[ТЕМА ЗАКРЫТА]
04.05.2010 14:18
John Doe
 
Цитата:
Популярность у киберпреступников уязвимостей в файловом формате PDF приобрела катастрофический оттенок, утверждают многие специалисты по вопросам безопасности.

Так, по данным аналитиков McAfee, если в 2007 и 2008 годах лишь 2% вредоносного ПО было нацелено на «дыры» в PDF, то в прошлом году этот показатель вырос до 17%, а в первом квартале нынешнего поднялся аж до 28%.

Причина проста: злоумышленникам стало сложнее находить новые уязвимости в операционных системах и браузерах, поэтому они перекинулись на PDF и сопутствующие продукты Adobe Systems, которые есть буквально в каждом компьютере и располагают нужной хакерам кросс платформенностью и кросс браузерностью. Не менее важен и социальный фактор: пользователи свято верят в безопасность PDF файлов, полагая, что самыми «дырявыми» являются документы Microsoft Office.

Обеспокоенность специалистов McAfee разделяют эксперты из Microsoft, заявившие о том, что во второй половине 2009 года более 46% эксплойтов для браузеров были нацелены на бреши в Acrobat Reader, бесплатном приложении для чтения PDF.

Бьют тревогу и в Symantec: если в 2008 году только 11% веб атак имели целью именно PDF уязвимости, то в 2009 м этот показатель вырос до 49%.

А вот в Adobe отмахиваются: мол, большинство нападений связано с тем, что пользователи вовремя не обновили ПО. Для этого в корпорации даже запустили сервис, который автоматически и безо всяких запросов загружает вам свежие релизы.

Впрочем, компания намеревается внедрить концепцию «песочницы», ставшую популярной с лёгкой руки Google Chrome. Речь идёт о полном отделении процессов друг от друга и остальной системы, что предотвращает разрушительные действия эксплойтов, даже если им удаётся проникнуть. И случится это уже в нынешнем году. Та же правильная участь постигнет и Flash.
Компьюлента :: PDA версия
04.05.2010 16:03
izuware
 
не зря я с детства недолюбливал PDF
04.05.2010 16:06
izuware
 
PS: Из соседней темы : Показать сообщение отдельно Полезные ссылки
хотел посмотреть что там за таймер, а в ответ вот:
Цитата:
E.ggtimer.com is an online countdown timer (or egg timer). To see the timer you need Adobe Flash Player
интересно ещё кто нибудь есть без флешь плеера в браузере ?
25.08.2011 09:32
OlegON
 
Теперь с CNET сливается Adware, как настаивает на этом Dr.Web :( Будьте осторожны.
29.08.2011 09:49
OlegON
 
Цитата:
Новый червь Morto использует RDP-соединение для своего распространения. При обнаружении доступного RDP-сервера он пытается подобрать пароли по словарю, что вместе со сканированием сети генерирует большое количество RDP-трафика (порт 3389).
Поскольку червь не использует какие-то особые уязвимости, владельцы систем с нормальными паролями могут спать спокойно. Внимания он заслуживает разве что из-за своего относительно нового механизма распространения.


надеюсь, никто не оставляет RDP на 3389?
22.08.2012 09:30
OlegON
 
Цитата:
Обнаруженный в конце июля Crisis оказался прямо-таки троянским швейцарским ножом. Он нацелен на пользователей Windows и MacOS, распространяется с помощью java-апплета, который втягивает и запускает соответствующий инсталлятор. Он способен записывать переговоры в Skype, перехватывать переписку в мессенджерах типа Adium и Microsoft Messenger, отслеживать сайты, посещенные в Firefox и Safari.

Кроме того, как выяснилось на этой неделе, Crisis ищет на зараженной системе образы виртуальных дисков VMware, монтирует их и копирует себя внутрь. Что делает его совершенно уникальным, поскольку до сих пор трояны, что-то знающие о виртуальных машинах, напротив, старались блокировать в них свое поведение - чтобы затруднить работу исследователей. А совсем уж до кучи Windows-версия трояна устанавливает свой модуль на подключенные к системе устройства на Windows Mobile (хоть таких и остается все меньше).

Пока замечено всего 21 заражение, что говорит о довольно узкой направленности трояна. Ранее специалисты из Intego, обнаружившие Crisis, заявили, что фрагменты его кода предполагают связь с коммерческим трояном итальянского происхождения, предназначенным для использования спецслужбами в целях наблюдения.
28.08.2012 09:20
OlegON
 
Цитата:
Опубликована крайне неприятная уязвимость (а заодно и рабочий эксплоит, уже включенный в Metasploit) к Java JRE 1.7x, которая может быть использована практически на всех популярных современных ОС и во всех браузерах (проверены по крайней мере Java 7 update 6 с Firefox под Ubuntu Linux 10.04, IE/Firefox/Chrome под XP, IE/Firefox под Vista/Windows 7, Safari под OS X 10.7.4).

С учетом того, что ближайшее плановое исправление случится аж через полтора месяца (и даже если будет выпущено внеочередное, неизвестно, сколько времени на него уйдет), лучшее, что сейчас можно сделать - полностью отключить Java в основном браузере, если это у вас до сих пор почему-то не сделано.
08.10.2012 20:03
OlegON
 
Друзья, будьте внимательны: обнаружена массовая рассылка через Skype и социальные сети, приводящая к заражению Windows-компьютеров червем Worm.NgrBot. Если один из ваших друзей пришлет ссылку с сообщением «Это новый аватар твоего профиля?», либо «ey eto vasha novaya kartina profil’?" - ни в коем случае не переходите по ссылке, иначе в систему загружается ZIP-архив с вредоносным исполняемым файлом с расширением .EXE, а ваш компьютер окажется вовлеченным в ботнет. Кроме того, Worm.NgrBot способен похищать пароли от файлообменников Letitbit, Sms4file, Vip-file, от почтовых служб, легальных сервисов и соцсетей.
20.12.2012 09:34
Troll
 
Цитата:
Троян с кодовым именем Dexter обнаружен в POS-терминалах сорока стран (большая часть заражений приходится на США, Англию и Канаду, на долю России приходится около пары процентов). Число заражений идет пока на сотни, список пострадавших включает крупных ритейлеров, отели, рестораны, парковки и т.п. Это не первый случай, когда POS-терминалы становятся целью злоумышленников, но Декстера отличает более тщательный подход к делу, позволяющий ему эффективнее потрошить кредитки покупателей.

Большинство подобных троянов занимается просто снятием скриншотов - т.е. получают только ту информацию, что выводится у кассира на экране. Декстер же сразу после проникновения отсылает на управляющий сервер список системных процессов. Если сервер опознает тип используемой в терминале программы, он приказывает Декстеру снимать дампы памяти соответствующих процессов и сканировать их на предмет вытаскивания информации с треков 1 и 2, что открывает возможность создания дубликатов обработанных карт.
(с) bugtrack
10.11.2013 13:40
OlegON
 
Кто еще пользуется недоосью (Windows) - рекомендуется на время перекрыть свободный доступ юзеров к TIFF.

Цитата:
Executive Summary
Microsoft is investigating private reports of a vulnerability in the Microsoft Graphics component that affects Microsoft Windows, Microsoft Office, and Microsoft Lync. Microsoft is aware of targeted attacks that attempt to exploit this vulnerability in Microsoft Office products.

The vulnerability is a remote code execution vulnerability that exists in the way affected components handle specially crafted TIFF images. An attacker could exploit this vulnerability by convincing a user to preview or open a specially crafted email message, open a specially crafted file, or browse specially crafted web content. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

We are actively working with partners in our Microsoft Active Protections Program (MAPP) to provide information that they can use to provide broader protections to customers. For information about protections released by MAPP partners, see MAPP Partners with Updated Protections.

Upon completion of this investigation, Microsoft will take the appropriate action to help protect our customers. This may include providing a security update through our monthly release process or providing an out-of-cycle security update, depending on customer needs.

Mitigating Factors:

An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
In a web-based attack scenario, an attacker could host a specially crafted website that is designed to exploit this vulnerability and then convince a user to view the website. An attacker would have no way to force users to view the attacker-controlled content. Instead, an attacker would have to convince users to take action, typically by getting them to click a link in an email message or in an Instant Messenger message that takes users to the attacker's website, or by opening an attachment sent through email.
подвержены все продукты MS
10.11.2013 14:08
whitewizard
 
и номер у ноты такой знатный :)
29.11.2013 10:34
student
 
знаю, что не в тему, но в разделе линкса не удалось создать - нельзя вставлять ссылки, но думаю что будет интересно :)

Новый «сетевой червь» поражает ПК с популярными дистрибутивами Linux

29.11.2013 10:44
OlegON
 
Цитата:
student Новый «сетевой червь» поражает ПК с популярными дистрибутивами Linux
Уж и не знают, бедные, куда плюнуть в Линукс :)
Цитата:
Linux.Darlloz использует уязвимость в языке программирования PHP.
Уязвимость в языке, который так же и на Windows работает. Никакие нормальные рутеры PHP в себе не содержат, бо тяжело. Дистры уже давно, еще в 2012, залатали это дело, в отличие от Windows, где PHP автоматом не обновляется и говнорутеров, которым туда и дорога... Расходимся, товарищи, нас надули...
25.02.2014 22:41
OlegON
 
Исследователи из Bromium Labs обнаружили троянца, распространяющегося через рекламу на Youtube. Некий движок был засунут в рекламу и, пользуясь уязвимостью в Java CVE-2013-2460, заражал клиентский комп. Обновляйте яву..
25.02.2014 22:43
twix
 
Цитата:
OlegON Исследователи из Bromium Labs обнаружили троянца, распространяющегося через рекламу на Youtube. Некий движок был засунут в рекламу и, пользуясь уязвимостью в Java CVE-2013-2460, заражал клиентский комп. Обновляйте яву..
А если явы нет, принудительно заставляет её курить? А если я беломор больше люблю?
25.02.2014 22:45
twix
 
Цитата:
OlegON Уж и не знают, бедные, куда плюнуть в Линукс :)

Уязвимость в языке, который так же и на Windows работает. Никакие нормальные рутеры PHP в себе не содержат, бо тяжело. Дистры уже давно, еще в 2012, залатали это дело, в отличие от Windows, где PHP автоматом не обновляется и говнорутеров, которым туда и дорога... Расходимся, товарищи, нас надули...
Я тут просто намекну про различия в ОСях и, как следствие, различия в разноплатформенных бинарниках... хоть похапе, хоть питон, хоть что. Совсем не факт, что уязвимость, обнаруженная в бинарнике PHP под линем, существует в бинарнике той же версии похапе для окон.
25.02.2014 23:01
termit68ru
 
Цитата:
Исследователь из компании Symantec обнаружил червя, который поражает встроенные Linux-системы, то есть устройства типа маршрутизаторов и телевизионных приставок. Подобные приборы часто остаются без должного внимания владельцев: те не проверяют свежие версии прошивок, на устанавливают патчи. Более того, многие устройства снимаются с сервисного обслуживания: производитель не заботится о том, чтобы устранить найденные уязвимости. В результате, маршрутизатор или приставка, всеми забытая, работает годами до тех пор, пока не сломается.

Разработчики Linux.Darlloz использовали особенную беззащитность таких устройств. Для своего распространения червь применяет уязвимость php-cgi (CVE-2012-1823), патч для которой вышел в мае 2012 года. Червь создан на основе концептуального кода, выложенного в свободный доступ специалистами по информационной безопасности в октябре 2013 года.
Чёт там про популярные дистры и не слышно
Цитата:
вирусы под линукс есть, но их надо самому собрать, разрулив кучу зависимостей.
11.03.2014 08:01
OlegON
 
Цитата:
Антивирусная компания ESET предупреждает о новом вирусе Win32/Corkow, который ориентирован на российские и украинские системы дистанционного банковского обслуживания. Вирус крадет конфиденциальные данные для онлайн-банкинга. Первые модификации Corkow появились еще в 2011 г. Жертвами вредоносного ПО уже стали несколько тысяч пользователей в России и Украине.

Win32/Corkow имеет наиболее типичную на сегодняшний день модульную архитектуру. Это означает, что злоумышленники расширяют возможности вредоносного ПО необходимыми плагинами. Плагины обеспечивают доступ к данным пользователя через: клавиатурный шпион (кейлоггер), создание скриншотов рабочего стола, веб-инъекции и кражу данных веб-форм.


11.03.2014 08:18
Dim
 
это фигня... я в прошлом году напоролся на вирус, кот. с клиент-банка большие деньги перевел на левую фирму... после чего грохнул таблицу разделов
11.03.2014 08:20
Vovantus
 
Цитата:
Dim это фигня... я в прошлом году напоролся на вирус, кот. с клиент-банка большие деньги перевел на левую фирму... после чего грохнул таблицу разделов
ага, знакомы мне такие вирусы. зовуться сис.админами :)
11.03.2014 08:21
Dim
 
реальный вирус... банк подтвердил
12.03.2014 15:33
mamont
 
Цитата:
Dim это фигня... я в прошлом году напоролся на вирус, кот. с клиент-банка большие деньги перевел на левую фирму... после чего грохнул таблицу разделов
да, помню, было. только ты так и не рассказал, удалось дожать получателей или они по-тихому деньги вернули и все?
27.03.2015 08:52
Dim
 
Специалисты из компании ESET, занимающейся разработкой антивирусного программного обеспечения, сообщили об обнаружении вируса под названием TeslaCrypt, который шифрует данные на жестком диске зараженного компьютера, а затем требует от пользователя заплатить за восстановление информации.
По данным вирусной лаборатории ESET, большинство заражений этим вредоносным ПО за февраль и март приходится на российских пользователей.
В сообщении компании отмечается, что создатели трояна используют всевозможные подходы для заражения пользователей, включая спам-рассылки с инфицированным вложением и распространение сообщений с вредоносной ссылкой через различные мессенджеры. Присылаемые ссылки ведут на скомпрометированный сайт, который в свою очередь перенаправляет пользователя на страницу с эксплойт-китом (программой, заражающей компьютер, используя уязвимости установленного ПО) под названием Angler.
"В большинстве случаев заражение происходит незаметно для пользователя. Оно проходит в фоновом режиме и не детектируются до момента, пока файлы на компьютере не будут зашифрованы и не появится сообщение с требованием выкупа", – говорится в сообщении ESET.
По данным экспертов, TeslaCrypt способен шифровать 185 типов файлов, в том числе данные популярных видеоигр: Call of Duty, Minecraft, StarCraft 2, Skyrim, World of Warcraft, League of Legends, World of Tanks, файлы клиента Steam и др.
Чтобы избавиться от вируса, пользователь зараженного компьютера должен установить браузер Tor, а затем с его помощью перейти по указанному адресу и выкупить зашифрованные файлы.
При этом сумма выкупа составляет внушительные 580 евро при оплате биткоинами и 1000 долларов, если сумма переводится с помощью платежного сервиса PayPal. По мнению аналитика ESET Джозефа Альборса, такая разница объясняется тем, что злоумышленники подстраховываются на случай, если PayPal отследит подозрительный перевод и заблокирует его.
Эксперты традиционно рекомендуют пользователям с осторожностью относиться к сообщениям, содержащим ссылки, регулярно делать резервные копии важных данных, а также использовать защитное ПО.

27.03.2015 11:30
termit68ru
 
У соседа шифрануло))))Я сразу забэкапил помойку и отложил хард с бэкапом в нижний ящичек стола)))
27.03.2015 12:58
Vovantus
 
хренота с шифрованием данных набирает обороты. самое печальное, что используются такие механизмы, что потом ни расшифровать, ни восстановить файл не получается. спасают только бэкапы. буквально на прошлой неделе принесли бук. просто шифрованные файлы и нет даже намёка на остатки вируса :( кроме файлика с контактами, куда бабки переводить. пошукал по антивирусным форумах, грят, самая новая фишка, связанная с онлайн шифрованием.
01.04.2015 09:59
aldemko
 
У меня тоже шифровало
Но лечение нашел, даже тесты провел
ВНИМАНИЕ: Вирус шифровальщик данных на базе RSA-1024
01.04.2015 10:02
aldemko
 
Ну как лечение, просто мне в той ситуации повезло скорее, да и быстро заметил этого шныря
14.05.2015 08:53
sh00r00p
 
В последнее время участились случаи получения писем с шифровальщиками. Приходят письма от псевдо-контрагентов типа снабсервис, промснаб и прочее, в содержании письма речь идет о каких-то долгах, счетах-фактурах, актах сверок и так далее. Было письмо с резюме.
Однажды пришло письмо с домена службы судебных приставов. С реального домена, но несуществующего почтового ящика.

Письма, как правило, содержат в себе zip-архив, иногда запароленный, иногда нет, в которых содержатся исполняемые файлы или скрипты вида "Резюме.doc.exe" или "Счет-фактура.doc.................js". В последний раз был такой вариант, что к письму приаттачена ссылка на облако, хотя выглядит как обычное вложение.

Вот примерные варианты того, что приходило и нам в том числе:
Цитата:
> Добрый день!
>
> К нам заявились налоговики с проверкой((
> Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества.
> Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены.
> Я составила список документов (во вложении). Прошу Вас помочь с их поиском...
> Скиньте хотя бы скан-копии, а то мы влетим на штрафы.
> Заранее большое спасибо!
>
> Прикреплённые файлы:
> <u>1. Список документов.zip</u>
>
> --
> С Уважением
> Сотрудники бухгалтерии
> ООО "Город Инструмента"
Цитата:
> От кого: НМЦ <apk-pro@yandex[точка]ru>
> Кому: <strop5@mail[точка]ru>
> Дата: Вторник, 31 марта 2015, 7:46 +03:00
> Тема: Налоговая проверка
> Добрый день,
> В понедельник к нам пришла налоговая с внеплановой проверкой...
> Вот уже второй день не могу найти отдельные первичные документы по нашей с вами работе.
> Видимо, в ходе переезда в новый офис, они были утеряны.
> Большая просьба проверить наличие актов и договоров по нашим поставкам (перечень в приложении).
> Скиньте хотя бы их сканы, а то нам выпишут штрафы((
> --
> с ув.
> ООО "Научно-методический центр профсоюза работников АПК"
>
> В письме было вложение с именем " Список документов для ФНС.zip" размер файла 699 КБ
В последнем письме точку в адресе заменил на [точка], чтобы обойти фильтр форума.
Опции темы


Часовой пояс GMT +3, время: 19:38.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.