязычными хакерами. В 2016-м появился опасный класс вымогателей, шифрующих не отдельные типы файлов, а весь накопитель в целом. Такие зловреды могут, например, кодировать главную файловую таблицу (Master File Table, MFT) диска и делать невозможной нормальную перезагрузку компьютера.
  11. «Доктор Веб» объявила об обнаружении более 500 мошеннических сайтов, действовавших по новой схеме. Как рассказали в компании, новый вид мошенничества ориентирован на владельцев веб-сайтов: они получают электронное письмо, отправленное якобы от имени компании «Яндекс». По всей видимости, для рассылки сообщений злоумышленники воспользовались базой контактов администраторов интернет-ресурсов. Почтовый ящик, с которого отправлено письмо, зарегистрирован на бесплатном сервисе Yandex Mail и потому включает в себя домен yandex.ru — киберпреступники явно рассчитывают на то, что это усыпит бдительность жертв. В своем послании мошенники от имени «Яндекса» предлагают владельцу сайта повысить его позиции в поисковой выдаче. Предложение якобы является персональным и ориентировано только на качественные интернет-ресурсы, содержащие уникальный контент, а также размещенные на домене, который был зарегистрирован до 1 августа 2012 года. Письмо содержит ссылку на веб-сайт, на котором получателю предлагают на выбор способы оплаты этой услуги.Действовали злоумышленники с размахом: они арендовали несколько IP-адресов, к каждому из которых было привязано больше сотни URL веб-страничек для оплаты этой мошеннической услуги. Всего специалисты компании «Доктор Веб» выявили и добавили в базы нерекомендуемых сайтов более 500 таких адресов. Разумеется, после внесения платежа жертва не получает обещанного — деньги выводятся мошенниками с использованием ресурсов одного из популярных платежных агрегаторов. Компания «Доктор Веб» призывает владельцев и администраторов веб-сайтов соблюдать бдительность и не идти на поводу у сетевых жуликов, а также благодарит пользователя Herurg за предоставленную информацию.
  12. Вирусные аналитики компании «Доктор Веб» исследовали нового банковского трояна, угрожающего пользователям операционной системы Microsoft Windows. Эта вредоносная программа создана вирусописателями на основе исходных кодов другого опасного «банкера» — Zeus (Trojan.PWS.Panda) — и получила наименование Trojan.PWS.Sphinx.2. Основное предназначение трояна заключается в выполнении веб-инжектов, сообщили в «Доктор Веб». Троян встраивает в просматриваемые пользователем веб-страницы постороннее содержимое — например, поддельные формы для ввода логина и пароля, информация из которых передается злоумышленникам. Потенциальная жертва обычно не замечает подмены: URL интернет-ресурса в адресной строке браузера и оформление сайта остаются прежними, поддельная форма или текст добавляется на веб-страницу прямо на зараженном компьютере. При этом банковские трояны могут обворовывать клиентов множества кредитных организаций, поскольку данные для выполнения веб-инжектов они получают с управляющего сервера. Если пользователь зайдет на банковский сайт, адрес которого имеется в конфигурации троянца, тот встроит в веб-страницу заранее сформированный злоумышленниками контент. При запуске Trojan.PWS.Sphinx.2 встраивается в работающий процесс программы «Проводник» (explorer.exe) и расшифровывает конфигурационный блок, в котором скрыт адрес управляющего сервера и ключ для шифрования принимаемых и отправляемых данных. Trojan.PWS.Sphinx.2 имеет модульную архитектуру: по запросу троян скачивает с сервера злоумышленников дополнительные плагины. Два из используемых банкером модулей предназначены для выполнения веб-инжектов в 32- и 64-разрядных версиях Windows, еще два — для запуска на зараженной машине VNC-сервера, с помощью которого киберпреступники могут подключаться к зараженному компьютеру. Кроме того, Trojan.PWS.Sphinx.2 скачивает и сохраняет на инфицированном компьютере набор утилит для установки корневого цифрового сертификата — киберпреступники используют его для организации атак по технологии MITM (Man in the middle, «человек посередине»). Кроме того, в составе трояна имеется так называемый граббер — функциональный модуль, перехватывающий и передающий на удаленный сервер информацию, которую пользователь вводит в формы на различных сайтах. Примечателен оригинальный способ автоматического запуска трояна на инфицированной машине: для этого используется сценарий на языке PHP и приложение-интерпретатор этого языка. Сценарий запускается с помощью ярлыка, который банкер помещает в папку автозагрузки. Всю необходимую для своей работы информацию троян хранит в зашифрованном виде в системном реестре Windows. Модули сохраняются в отдельном файле со случайным расширением, который тоже зашифрован. Антивирус Dr.Web детектирует и удаляет трояна Trojan.PWS.Sphinx.2, поэтому он не представляет опасности для пользователей продукта, подчеркнули в «Доктор Веб».
  13. «Доктор Веб» объявила о том, что ожидается рост числа атак банковских троянцев на пользователей Android.Как рассказали в компании, современные банковские троянцы для ОС Android создаются вирусописателями и за немалые деньги продаются как коммерческие продукты через подпольные интернет-площадки. Недавно на одном из хакерских форумов в свободном доступе появился исходный код одного из таких вредоносных приложений вместе с инструкциями по его использованию.Вирусные аналитики компании «Доктор Веб» полагают, что это может привести к значительному увеличению количества Android-банкеров и росту числа совершаемых с их помощью атак. Вирусописатели опубликовали исходный код нового вредоносного приложения лишь месяц назад, однако специалисты компании «Доктор Веб» уже обнаружили Android-банкера, созданного на основе предоставленной киберпреступниками информации.Троянец, получивший имя Android.BankBot.149.origin, распространяется под видом безобидных программ. После того как пользователь смартфона или планшета устанавливает и запускает Android.BankBot.149.origin, банкер запрашивает доступ к функциям администратора мобильного устройства, чтобы усложнить свое удаление. Затем он прячется от пользователя, убирая свой значок с главного экрана. screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb Далее Android.BankBot.149.origin подключается к управляющему серверу и ожидает от него команд.Троянец может выполнять следующие действия: отправлять СМС-сообщения; перехватывать СМС-сообщения; запрашивать права администратора; выполнять USSD-запросы; получать из телефонной книги список номеров всех имеющихся контактов; рассылать СМС с полученным в команде текстом по всем номерам из телефонной книги; отслеживать местоположение устройства через спутники GPS; запрашивать на устройствах с современными версиями ОС Android дополнительное разрешение на отправку СМС-сообщений, выполнение звонков, доступ к телефонной книге и работу с GPS-приемником; получать конфигурационный файл со списком атакуемых банковских приложений; показывать фишинговые окна.Как и многие современные Android-банкеры, Android.BankBot.149.origin крадет у пользователей конфиденциальную информацию, отслеживая запуск приложений «банк-клиент» и ПО для работы с платежными системами.Исследованный вирусными аналитиками «Доктор Веб» образец контролирует запуск более трех десятков таких программ. Как только Android.BankBot.149.origin обнаруживает, что одна из них начала работу, он загружает с управляющего сервера соответствующую фишинговую форму ввода логина и пароля для доступа к учетной записи банка и показывает ее поверх атакуемого приложения. screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb Помимо кражи логинов и паролей троянец пытается похитить информацию о банковской карте владельца зараженного мобильного устройства.Для этого Android.BankBot.149.origin отслеживает запуск популярных приложений, таких как Facebook, Viber, Youtube, Messenger, WhatsApp, Uber, Snapchat, WeChat, imo, Instagram, Twitter и Play Маркет, и показывает поверх них фишинговое окно настроек платежного сервиса каталога Google Play. screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb.При поступлении СМС троянец выключает все звуковые и вибросигналы, отправляет содержимое сообщений злоумышленникам и пытается удалить перехваченные СМС из списка входящих. В результате пользователь может не только не получить уведомления от кредитных организаций с информацией о незапланированных операциях с деньгами, но и не увидит другие сообщения, которые приходят на его номер. Все украденные Android.BankBot.149.origin данные загружаются на управляющий сервер и доступны в панели администрирования. С ее помощью киберпреступники не только получают интересующую их информацию, но и управляют вредоносным приложением. screen Android.BankBot.149.origin #drweb.В целом возможности этого троянца являются вполне стандартными для современных Android-банкеров. Однако поскольку киберпреступники создали его с использованием доступной любому желающему информации, можно ожидать появления множества новых аналогичных троянцев.Антивирусные продукты Dr.Web для Android успешно обнаруживают Android.BankBot.149.origin, поэтому для наших пользователей он опасности не представляет.
  14. Вирусные аналитики компании «Доктор Веб» исследовали одного из таких троянцев, который инфицирует RAR-архивы, удаляет другие опасные приложения и использует для своего распространения систему удаленного доступа VNC. Как рассказали в компании, червь, названный BackDoor.Ragebot.45, получает команды с использованием протокола для обмена текстовыми сообщениями IRC (Internet Relay Chat).Для этого он подключается к чат-каналу, по которому злоумышленники отдают троянцу управляющие директивы.Черви — это вредоносные программы, которые умеют самостоятельно распространяться, но не могут заражать исполняемые файлы. Заразив компьютер под управлением Windows, BackDoor.Ragebot.45 запускает на нем FTP-сервер, посредством которого скачивает на атакуемый ПК свою копию. Затем он сканирует доступные подсети в поисках узлов с открытым портом 5900, используемым для организации соединения при помощи системы удаленного доступа к рабочему столу Virtual Network Computing (VNC).Обнаружив такую машину, BackDoor.Ragebot.45 пытается получить к ней несанкционированный доступ путем перебора паролей по словарю.Если взлом удался, червь устанавливает с удаленным компьютером VNC-соединение и отправляет сигналы нажатия клавиш, с помощью которых запускает интерпретатор команд CMD и выполняет в нем код для загрузки по протоколу FTP собственной копии. Так червь распространяется автоматически.Еще одна функция BackDoor.Ragebot.45 — поиск и заражение RAR-архивов на съемных носителях. Обнаружив RAR-архив, червь помещает в него свою копию с именем setup.exe, installer.exe, self-installer.exe или self-extractor.exe. Для успешного заражения компьютера пользователь должен сам запустить извлеченный из архива исполняемый файл.Кроме того, троянец копирует себя в папку ICQ-клиента, а также ряда программ, предназначенных для установки P2P-соединений. Получив от злоумышленников соответствующую команду, BackDoor.Ragebot.45 ищет в системе других троянцев, при обнаружении которых завершает их процессы и удаляет исполняемые файлы. Троянец располагает специальными «белыми списками», содержащими имена файлов (в основном системных файлов Windows), которые он игнорирует, позволяя им работать на инфицированной машине.Образцы одной из старых версий BackDoor.Ragebot.45 некоторое время назад попали в свободный доступ. Можно предположить, что благодаря этому вредоносная программа будет активно распространяться и в дальнейшем. Антивирус Dr.Web обнаруживает и удаляет BackDoor.Ragebot.45, в связи с чем этот троянец не представляет опасности для наших пользователей.
×
×
  • Создать...