Бот-сеть Shadow переходит на более опасный режим работыКомпания «Доктор Веб» предупреждает о новой модификации полиморфного сетевого червя Win32.HLLW.Shadow.based (также известного под именами Kido/Conficker) обеспечивающего основной функционал этой бот-сети. С 1 апреля прогнозируется переход бот-сети на новый режим работы. Работа бот-сети Shadow завтра, 1 апреля 2009 года, перейдет на новую стадию. На компьютерах, зараженных ранее различными модификациями полиморфного червя Win32.HLLW.Shadow.based, появившимися в феврале и марте этого года, будет произведено обновление вредоносного ПО, в результате чего будет запущен генератор адресов к заранее подготовленным сайтам для получения с них инструкций по дальнейшей работе. Каждые сутки будет генерироваться 50000 адресов, среди которых будет выбираться 500 адресов, и уже через них будут происходить попытки обновления вредоносного ПО. При этом процесс обновления будет тщательно регулироваться таким образом, чтобы не создавать значительную нагрузку на хостинг-серверы, на которых расположены данные вредоносные серверы. Подобной работе бот-сети воспрепятствовать будет значительно сложнее. Напомним, что Win32.HLLW.Shadow.based для своего распространения использует сразу несколько каналов, среди которых выделяются съёмные носители и сетевые диски. Червь также может распространяться с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критического обновления, описанного в бюллетене Microsoft MS08-067. Компания «Доктор Веб» обращает особое внимание, что асоциальные действия совершают не только создатели Win32.HLLW.Shadow.based, но и пользователи, которые не обращают внимания на заражения своих компьютеров модификациями этих червей, являясь, тем самым, активными участниками бот-сети Shadow, и способствуют ее дальнейшему разрастанию и функционированию. Для борьбы с бот-сетью Shadow, перешедшей на новую стадию, для пользователей антивирусных продуктов других производителей компания «Доктор Веб» рекомендует: 1.Незамедлительно установить на используемую систему все актуальные обновления, т.к. сетевой червь Win32.HLLW.Shadow.based активно использует известные уязвимости ОС семейства Windows. |
Китай отвергает обвинения в создании компьютерной шпионской сетиКитайские власти сегодня распространили официальное сообщение, в котором они "решительно отвергают" причастие официального Пекина к созданию компьютерной шпионской сети, так называемой Ghostnet, состоящей из 1300 компьютеров, передает CyberSecurity. По утверждению канадской исследовательской компании Information Warfare Monitor, КНР причастна к создании шпионской компьютерной сети, расположенной преимущественно на материковом Китае, и предназначенной для вторжения и похищения закрытых правительственных данных 103 стран. сеть атакует ИТ-узлы различных стран, но больше всего в данный момент ее интересуют системы правительства Тибета, так называемых духовных лидеров в изгнании и лично Далай Ламы. Канадские эксперты говорят, что вначале они обнаружили атаки именно на тибетские ресурсы и лишь потом стало очевидно, что истинные масштабы работы сети гораздо шире. Грег Уолтон, ИТ-эксперт Information Warfare Monitor говорит, что сеть в основном состоит из скомпрометированных компьютеров, однако есть в ее составе и машины, которые изначально создавались с целью атак и шпионажа. Независимые ИТ-специалисты говорят, что если таковая сеть действительно существует, то ее действие очевидно жестко контролируется, так как проводимые ей атаки крайне избирательны. По словам Жао Вея, исполнительного директора пекинской ИТ-компании Knowsec, в Китае на сегодня наиболее распространены атаки на массовой почве с применением техники программных эксплоитов. Также среди атакующих в КНР популярностью пользуются персональные и финансовые данные и данные от многопользовательских компьютерных игр. |
Новая модификация BackDoor.Tdss мешает работе антивирусовКомпания «Доктор Веб» сообщает о появлении новой модификации бэкдора, являющегося одним из компонентов крупной и активно развивающейся бот-сети Tdss. В компонентах вредоносных программ, используемых для того, чтобы заставить бот-сеть Tdss работать, применяется множество современных методов защиты от обнаружения, а также техник, затрудняющих анализ вредоносных файлов. Среди них, в частности, встречаются полиморфные упаковщики, руткит-методы скрытия в системе. Так, в арсенале нового бэкдора, найденного специалистами компании «Доктор Веб», есть функция, позволяющая отключать файловые мониторы антивирусов. Существуют также методы скрытия от обнаружения некоторыми популярными антируткитами. В основной функционал новых модификаций BackDoor.Tdss входит загрузка других вредоносных модулей с заранее подготовленных серверов. После этого бэкдор либо запускает их на исполнение, либо внедряет в память системных процессов. Распространяется BackDoor.Tdss несколькими довольно популярными в последнее время способами – с использованием эксплуатации ряда уязвимостей Windows и в виде якобы кодеков для просмотра видеофайлов. Для проверки системы на наличие в активном состоянии этой вредоносной программы, а также корректного лечения системы, компания «Доктор Веб» выпустила горячее обновление сканера Dr.Web с графическим интерфейсом. В данной версии сканера для противодействия новым модификациям BackDoor.Tdss был доработан антируткит-модуль Dr.Web Shield, который позволяет обнаруживать в системе и лечить её от последствий всех известных модификаций BackDoor.Tdss на всех поддерживаемых Dr.Web версиях ОС семейства Windows. Компания «Доктор Веб» в связи с широким распространением вредоносных программ, использующих для проникновения известные уязвимости ОС семейства Windows, рекомендует всем пользователям своевременно устанавливать обновления на используемую систему. Также рекомендуется использовать антивирус с автоматическим обновлением не только вирусных баз, но и остальных компонентов антивируса для более эффективного противодействия современным интернет-угрозам, использующим новые методы сокрытия в системе. |
"Лаборатория Касперского" рекомендует украинским банкам проверить банкоматы на наличие троянаЧтобы избежать возможного заражения, эксперты "Лаборатории Касперского" настоятельно рекомендуют всем банкам провести проверку эксплуатируемых сетей банкоматов при помощи обычной антивирусной программы, детектирующий данное зловредное ПО. Об этом в интервью ITnews сказал Александр Гостев, руководитель центра глобальных исследований и анализа угроз "Лаборатории Касперского". "Речь идет о Backdoor.Win32.Skimer.a. По функционалу это троянская программа, способная заражать банкоматы американского производителя Diebold, одной из наиболее популярных марок банкоматов, используемых в России", - сообщил Гостев. По его мнению, автор трояна нацелился на банкоматы в России и Украине. "Принимая во внимание некоторые особенности вредоносной программы – она способна «работать» с долларами, рублями и гривнами – можно предположить, что цель автора вредоносной программы банкоматы в России и на Украине", - отметил эксперт.
|
Вышла FortiOS 4.0 для шлюзов безопасности FortigateКомпания Fortinet - поставщик решений сетевой безопасности, представила новую версию своей операционной системы FortiOS 4.0, которая работает на флагманском семействе устройств сетевой безопасности Fortigate и позволяет защитить сеть заказчика от различных угроз, таких как вирусы, спам, сканирование сетевых ресурсов и вторжений извне. Продукты безопасности Fortigate под управлением FortiOS предоставляют возможность настройки гибких политик безопасности с учетом различных критериев (направления и типа трафика, имени пользователя, времени, необходимой полосы пропускания). Четыре новые функции - контроль приложений, защита от утечки данных, контроль SSL-трафика, WAN-кэширование - позволит заказчикам повысить безопасность сети путем удаления вредоносного трафика, который сокращает имеющуюся пропускную способность, и в то же время, увеличить скорость фильтрации трафика для оптимального функционирования сети. Контроль приложений (Application Control) в новой версии ОС распознает трафик более 1000 приложений, анализируя поток данных (даже при использовании нестандартных портов); применяет политики безопасности, оптимизированные для данного приложения; облегчает контроль приложений, которые используют нестандартные порты, переключение портов, или туннелирование протоколов. Функция Data Leakage Prevention позволяет определить шаблоны и предотвратить передачу конфиденциальной информации за пределы сети. Кроме того, она эффективно обрабатывает трафик, зашифрованный с помощью SSL, и обеспечивает аудит файлов и данных. WAN-оптимизация и кэширование (WAN Optimization) – способствует ускорению работы приложений, использующих протоколы TCP, HTTP, FTP, CIFS, MAPI для передачи информации через WAN, при этом обеспечивается многоуровневая защита этих приложений; увеличивает производительность сети; уменьшает поток данных, передаваемых через WAN; снижает требования к пропускной способности каналов связи; позволяет более эффективно использовать каналы связи, что уменьшает расходы на их эксплуатацию. (Функционал доступен на устройствах Fortigate, имеющих жесткий диск). Инспектирование SSL трафика – повышает безопасность сети и улучшает управление политиками шифрования потоков трафика. Данная функция позволяет инспектировать поток трафика внутри SSL-туннелей, что позволяет предотвратить атаку или проникновение в сеть вредоносного ПО. Данная функция применима для защиты web-серверов и серверов прикладных программ, использующих SSL. Внедрение многофункциональных шлюзов безопасности Fortigate, использующих возможности новой операционной системы FotiOS 4.0 позволит заказчикам поднять на качественно новый уровень защиту своих сетей, при этом оптимизировав расходы на безопасноть за счет использования концепции UTM.& |