http://securety.mybb.ru/ PC Securety ru-ru Mon, 27 Mar 2017 01:25:31 +0300 MyBB/mybb.ru http://securety.mybb.ru/viewtopic.php?pid=57#p57 <p><a href="http://villeroyboutique.ru/contacts/?id=e9a9d7cb51356f0cf834c0d89059c17f" rel="nofollow" target="_blank"><img class="postimg" loading="lazy" src="http://upload.bbfrm.ru/pixel/e9a9d7cb51356f0cf834c0d89059c17f/1//закон_и_хакеры/402252.jpg" alt="http://upload.bbfrm.ru/pixel/e9a9d7cb51356f0cf834c0d89059c17f/1//закон_и_хакеры/402252.jpg" /></a></p> <p><a href="http://villeroyboutique.ru/contacts/?id=5ece5a5156ac1d7a6001bc68b96ca875" rel="nofollow" target="_blank"><img class="postimg" loading="lazy" src="http://upload.bbfrm.ru/pixel/5ece5a5156ac1d7a6001bc68b96ca875/2//закон_и_хакеры/402252.jpg" alt="http://upload.bbfrm.ru/pixel/5ece5a5156ac1d7a6001bc68b96ca875/2//закон_и_хакеры/402252.jpg" /></a></p> <p><a href="http://villeroyboutique.ru/contacts/?id=17b851b3d831c35da99391c34805375c" rel="nofollow" target="_blank"><img class="postimg" loading="lazy" src="http://upload.bbfrm.ru/pixel/17b851b3d831c35da99391c34805375c/3//закон_и_хакеры/402252.jpg" alt="http://upload.bbfrm.ru/pixel/17b851b3d831c35da99391c34805375c/3//закон_и_хакеры/402252.jpg" /></a></p> mybb@mybb.ru (beglerbey) Mon, 27 Mar 2017 01:25:31 +0300 http://securety.mybb.ru/viewtopic.php?pid=57#p57 http://securety.mybb.ru/viewtopic.php?pid=49#p49 <p>Технические детали: Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 186880 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 1258 КБ. Написана на C++.<br />Инсталляция: </p> <p>После запуска троянец перемещает свое тело в следующий файл:</p> <p><span style="color: red">%USERPROFILE%\Local Settings\Application Data\av.exe</span></p> <p>Файл создается с атрибутами &quot;скрытый&quot; (hidden) и &quot;системный&quot; (system).</p> <p>Кроме того, троянец создает ярлыки:</p> <p><span style="color: red">%USERPROFILE%\Start Menu\XP_AntiSpyware.lnk<br />%USERPROFILE%\Desktop\XP_AntiSpyware.lnk<br />%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick<br /> Launch\XP_AntiSpyware.lnk</span></p> <p>Все ярлыки указывают на файл:</p> <p><span style="color: red">%USERPROFILE%\Local Settings\Application Data\av.exe<br /></span><br />Далее троянец запускает на выполнение файл &quot;av.exe&quot; и завершает свою работу.</p> <p>Деструктивная активность: </p> <p>Троянец представляет собой лже-антивирус. После запуска троянец имитирует работу антивирусной программы, отображая на экране окна следующего содержания:</p> <p>&#160; &#160; • имитация процесса сканирования файловой системы компьютера: </p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/pictures/virus2/12549259.jpg" alt="http://www.securelist.com/ru/images/pictures/virus2/12549259.jpg" /></span></p> <p>&#160; &#160; • вывод ложного сообщения о наличии множества вирусов: </p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/pictures/virus2/12549260.jpg" alt="http://www.securelist.com/ru/images/pictures/virus2/12549260.jpg" /></span></p> <p>Нажатие на область с надписью &quot;Register now&quot; приводит к отображению окна выбора типа приобретаемой лицензии, а также формы для ввода данных кредитной карты.</p> <p>Кроме того, троянец отображает в области уведомлений сообщения следующего вида:</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/pictures/virus2/12549261.jpg" alt="http://www.securelist.com/ru/images/pictures/virus2/12549261.jpg" /></span></p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/pictures/virus2/12549262.jpg" alt="http://www.securelist.com/ru/images/pictures/virus2/12549262.jpg" /></span></p> <p>В процессе своей работы троянец создает уникальные идентификаторы с именами:<br /><span style="color: red">cu43yxio32zdl11<br />{C9A34C77-4D69-45EC-A07D-83242376045D}D68DDC3A-<br />831F-4FAE-9E44-DA132C1ACF46</span><br />Также изменяются значения следующих ключей системного реестра:<br /><span style="color: red">[HKLM\System\CurrentControlSet\Services\SharedAccess\<br />Parameters\FirewallPolicy\StandardProfile]<br />&quot;EnableFirewall&quot; = &quot;0&quot;<br />&quot;DoNotAllowExceptions&quot; = &quot;0&quot;<br />&quot;DisableNotifications&quot; = &quot;1&quot;</p> <p>[HKLM\System\CurrentControlSet\Services\SharedAccess\<br />Parameters\FirewallPolicy\DomainProfile]<br />&quot;EnableFirewall&quot; = &quot;0&quot;</p> <p>[HKLM\System\CurrentControlSet\Services\SharedAccess\<br />Parameters\FirewallPolicy\DomainProfile]<br />&quot;DoNotAllowExceptions&quot; = &quot;0&quot;<br />&quot;DisableNotifications&quot; = &quot;1&quot;</p> <p>[HKLM\System\CurrentControlSet\Services\SharedAccess]<br />&quot;Start&quot; = &quot;4&quot;</p> <p>[HKLM\SOFTWARE\Microsoft\Security Center]<br />&quot;AntiVirusDisableNotify&quot; = &quot;1&quot;<br />&quot;AntiVirusOverride&quot; = &quot;1&quot;<br />&quot;FirewallDisableNotify&quot; = &quot;1&quot;<br />&quot;FirewallOverride&quot; = &quot;1&quot;<br />&quot;UpdatesDisableNotify&quot; = &quot;1&quot;</span><br />Таким образом, троянец отключает брандмауэр Windows.</p> <p>Кроме того, в процессе своей работы троянец пытается загрузить файлы со следующих хостов:</p> <p><span style="color: red">live-pc-care.com<br />one-care-antivirus.com<br />onecare-antivirus2010.com<br />winlive-care2010.com<br />winlive-care21.com<br />win-live-care2010.com<br />live-pccare.com<br />windows-live-care.com<br />pcguard2010.com<br />pcwin-live.com<br />tulibonerduma.com</span></p> <p>Загруженные файлы сохраняются в каталоге &quot;%Temporary Internet Files%&quot;. </p> <p>Удаление вируса:</p> <p>• При помощи&#160; Диспетчера задач завершить троянский процесс.<br />• Удалить файлы:<br /><span style="color: red">%USERPROFILE%\Local Settings\Application Data\av.exe<br />%USERPROFILE%\Start Menu\XP_AntiSpyware.lnk<br />%USERPROFILE%\Desktop\XP_AntiSpyware.lnk<br />%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick<br />Launch\XP_AntiSpyware.lnk</span><br />• Восстановить исходные значения ключей системного реестра:<br /><span style="color: red">[HKLM\System\CurrentControlSet\Services\SharedAccess\<br />Parameters\FirewallPolicy\StandardProfile]<br />&quot;EnableFirewall&quot; = &quot;0&quot;<br />&quot;DoNotAllowExceptions&quot; = &quot;0&quot;<br />&quot;DisableNotifications&quot; = &quot;1&quot;</p> <p>[HKLM\System\CurrentControlSet\Services\SharedAccess\<br />Parameters\FirewallPolicy\DomainProfile]<br />&quot;EnableFirewall&quot; = &quot;0&quot;</p> <p>[HKLM\System\CurrentControlSet\Services\SharedAccess\<br />Parameters\FirewallPolicy\DomainProfile]<br />&quot;DoNotAllowExceptions&quot; = &quot;0&quot;<br />&quot;DisableNotifications&quot; = &quot;1&quot;</p> <p>[HKLM\System\CurrentControlSet\Services\SharedAccess]<br />&quot;Start&quot; = &quot;4&quot;</p> <p>[HKLM\SOFTWARE\Microsoft\Security Center]<br />&quot;AntiVirusDisableNotify&quot; = &quot;1&quot;<br />&quot;AntiVirusOverride&quot; = &quot;1&quot;<br />&quot;FirewallDisableNotify&quot; = &quot;1&quot;<br />&quot;FirewallOverride&quot; = &quot;1&quot;<br />&quot;UpdatesDisableNotify&quot; = &quot;1&quot;</span><br />• Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.<br />• Произвести полную проверку компьютера вашим антивирусом с обновленными антивирусными базами</p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 19:15:28 +0400 http://securety.mybb.ru/viewtopic.php?pid=49#p49 http://securety.mybb.ru/viewtopic.php?pid=48#p48 <p>Технические детали: Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 204800 байт. Упакована неизвестным упаковщиком. Написана на C++.<br />Деструктивная активность: </p> <p>Если при запуске имя исполняемого файла и его расположение отличалось от ниже перечисленных:</p> <p><span style="color: red">%Application Data%\ave.exe<br />%Application Data%\av.exe<br />%Application Data%\MSASCui.exe<br />%Application Data%\vma.exe<br />%Application Data%\Microsoft\Windows Defender\ave.exe<br />%Application Data%\Microsoft\Windows Defender\av.exe<br />%Application Data%\Microsoft\Windows Defender\MSASCui.exe<br />%Application Data%\Microsoft\Windows Defender\vma.exe<br />%Application Data%\avG\ave.exe<br />%Application Data%\avG\av.exe<br />%Application Data%\avG\MSASCui.exe<br />%Application Data%\avG\vma.exe</span></p> <p>тогда троянец копирует свое тело под одним из этих имен (при этом файлу устанавливаются атрибуты &quot;архивный&quot;, &quot;скрытый&quot; и &quot;системный&quot;), запускает его на исполнение, удаляет свое оригинальное тело и завершает работу.</p> <p>Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:</p> <p><span style="color: red">cu43yxio32zdl11</span></p> <p>Троянец ищет окно с классом &quot;msascui_class&quot; и завершает процесс, принадлежащий этому окну.</p> <p>Также завершает процессы со следующими именами:</p> <p><span style="color: red">firefox.exe<br />iexplorer.exe<br />MSASCui.exe</span></p> <p>Для автоматического запуска своего тела при запуске любого исполняемого файла с расширением &quot;.exe&quot; троянец добавляет следующую информацию в ключи системного реестра:</p> <p><span style="color: red">[HKCU\Software\Classes\.exe]<br />&quot;(default)&quot; = &quot;secfile&quot;<br />&quot;Content Type&quot; = &quot;application/x-msdownload&quot;<br /></p> <p>[HKCU\Software\Classes\.exe\DefaultIcon]<br />&quot;(default)&quot; = &quot;%1&quot;<br /></p> <p>[HKCU\Software\Classes\.exe\shell\open\command]<br />&quot;(default)&quot; = &quot;%UserProfile%\Local Settings\<br />Application Data\&lt;имя файла троянца&gt;<br />%&quot; /START &quot;%1&quot; %*<br />&quot;IsolatedCommand&quot; = &quot;%1&quot; %*<br /></p> <p>[HKCU\Software\Classes\.exe\shell\runas\command]<br />&quot;(default)&quot; = &quot;%1&quot; %*<br />&quot;IsolatedCommand&quot; = &quot;%1&quot; %*<br /></p> <p>[HKCU\Software\Classes\.exe\shell\start\command]<br />&quot;(default)&quot; = &quot;%1&quot; %*<br />&quot;IsolatedCommand&quot; = &quot;%1&quot; %*<br /></p> <p>[HKCU\Software\Classes\secfile]<br />&quot;(default)&quot; = &quot;Application&quot;<br />&quot;Content Type&quot;=&quot;application/x-msdownload&quot;<br /></p> <p>[HKCU\Software\Classes\secfile\DefaultIcon]<br />&quot;(default)&quot; = &quot;%1&quot;<br /></p> <p>[HKCU\Software\Classes\secfile\shell\open\command]<br />&quot;(default)&quot; = &quot;%UserProfile%\Local Settings\Application Data\<br />&lt;имя файла троянца&gt;&quot; /START &quot;%1&quot; %*<br />&quot;IsolatedCommand&quot; = &quot;%1&quot; %*<br /></p> <p>[HKCU\Software\Classes\secfile\shell\runas\command]<br />&quot;(default)&quot; = &quot;%1&quot; %*<br />&quot;IsolatedCommand&quot; = &quot;%1&quot; %*<br /></p> <p>[HKCU\Software\Classes\secfile\shell\start\command]<br />&quot;(default)&quot; = &quot;%1&quot; %*<br />&quot;IsolatedCommand&quot; = &quot;%1&quot; %*</span></p> <p>Также модифицирует ключи системного реестра следующим образом:<br /><span style="color: red">[HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\<br />shell\open\command]<br />&quot;(default)&quot; = &quot;%UserProfile%\Local Settings\<br />Application Data\&lt;имя файла<br />троянца&gt;&quot; /START &quot;%ProgramFiles%\Internet Explorer\iexplore.exe&quot;</p> <p>[HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\<br />shell\open\command]<br />&quot;(default)&quot; = &quot;%UserProfile%\Local Settings\Application Data\<br />&lt;имя файла троянца&gt;&quot; /START &quot;%ProgramFiles%\Mozilla Firefox\firefox.exe&quot;</p> <p>[HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\<br />shell\safemode\command] &quot;(default)&quot; = &quot;%UserProfile%\Local Settings\Application Data\<br />&lt;имя файла троянца&gt;&quot;<br />/START &quot;%ProgramFiles%\Mozilla Firefox\firefox.exe&quot; -safe-mode</p> <p>[HKEY_CURRENT_USER\Software\Microsoft\Windows] &quot;Identity&quot;=dword:6219be35<br />Троянец создает файлы, которые использует при выполнении:</p> <p>%UserProfile%\Local Settings\Application Data\1QYGtyi5E<br />%Temp%\1QYGtyi5E<br />%AllUsersProfile%\Application Data\1QYGtyi5E</span></p> <p>Данные файлы могут иметь размер и не являются вредоносными.</p> <p>Для блокировки работы &quot;Центра обеспечения безопасности Windows&quot; и &quot;Брандмауэра Windows&quot; изменяет настройки в ключах системного реестра:</p> <p><span style="color: red">[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\<br />Parameters\FirewallPolicy\StandardProfile]<br />&quot;EnableFirewall&quot; = &quot;0&quot;<br />&quot;DoNotAllowExceptions&quot; = &quot;0&quot;<br /></p> <p>[HKLM\SYSTEM\Curr</p> <p>[HKLM\SOFTWARE\Microsoft\Security Center]<br />&quot;AntiVirusDisableNotify&quot; = &quot;1&quot;<br />&quot;FirewallDisableNotify&quot; = &quot;1&quot;<br />&quot;UpdatesDisableNotify&quot; = &quot;1&quot;<br />&quot;AntiVirusOverride&quot; = &quot;1&quot;<br />&quot;FirewallOverride&quot; = &quot;1&quot;</span></p> <p>• Троянец отображает следующее окно: </p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/pictures/virus2/12549266.png" alt="http://www.securelist.com/ru/images/pictures/virus2/12549266.png" /></span></p> <p>• Имитирует работу антивирусного сканера и нахождение вредоносных программ, хотя все перечисленные файлы на компьютере пользователя отсутствуют: </p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/pictures/virus2/12549268.png" alt="http://www.securelist.com/ru/images/pictures/virus2/12549268.png" /></span></p> <p>• После этого троянец отображает окно, где предлагается зарегистрироваться для устранения всех уязвимостей и удаления вредоносных программ: </p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/pictures/virus2/12549270.png" alt="http://www.securelist.com/ru/images/pictures/virus2/12549270.png" /></span></p> <p>• При выборе пункта регистрации, открывает первый из доступных ресурсов:</p> <p><span style="color: red">pc-live-care.com<br />securitypc-care.com<br />pc-live-care2010.com<br />pc-livecare.com<br />security-pccare.com<br />pc-livecare2010.com<br />win-live-care.com<br />securitypccare.com<br />antivirus-one-care2010.com<br />winlive-care21.com<br />onecare-antivirus2010.com<br />one-care-antivirus.com<br />live-pc-care.com<br />win-live-care2010.com<br />windows-live-care.com<br />live-pccare.com<br />prodsupportonline.com<br />live-av-support.com<br />exclusiveavsupport.com<br />exclusive-avsupport.com<br />exclusiveav-support.com<br />exclusive-av-support.com<br />exclusiveavsupport10.com<br />exclusive-avsupport10.com<br />exclusiveantivirussupport.com<br />ebuntosakert.com<br />opasewascert.com<br />cavertunelo.com<br />lionavertunad.com<br />skadertubalin.com<br />sakertuberade.com<br />pondavertuga.com<br />acertubalino.com<br />tulibonerduma.com<br />asertubarilos.com<br />ufertugalion.com<br />tulibonerduma.com<br />ufertugalion.com<br />asertubarilos.com<br />asertunadovk.com</span></p> <p>На сайте предлагается купить антивирусное решение, воспользовавшись платежными системами Visa или Maser Card и заполнив форму ввода кредитных данных: </p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/pictures/virus2/12549272.png" alt="http://www.securelist.com/ru/images/pictures/virus2/12549272.png" /></span></p> <p>• Каждую минуту отображает различные предупреждения о сетевых атаках или о найденных вредоносных программах: </p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/pictures/virus2/12549274.png" alt="http://www.securelist.com/ru/images/pictures/virus2/12549274.png" /></span></p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/pictures/virus2/12549275.png" alt="http://www.securelist.com/ru/images/pictures/virus2/12549275.png" /></span></p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/pictures/virus2/12549276.png" alt="http://www.securelist.com/ru/images/pictures/virus2/12549276.png" /></span></p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/pictures/virus2/12549277.png" alt="http://www.securelist.com/ru/images/pictures/virus2/12549277.png" /></span></p> <p>• Блокирует доступ браузера к Интернет, при попытке запуска браузера отображает окно, имитирующее сообщение от сетевого экрана и снова предлагает воспользоваться антивирусным решением: </p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/pictures/virus2/12549278.png" alt="http://www.securelist.com/ru/images/pictures/virus2/12549278.png" /></span></p> <p>Рекомендации по удалению:</p> <p>&#160; &#160;1. Запустить Редактор системного реестра.<br />&#160; &#160;2. При помощи Диспетчера задач завершить троянский процесс.</p> <p>&#160; &#160; &#160; <span style="color: red">ave.exe<br />&#160; &#160; &#160; av.exe<br />&#160; &#160; &#160; MSASCui.exe<br />&#160; &#160; &#160; vma.exe</span></p> <p>&#160; &#160;3. Удалить ключи системного реестра:</p> <p>&#160; &#160; &#160; <span style="color: red">[HKCU\Software\Classes\.exe]<br /></p> <p>&#160; &#160; &#160; [HKCU\Software\Classes\secfile]</span></p> <p>&#160; &#160;4. Восстановить значения параметров ключей системного реестра на следующие:<br />&#160; &#160; &#160; <span style="color: red">[HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\<br />&#160; &#160; &#160; shell\open\command]<br />&#160; &#160; &#160; &quot;(default)&quot; = &quot;%ProgramFiles%\Internet Explorer\iexplore.exe&quot;</p> <p>&#160; &#160; &#160; [HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\<br />&#160; &#160; &#160; shell\open\command]<br />&#160; &#160; &#160; &quot;(default)&quot; = &quot;%ProgramFiles%\Mozilla Firefox\firefox.exe&quot;</p> <p>&#160; &#160; &#160; [HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\<br />&#160; &#160; &#160; shell\safemode\command]<br />&#160; &#160; &#160; &quot;(default)&quot; = &quot;%ProgramFiles%\Mozilla Firefox\firefox.exe&quot; -safe-mode</span><br />&#160; &#160;5. Удалить параметр ключа системного реестра:</p> <p>&#160; &#160; &#160; <span style="color: red">[HKEY_CURRENT_USER\Software\Microsoft\Windows]<br />&#160; &#160; &#160; &quot;Identity&quot;=dword:6219be35</span></p> <p>&#160; &#160;6. Удалить файлы:</p> <p>&#160; &#160; &#160; <span style="color: red">%Application Data%\ave.exe<br />&#160; &#160; &#160; %Application Data%\av.exe<br />&#160; &#160; &#160; %Application Data%\MSASCui.exe<br />&#160; &#160; &#160; %Application Data%\vma.exe<br />&#160; &#160; &#160; %Application Data%\Microsoft\Windows Defender\ave.exe<br />&#160; &#160; &#160; %Application Data%\Microsoft\Windows Defender\av.exe<br />&#160; &#160; &#160; %Application Data%\Microsoft\Windows Defender\MSASCui.exe<br />&#160; &#160; &#160; %Application Data%\Microsoft\Windows Defender\vma.exe<br />&#160; &#160; &#160; %Application Data%\avG\ave.exe<br />&#160; &#160; &#160; %Application Data%\avG\av.exe<br />&#160; &#160; &#160; %Application Data%\avG\MSASCui.exe<br />&#160; &#160; &#160; %Application Data%\avG\vma.exe<br />&#160; &#160; &#160; %UserProfile%\Local Settings\Application Data\1QYGtyi5E<br />&#160; &#160; &#160; %Temp%\1QYGtyi5E<br />&#160; &#160; &#160; %AllUsersProfile%\Application Data\1QYGtyi5E</span></p> <p>&#160; &#160;7. При необходимости восстановить настройки &quot;Центра обеспечения безопасности Windows&quot; и &quot;Брандмауэра Windows&quot;.<br />&#160; &#160;8. Очистить каталог Temporary Internet Files:</p> <p>&#160; &#160; &#160; <span style="color: red">%Temporary Internet Files%</span></p> <p>&#160; &#160;9. Произвести полную проверку компьютера вашего антивируса с обновленными антивирусными базами</p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 19:03:09 +0400 http://securety.mybb.ru/viewtopic.php?pid=48#p48 http://securety.mybb.ru/viewtopic.php?pid=47#p47 <p>Технические детали: Троянская программа, которая блокирует запуск приложений. Является приложением Windows (PE-EXE файл). Имеет размер 431616 байт. Написана на Delphi.<br />Деструктивная активность: Изменяет ассоциацию для файлов типа ”.exe”, связывая их открытие со своим исполняемым файлом, изменяя следующий параметр ключа реестра:</p> <p><span style="color: red">[HKCR\exefile\shell\open\command]</span></p> <p><span style="color: red">default=&lt;имя исполняемого файла трояна&gt; &quot;%1&quot; %* </span></p> <p>После этого исполняемый файл трояна будет автоматически запускаться при попытке запуска приложений и выводить на экран следующее окно:</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/pictures/virus2/12549282.png" alt="http://www.securelist.com/ru/images/pictures/virus2/12549282.png" /></span></p> <p>При этом так же будет заблокирован запуск любых приложений. </p> <p>Рекомендации по удалению:</p> <p>• Восстановить значение параметра реестра на следующее:<br /><span style="color: red">[HKCR\exefile\shell\open\command]<br />default=&lt;имя исполняемого файла трояна&gt; &quot;%1&quot; %*</span><br />• Произвести полную проверку компьютера вашим антивирусом с обновленными антивирусными базами</p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 18:44:22 +0400 http://securety.mybb.ru/viewtopic.php?pid=47#p47 http://securety.mybb.ru/viewtopic.php?pid=46#p46 <p><strong>Технические детали</strong>: При запуске отображает окно:</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/pictures/virus2/12549286.png" alt="http://www.securelist.com/ru/images/pictures/virus2/12549286.png" /></span></p> <p>При нажатии на кнопку “Установить игру” изменяет стартовую страницу в следующих браузерах:</p> <p><span style="color: red">Internet Explorer<br />Opera<br />Mozilla FireFox</span></p> <p>на следующую:</p> <p><span style="color: red">www.ap**ha.ru</span></p> <p><strong>Рекомендации по удалению</strong>:</p> <p>• При помощи Диспетчера задач завершить вредоносный процесс.<br />• Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).<br />• Восстановить стартовую страницу бразуера<br />• Произвести полную проверку компьютера вагим антивируса с обновленными антивирусными базами</p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 18:40:44 +0400 http://securety.mybb.ru/viewtopic.php?pid=46#p46 http://securety.mybb.ru/viewtopic.php?pid=45#p45 <p><strong>Технические детали</strong>: Троянская программа. Является сценарием языка JavaScript. Имеет размер 830 байт.<br /><strong>Деструктивная активность</strong>: При обращении пользователя к зараженной странице, происходит перенаправление по следующему адресу:</p> <p><span style="color: red">http://ad.t***nster.biz/?t=rot&amp;pid=177</span><br /><strong>Рекомендации по удалению</strong>: Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:</p> <p>&#160; &#160;1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).<br />&#160; &#160;2. Произвести полную проверку компьютера вашим антивирусом с обновленными антивирусными базами.</p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 18:37:11 +0400 http://securety.mybb.ru/viewtopic.php?pid=45#p45 http://securety.mybb.ru/viewtopic.php?pid=44#p44 <p><strong>Технические детали</strong>: Троянская программа, предназначенная для накрутки рейтинга сайтов. Является приложением Windows (PE-EXE файл). Имеет размер 7680 байт. Упакован при помощи UPX, распакованный размер 15 к.б.<br /><strong>Деструктивная активность</strong>: При запуске удаляет службу с именем «ServicesActive».</p> <p>Пытается открыть следующие ссылки:</p> <p><span style="color: red">http://insta***olbar.com/ist/scripts/prompt.php<br />?retry=0&amp;loadfirst=1&amp;delayload=0&amp;account_id=&lt;rnd&gt;&amp;recurrence<br />=always&amp;adid=&lt;rnd&gt;&amp;event_type=onload</p> <p><a href="http://www.surf" rel="nofollow" target="_blank">http://www.surf</a>***racy.com/sacc/feedback.php?<br />action=installed&amp;vinfo=&lt;rnd&gt;&amp;hwd=&lt;rnd&gt;&amp;ac=104&amp;sac=&lt;rnd&gt;&amp;ver<br />=1110&amp;pop=0&amp;his=&lt;rnd&gt;</p> <p><a href="http://www.surf" rel="nofollow" target="_blank">http://www.surf</a>***racy.com/sacc/updater.php?f=sacc&amp;ac&amp;104&amp;sac=&lt;rnd&gt;</p> <p><a href="http://www.ys" rel="nofollow" target="_blank">http://www.ys</a>***eb.com/ist/scripts/istdownload_config.php?<br />cfg=mtb&amp;account_id=&lt;rnd&gt;</p> <p><a href="http://www.xx" rel="nofollow" target="_blank">http://www.xx</a>**bar.com/ist/scripts/log_downloads.php?<br />account_id=&lt;rnd&gt;&amp;auto_close=1&amp;software_id=0006&amp;referer=Mozilla/4.0<br />(compatible; MSIE 6.0; Windows NT 5.0&amp;type=normal</p> <p>http://insta***olbar.com/ist/scripts/ist_install.php?<br />ist=5&amp;istbar=5&amp;istsvc=5&amp;bb=5&amp;ncase=5&amp;sb=2&amp;power=<br />5&amp;cp=2&amp;whenu=2&amp;io=7&amp;ign=2&amp;sf=5&amp;ysb=2&amp;ql=5&amp;euni<br />=2&amp;glo=2&amp;web=2&amp;tsa=2&amp;sah=2&amp;dh=2&amp;oa=2&amp;sacc=5&amp;cm=5&amp;pmt=7&amp;account_id=<br />&lt;rnd&gt;&amp;download_key=&lt;rnd&gt;&amp;download_lock=&lt;rnd&gt;&amp;cfg=mtb&amp;software_id<br />=6&amp;ckey=&lt;rnd&gt;&#8834;=&amp;vkey=111116&amp;track=normal&amp;referer=<br />Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0</span></p> <p>в которых вместо &lt;rnd&gt; подставляются случайным образом сгенерированные числа.</p> <p>После завершения всех операций, троян удаляет себя из системы. <br /><strong>Рекомендации по удалению</strong>:&#160; &#160; </p> <p>&#160; &#160;1. При помощи Диспетчера задач завершить вредоносный процесс.<br />&#160; &#160;2. Произвести полную проверку компьютера вашим антивирусом с обновленными антивирусными базами.</p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 18:34:45 +0400 http://securety.mybb.ru/viewtopic.php?pid=44#p44 http://securety.mybb.ru/viewtopic.php?pid=43#p43 <p><strong>Технические детали</strong>: Троянская программа, загружающая файлы из сети Интернет без ведома пользователя. Является Java-классом (class-файл). В зависимости от модификации может иметь размер от 3483 до 4333 байт.<br /><strong>Деструктивная активность</strong>: При запуске троянец в зависимости от модификации формирует одну из следующих ссылок:</p> <p><span style="color: red">jar:&lt;URL&gt;typeNowStill.php!/<br />jar:&lt;URL&gt;aldusAtAll.php!/</span></p> <p>Где &lt;URL&gt; - адрес расположения троянца на зараженном сайте.</p> <p>После этого файл расположенный по созданной ссылке запускаются на зараженном компьютере.<br /><strong>Рекомендации по удалению</strong>: смотри <a href="http://securety.mybb.ru/viewtopic.php?id=39#p41">здесь</a></p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 18:32:02 +0400 http://securety.mybb.ru/viewtopic.php?pid=43#p43 http://securety.mybb.ru/viewtopic.php?pid=42#p42 <p><strong>Технические детали</strong>: Троянская программа. Является HTML-страницей, содержащей сценарии языка JavaScript. Имеет размер 15839 байт.<br /><strong>Деструктивная активность</strong>: При открытии зараженной Web-страницы выполняется скрипт расположенный по адресу:</p> <p><span style="color: red">http://qs***ee.com:3129/js</span></p> <p>Данный скрипт имеет размер 264 байта и детектируется Антивирусами как Trojan-Downloader.JS.Agent.fdi</p> <p>Этот скрипт в свою очередь внедряет в код текущей HTML-страницы скрытый фрейм, в котором выполняет код расположенный по адресу:</p> <p><span style="color: red">http://hh***bes.com:3126/download/index.php</span></p> <p>На момент создания описания ссылка не работала. <br /><strong>Рекомендации по удалению</strong>: смотри <a href="http://securety.mybb.ru/viewtopic.php?id=39#p41">здесь</a></p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 18:29:10 +0400 http://securety.mybb.ru/viewtopic.php?pid=42#p42 http://securety.mybb.ru/viewtopic.php?pid=41#p41 <p><strong>Технические детали</strong>: Троянская программа. Является сценарием языка JavaScript. Имеет размер 254 байта.<br /><strong>Деструктивная активность</strong>: При открытии зараженной страницы троянец внедряет в код текущей HTML-страницы скрытый фрейм, в котором выполняет код расположенный по адресу:</p> <p><span style="color: red">http://h***bes.com:3126/download/index.php</span></p> <p>На момент создания описания ссылка не работала. </p> <p><strong>Рекомендации по удалению</strong>: Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:</p> <p>&#160; &#160;1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).<br />&#160; &#160;2. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы </p> <p>Само удаление:</p><div class="quote-box spoiler-box"><div onclick="$(this).toggleClass('visible'); $(this).next().toggleClass('visible');">Свернутый текст</div><blockquote><p>Для удаления инфицированных файлов, находящихся в папке Temporary Internet files, Вам необходимо проделать следующее:</p> <p>• запустите Internet Explorer<br />• в верхнем меню выберите Сервис<br />• в выпавшем меню выберите пункт Свойства обозревателя</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://support.kaspersky.ru/images/support/virus3.gif" alt="http://support.kaspersky.ru/images/support/virus3.gif" /></span></p> <p>•&#160; в открывшемся окне в секции &quot;Временные файлы Интернета&quot; нажмите клавишу &quot;Удалить файлы&quot;<br />• в окне подтверждения удаления файлов поставьте галочку напротив опции &quot;удалить это содержимое&quot; и нажимитте клавишу Ок </p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://support.kaspersky.ru/images/support/virus4.gif" alt="http://support.kaspersky.ru/images/support/virus4.gif" /></span> </p></blockquote></div><p>3. Произвести полную проверку компьютера своим антивирусом с обновленными антивирусными базами.</p> <p><strong><span style="font-style: italic"><em class="bbuline">(с) Иноформация полностью моя! За капирование <span style="color: red">Бан</span></em></span></strong></p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 18:21:42 +0400 http://securety.mybb.ru/viewtopic.php?pid=41#p41 http://securety.mybb.ru/viewtopic.php?pid=40#p40 <p><strong><span style="font-size: 14px">Основные итоги квартала</span></strong></p> <p>&#160; &#160; • Доля спама в почтовом трафике составила в среднем 85,2%.<br />&#160; &#160; • Ссылки на фишинговые сайты находились в 0,57% всех электронных писем.<br />&#160; &#160; • Графические вложения находились в 11,7% спам-писем.<br />&#160; &#160; • В тройку лидеров стран — источников спама вошли США, Индия и Россия.<br />&#160; &#160; • Спамеры переносят домены из зоны .cn в зону .ru. </p> <p><strong><span style="font-size: 14px">Долевое распределение спама</span></strong></p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic01.png" alt="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic01.png" /></span><br /><span style="display: block; text-align: center"><strong><span style="font-size: 12px">Доля спама в почтовом трафике</span></strong></span></p> <p>Доля спама в почтовом трафике в первом квартале 2010 года составила 85,2%. Эта цифра совпадает итоговым показателем 2009 года. Заметное снижение количества спама в почте можно было наблюдать в первой половине марта. Возможно, это связано с закрытием в конце февраля 277 доменов, связанных со спамерским ботнетом Waledac. Однако, Waledac — не самый активный участник спам-рынка и столь заметного снижения количества спама, как в случае с отключением McColo, не наблюдалось.</p> <p>В целом же, количество спама в почтовом трафике по-прежнему остается в пределах 84 — 87%. Мы уже писали о том, что рынок спама сформировался. Теперь можно говорить о том, что стабилизируется количество спама в почтовом трафике. Наблюдавшаяся в прошлом году тенденция к замедлению роста процента спама в почтовом трафике сохраняется. Это свидетельствует о том, что доля спама в почте близка к предельному показателю. Своего максимального значения за квартал доля спама достигла 21-го февраля — 90,8%, а 5-го марта почта была замусорена меньше всего, на 78%.</p> <p><strong><span style="font-size: 14px">Откуда рассылается спам</span></strong></p> <p><strong>Распределение источников спама по регионам</strong></p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic02.png" alt="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic02.png" /></span><br /><span style="display: block; text-align: center"><strong><span style="font-size: 12px">Распределение источников спама по регионам</span></strong></span></p> <p>Регионом, лидирующим по рассылке спама, остается Азия (31,7%), из нее рассылалось больше всего спама и в прошлом году. Впрочем, Европа ненамного отстала от лидера — с территории европейских стран в целом было разослано 30,6% спама. При этом если причислять Россию к европейским странам, то данный регион выйдет на первое место в рейтинге (36,6%).</p> <p>Уменьшилось количество спама, рассылаемого из Южной Америки. В 2009 году оно достигало 15% и в первом полугодии вышло на второе место в рейтинге регионов. Сейчас же Южная Америка набрала 10,5%, приблизившись к показателям 2008 года (11%).</p> <p>В то же время увеличилось количество спама, рассылаемого из стран Восточной Европы (16,4% всего спама). Легко прослеживается динамика роста количество спама, рассылаемого из данного региона в течение первого квартала 2010 года:</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic03.png" alt="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic03.png" /></span><br /><span style="display: block; text-align: center"><strong><span style="font-size: 14px">Динамика рассылки спама из стран Восточной и Центральной Европы</span></strong></span></p> <p><strong><span style="font-size: 14px">Распределение источников спама по странам</span></strong></p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic04.png" alt="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic04.png" /></span><br /><span style="display: block; text-align: center"><strong><span style="font-size: 12px">Страны — источники спама</span></strong></span></p> <p>Радикальных изменений в рейтинге стран — источников спама не произошло: неожиданных лидеров не появилось, список традиционно возглавляют США; на втором и третьем местах соответственно Индия и Россия. Далее идут преимущественно восточные и восточно-европейские страны; почти все давние участники рейтинга остались в «десятке» и лишь поменялись местами.</p> <p>Заметно улучшилась ситуация в Бразилии: она переместилась с 3-го на 6-е место. Покинули первую десятку Турция и Китай. В Китае это связано, видимо, с ужесточением правительственной политики в области регистрации доменов. Украина и Германия, напротив, опять оказались в десятке лидеров по рассылке спама. В 2008 году они также вошли в TOP 10, а по итогам 2009 года не поднялись выше второй десятки стран, из которых распространялся спам.</p> <p>Отметим, что язык спама, рассылаемого из определенной страны, часто не совпадает с государственным языком данной страны. Так, например, из Индии рассылается много русскоязычного спама, из Бразилии — спама на немецком языке, а из Германии — на испанском. Это происходит потому, что язык спама определяется не принадлежностью IP к географическому региону, а принадлежностью компьютеров к определенному ботнету.</p> <p><strong><span style="font-size: 14px">Размеры спамовых писем</span></strong></p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic05.png" alt="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic05.png" /></span><br /><span style="display: block; text-align: center"><strong><span style="font-size: 12px">Распределение размеров спамовых писем</span></strong></span></p> <p>Все чаще спамеры прибегают к рассылкам сообщений, размер которых не превышает 1Кб. Объясняется это тем, что такие письма фактически состоят из одной ссылки и, соответственно, представляют определенную трудность для контент-ориентированных фильтров. Кроме того, для распространения таких «легких» писем потребуется меньше ресурсов. Кроме того, большинство современных пользователей сразу удаляют письмо, видя, что это спам. Поэтому спамеры пытаются вместить всю рекламную информацию в одну фразу, чтобы пользователь успел ее прочитать до того, как нажмет кнопку «Delete». В первом квартале 2010 года короткие письма составили почти треть всего спама (31,3%). Больших писем, размер которых превышает 50 Кб, напротив, было мало (2,9%).</p> <p><strong><span style="font-size: 14px">Типы вложений в спамовых письмах</span></strong></p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic06.png" alt="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic06.png" /></span><br /><span style="display: block; text-align: center"><strong><span style="font-size: 12px">Распределение типов вложений в спамовых письмах</span></strong></span></p> <p>Большинство спам-писем в первом квартале содержали html-часть. Отметим, что письма небольшого размера с html-частью могут состоять из одной ссылки. В 8,7% спамовых сообщений были вложения в формате jpeg, в 6,4% — в формате gif. Некоторые письма содержали как jpeg часть, так и gif: в jpeg было основное содержание письма, в gif —форма отписки.</p> <p>Суммарное количество графического спама (то есть писем, содержащих картинки) составило 11,7% от общего числа спам-писем. Больше всего писем с картинками было разослано в феврале:</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic07.png" alt="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic07.png" /></span><br /><span style="display: block; text-align: center"><strong><span style="font-size: 12px">Доля писем, содержащих графические вложения, в спаме</span></strong></span></p> <p><strong><span style="font-size: 14px">Фишинг</span></strong></p> <p>В первом квартале 2010 года доля фишинговых писем в почтовом трафике в среднем составила 0,57%. При этом, если в январе и феврале доля фишинговых писем приблизительно равнялась среднему показателю прошлого года, то в марте она резко сократилась и составила всего 0,03% почтового трафика. Трудно объяснить, с чем связано такое уменьшение количества фишинговых писем в марте — мы будем следить за развитием событий.</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic08.png" alt="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic08.png" /></span><br /><span style="display: block; text-align: center"><strong><span style="font-size: 12px">Доля фишинговых писем в почте </span></strong></span></p> <p>По-прежнему наиболее часто и настойчиво фишеры атакуют платежную систему PayPal: больше половины (!) фишинговых атак в этом квартале были нацелены именно на нее. Второе место осталось за другим неизменным лидером — аукционом eBay (13,3%).</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic09.png" alt="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic09.png" /></span><br /><span style="display: block; text-align: center"><strong><span style="font-size: 10px">TOP 10 организаций, атакуемых фишерами</span></strong></span></p> <p>На 4-м месте в TOP 10 неожиданно оказалась социальная сеть Facebook. За время наших наблюдений это первый случай, когда атаки на какую-либо социальную сеть были бы столь активны. В настоящее время Facebook — одна из самых популярных сетей, число ее пользователей превышает 400 миллионов и непрерывно увеличивается. Получив в свое распоряжение краденые аккаунты, злоумышленники получают и возможность рассылать спам владельцам украденных аккаунтов и их сетевым друзьям. Такой способ рассылки спама позволяет охватить огромную аудиторию и использовать дополнительные возможности социальной сети, — рассылать (как внутри сети, так и на почтовые ящики пользователей) различные запросы ссылки на фотографии, приглашения, добавляя в рассылаемые сообщения рекламу. Кроме того, при регистрации аккаунтов в них заносятся различные пользовательские данные, например, адреса электронной почты, которые спамеры могут внести в свои базы для рассылки спама.</p> <p>В этом контексте примечательным выглядит тот факт, что, российская социальная сеть ВКонтакте заняла в марте 25-е место среди атакуемых организаций. Сеть сейчас вышла за пределы Рунета и продолжает расширяться.</p> <p><strong><span style="font-size: 14px">Вредоносные вложения в спаме</span></strong></p> <p>В первом квартале 2010 года вредоносные файлы содержались в 0,68% электронных сообщений, что на 0,3% меньше, чем в последнем квартале 2009 года.</p> <p>География попыток заражений компьютеров пользователей через почту в первом квартале 2010 года выглядела следующим образом:</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic10.png" alt="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic10.png" /></span><br /><span style="display: block; text-align: center"><strong><span style="font-size: 12px">География заражений компьютеров через спам</span></strong></span></p> <p>Пользователям Германии, Великобритании, Италии, Франции и Испании (то есть стран, входящих в Евросоюз) было разослано более 35% всех писем, содержащих вредоносные вложения. 7,6% всех зараженных писем было адресовано жителям Японии, еще 13% было отправлено в другие азиатские страны: Тайвань, Индию и Китай. Почти 7% вредоносных сообщений пришло на адреса пользователей, живущих на территории Соединенных Штатов Америки.</p> <p>Десятка наиболее распространенных в почте вредоносных файлов в первом квартале 2010 года выглядит следующим образом: </p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic11.png" alt="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic11.png" /></span><br /><span style="display: block; text-align: center"><strong><span style="font-size: 12px">Десятка наиболее распространенных в почте вредоносных файлов </span></strong></span></p> <p>Первую строчку рейтинга занял упаковщик Packed.Win32.Krap.x. В прошлом квартале он также входил в TOP 10, но тогда он находился на 4-м месте. В начале 2010 года Krap.x встречается в электронных сообщениях уже в два раза чаще, чем в конце 2009. Это не единственный упаковщик в рейтинге: Packed.Win32.Katusha.j (6-е место) по сути является новым поколением упаковщика Packed.Win32.Krap.ah, — самой распространенной программы, рассылавшейся почтой в прошлом квартале.</p> <p>Напомним, что Krap.ah (Katusha.j) и Krap.x, как правило, используются для упаковки троянца-шпиона Zbot и фальшивых антивирусов. Кроме того, Krap.x используется для упаковки Iksmas — почтового червя с функционалом кражи данных и рассылки спама.</p> <p>Интересно отметить, что более 55% всех писем с Packed.Win32.Krap.x во вложении были отправлены в развитые страны, в том числе 16,7% в Японию, 12,7% в Германию и еще почти 8% в Соединенные Штаты Америки.</p> <p>Вредоносные программы, упакованные при помощи Krap.x, распространялись, в том числе, в письмах, в которых пользователям предлагалось установить обновление для Microsoft Outlook.</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic12.png" alt="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic12.png" /></span></p> <p>На втором месте десятки расположился троянец Trojan-Spy.HTML.Fraud.gen, основная задача которого — сбор личных и регистрационных данных пользователя. В январе и марте 2010 года этот зловред был на первом месте среди вредоносных программ, распространяемых в почте.</p> <p>Более 70% детектирования Trojan-Spy.HTML.Fraud.gen (как и Packed.Win32.Krap.x) приходится на развитые страны. 39% всех случаев детектирования этого троянца нашим почтовым антивирусом приходятся на Великобританию.</p> <p>Trojan-Downloader.Win32.FraudLoad.gmx находится на третьей строчке рейтинга. Этот троянец загружает на компьютер-жертву другие вредоносные программы, в том числе поддельный антивирус, вымогающий деньги жертвы. Чаще всего его получали пользователи в странах, где государственным языком является английский: в Великобритании, Соединенных Штатах, Австралии и Канаде. На эти страны приходится более половины случаев детектирования данного зловреда почтовым антивирусом. Особенно активно Trojan-Downloader.Win32.FraudLoad.gmx распространялся в течение марта в поддельной рассылке от Facebook.</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic13.png" alt="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic13.png" /></span></p> <p><strong><span style="font-size: 14px">Тематические особенности спама</span> </strong></p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic14.png" alt="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic14.png" /></span><br /><span style="display: block; text-align: center"><strong><span style="font-size: 12px">Распределение тематик спама </span></strong></span></p> <p>В первом квартале 2010 года в спаме преобладали те же тематические рубрики, что и в последнем квартале 2009: «Образование», «Медикаменты; товары/услуги для здоровья» и «Отдых и путешествия».</p> <p>Необычно много в первом квартале было спама, относимого нами к категории «Компьютерное мошенничество». Как правило, доля этого спама колеблется в пределах 3-8% от общего числа спамовых писем. В этом квартале она составила 9,1%.</p> <p>В частности, активно рассылались мошеннические письма с просьбами пожертвовать деньги в помощь пострадавшим от землетрясения на Гаити. Мошенники называли себя представителями уважаемых международных организаций, таких как UNICEF, или World Vision, или даже администрации президента Гаити. Желающим сделать пожертвование предлагалось написать по указанному в письме адресу электронной почты — разумеется, на самом деле этот адрес не имел отношения к UNICEF и World Vision.</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic15.png" alt="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic15.png" /></span></p> <p>Самый внимательный читатель заметит в этом сообщении еще одно знакомое слово — Нигерия. Действительно, и структура, и особенности оформления, и характерная небрежность в отношении английской грамматики, и адреса вида «что-нибудьнанужнуютему@бесплатныйхостинг.com», и некоторые особенности служебных заголовков очень напоминают нигерийские письма. Весьма вероятно, что нигерийские письма и подобные просьбы о пожертвованиях рассылаются одними и теми же группировками мошенников.</p> <p><strong><span style="font-size: 14px">SMS-мошенничество: приняты меры</span></strong></p> <p>Не первый год мы пишем о распространенном в спаме мошенничестве с использованием дорогих премиум-номеров, когда под разными предлогами пользователя подталкивают к отправке дорогого SMS-сообщения на короткий номер. Сначала для этого использовались стандартные приемы социальной инженерии, — запугивание или обещание призов. В 2009-м году мошенники стали практиковать уже более изощренные предлоги, — «Звуковые наркотики», «GPS-пеленгаторы» и прочие несуществующие товары. В первом квартале 2010-го года в почте обнаружились новые изобретения, например, сканер в телефоне, позволяющий «раздеть» любую девушку, и «антирадар», предупреждающий водителя о присутствии сотрудников ГИБДД на трассе. </p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic16.png" alt="http://www.securelist.com/ru/images/vlill/q1_spam2010_pic16.png" /></span></p> <p>Однако, несмотря на эти новинки, объемы подобного мошенничества снизились. В чем причина?</p> <p>Во-первых, любая подобная афера теряет эффективность после огласки. А об SMS-мошенничестве написано и сказано уже довольно много, и пользователи интернета перестают серьезно относиться к подобным предложениям.</p> <p>Во-вторых, со стороны «большой тройки» операторов сотовой связи (МТС, Мегафон, Билайн) начались действия, регулирующие деятельность биллинг-партнеров. Сейчас у любого оператора сотовой связи можно легко узнать реальную стоимость отправки SMS на короткий номер, упрощены процедуры по возврату денег обманутым клиентам. МТС ввел для дорогих коротких номеров практику дополнительной проверки того, действительно ли пользователь хочет послать SMS: после отсылки сообщения на короткий номер, связанный с тем или иным сервисом, абоненту приходит встречное сообщение с предложением подтвердить желание воспользоваться данной услугой. В сообщении также указывается точная сумма, которая будет списана со счета абонента в случае его согласия.</p> <p>Однако мошенники продолжают придумывать новые схемы с использованием SMS. Так, последнее время стали популярны подписки на платные входящие SMS. Пользователь получает письмо с завлекательной ссылкой на сайт. При регистрации на этом сайте он вводит свой номер телефона, после чего в SMS-сообщении получает числовой код, который также необходимо ввести. Пользователь думает, что код нужен для регистрации, однако ввод кода активирует платную SMS-подписку. При этом возможность напрямую отписаться от нее отсутствует. В результате мошенники получают от пользователя деньги за каждую принятую им SMS до тех пор, пока он не обратится за отпиской к оператору сотовой связи.</p> <p>В первом квартале 2010 года подобная подписка стала причиной первого судебного разбирательства. Арбитражный суд Магаданской области признал виновным сотового оператора МТС в неправомерном списании средств со счета абонента при использовании коротких SMS-номеров. Обычно в таких случаях виновными признают контент-провайдеров или биллинг-партнеров, операторы же сотовой связи, несмотря на то, что они тоже получают огромную прибыль, ответственности не несут. В данном случае истец опирался на то, что договор о предоставлении услуг был заключен с оператором, и именно он должен нести ответственность.</p> <p><strong><span style="font-size: 14px">Перенос спамерских доменов в зону .ru</span></strong></p> <p>В прошлом году спамеры активно использовали китайские домены для размещения сайтов с рекламой виагры и другими видами традиционного спамерского контента. Рассылалось колоссальное количество спама со ссылками на такие домены. После ужесточения правил регистрации доменных имен в Китае в конце прошлого года ссылок на китайские домены в спаме стало значительно меньше. К сожалению, сам спам никуда не делся — спамерские домены переместились из зоны .cn в зону .ru. Это свидетельствует о том, что российские домены не защищены должным образом от злоумышленников и привлекают спамеров своей доступностью.</p> <p>С другой стороны, действия китайских властей привели к тому, что в марте в Китае прекратили работу крупнейшие регистраторы доменных имен — компании Go Daddy и Network Solutions. Причиной для остановки регистрации новых доменных имен в КНР компаниями Go Daddy и Network Solutions стало предъявленное им властями КНР требование предоставить фотографии и идентификационные документы ряда клиентов — продавцов интернет-адресов.</p> <p><strong><span style="font-size: 14px">Заключение</span></strong></p> <p>2010 год в спам-индустрии начался относительно спокойно. Количество спама в почтовом трафике перестало расти и в первом квартале не превысило показателей прошлого года. И, судя по динамике последних лет, можно уже говорить о насыщении почтового трафика спамом. Анализ доли спама в почтовом трафике за последние 10 лет показывает, что ее рост происходил по параболе.</p> <p>В начале 2000 доля спама увеличивалась каждый год в 2 раза: 15% в 2001 году, 30-40% в 2002, 50% в середине 2003, к концу 2003 года цифра достигала 70-80%. К 2004 году спам-бизнес в целом сформировался, и дальнейший рост доли спама в почтовом трафике был не столь стремительным: с 2004 до 2009 года она увеличилась с 75% до 85%. Прекращение роста доли спама в электронной почте может быть также связано с появлением новых интернет-площадок для спамеров, таких как блоги и социальные сети.</p> <p>Хотя количество спама в трафике в целом стабильно, мигрируют по регионам его источники. Так, в этом квартале уменьшилось количество спама, рассылаемого из Латинской Америки, зато больше спама стало рассылаться из Центральной и Восточной Европы.</p> <p>Спамеры не изобретают новые технологии и делают ставку на короткие письма, которые можно быстро распространить в большом количестве.</p> <p>Активно применяют спам-технологии мошенники и вирусописатели. Последние для рассылки вредоносных программ продолжают использовать социальные сети.</p> <p>Приятно отметить, что становится меньше SMS-мошенничества с использованием коротких номеров. Причина состоит в противодействии этому явлению операторов мобильной связи. Если бы со спамом в России более активно боролись на законодательном уровне, его стало бы меньше, и мы не наблюдали бы таких негативных явлений, как перенос спамерского контента с китайских доменов в Россию.</p> <p><strong><span style="font-style: italic"><em class="bbuline">(c) Информация предоставлена мной, лоболаторией Касперского и ВИКИ! За копирование влеплю <span style="color: red">Бан</span></em></span></strong></p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 17:54:22 +0400 http://securety.mybb.ru/viewtopic.php?pid=40#p40 http://securety.mybb.ru/viewtopic.php?pid=39#p39 <p><strong><span style="font-size: 14px">Вступление</span></strong></p> <p>Социальные сети — это область интернета, в которой сегодня засиживается почти половина всех компьютерных пользователей. Неважно, кто это — ваш босс, ваш сосед, ваш друг или подружка — все они зарегистрированы хотя бы в одной социальной сети. Но поскольку эти места общения привлекают так много людей, большинство которых пребывают в счастливом неведении о необходимости защиты своего компьютера, здесь также охотятся киберпреступники, подстерегающие неосмотрительного пользователя и готовые к немедленному броску на свою жертву.</p> <p>Угрозы могут быть самыми разными — от простой спам-рекламы, которую мы временами обнаруживаем в своем электронном почтовом ящике, до более изощренных видов интернет-мошенничества, созданных специально для кражи регистрационных данных пользователей социальных сетей или, например, для заражения компьютеров троянской программой-бэкдором. В результате пользователь не только теряет свою личную информацию и деньги, он подвергает угрозе компьютерного заражения окружающих. Важно понимать, что, став жертвой преступников, вы ставите под удар и себя, и людей, которые находятся рядом с вами. И в первую очередь — ваших друзей по социальным сетям. Обезопасьте себя! Вам нужно всего лишь самому выполнять основные требования безопасности и призывать к бдительности своих друзей.</p> <p><strong><span style="font-size: 14px">Атаки на ваших друзей: фишинг регистрационных данных</span></strong></p> <p>Одна из наименее технически опасных угроз, исходящих из мира социальных сетей, — это традиционная попытка заполучить регистрационные данные пользователей. Как мы уже видели в случаях с интернет-мошенничеством в системах онлайн-банкинга или фальшивыми уведомлениями из налогового управления США, фишеры создают сайт, копирующий регистрационную страницу сайта социальной сети, выбранной мишенью, и затем рассылают фишинговую ссылку на него по электронной почте или в сообщениях, отправленных якобы от имени самой социальной сети.</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/georg_social-networks_apr10_pic01_ru.png" alt="http://www.securelist.com/ru/images/vlill/georg_social-networks_apr10_pic01_ru.png" /></span><br /><span style="display: block; text-align: center"><strong>Рис. 1.Фишинговый сайт социальной сети Facebook</strong></span></p> <p>Безусловно, единственная функция этой страницы — перенаправить ничего не подозревающего пользователя на настоящий сайт социальной сети после того, как он введет свои регистрационные данные. Полученным логином и паролем фишер может распорядиться следующим образом:</p> <p>&#160; &#160; • продать на черном рынке;<br />&#160; &#160; • использовать для сбора дополнительной информации о жертве, зайдя в ее профиль;<br />&#160; &#160; • использовать взломанную учетную запись этой социальной сети для рассылки спама. </p> <p>Получив доступ к вашим регистрационным данным, хакер может использовать контакты вашей социальной сети: от вашего имени рассылать вашим друзьям сообщения, пользуясь доверием к вам ваших друзей; убеждать их пройти по ссылке; устанавливать вредоносные программы или заходить на фишинговые сайты.</p> <p>К счастью, эти атаки достаточно просто распознаются, поскольку такие фальшивые регистрационные страницы, как правило, не имеют действующего SSL-сертификата, а имя домена чаще всего искажено. Однако беспечные пользователи не обращают внимания на эти детали, их занимает вопрос о том, какую бы «забавную картинку» отправить своим друзьям. Но надо признать, что такие социальные сети, как Facebook, делают все, чтобы информировать участников сети об этих легко распознаваемых атаках: на специальных страницах, посвященных безопасности, их пользователи могут узнать обо всех известных угрозах. </p> <p><strong><span style="font-size: 14px">Фишинг — не единственный способ кражи паролей</span></strong></p> <p>Еще один тип угроз, который мигрировал в социальные сети из систем интернет-банкинга — это программы для кражи паролей. Они внедряют части своего кода в ваш браузер (в основном, в Internet Explorer и иногда в Firefox) для того, чтобы похитить ваши регистрационные данные до того, как они будут отправлены на сервер.</p> <p>Тем не менее, у сайта социальной сети есть действующий сертификат SSL, и на вашем браузере виден соответствующий значок. Но поскольку данные похищаются внутри браузера, то шифрование SSL-соединения между вашим компьютером и веб-сайтом не может вас защитить. Поэтому распознать эти атаки гораздо труднее, чем простые фишинговые атаки. И так как программы для кражи паролей — это вредоносное ПО, которое устанавливается локально на ваш компьютер, то самая лучшая защита от них — современное антивирусное решение.</p> <p>Если злоумышленнику удастся заполучить ваши регистрационные данные, то, скорее всего, он станет отправлять ссылки, устанавливающие программу для кражи паролей на компьютеры ваших друзей. В результате количество компьютеров-жертв будет расти как снежный ком:</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/georg_social-networks_apr10_pic02_ru.png" alt="http://www.securelist.com/ru/images/vlill/georg_social-networks_apr10_pic02_ru.png" /></span><br /><span style="display: block; text-align: center"><strong>Рис. 2. Схема распространения программы для кражи паролей в социальной сети</strong></span></p> <p>В большинстве сообщений, рассылаемых с использованием техники маскировки под законного пользователя, содержится компонент социальной инженерии, который пытается заманить жертву на определенный сайт или уговорить получателя сообщения загрузить программу на свой компьютер. Даже если вы не можете убедить своих друзей установить хорошее антивирусное решение, попросите их относится внимательнее к ссылкам, полученным от знакомых. Поскольку фишинговые атаки генерируются компьютером, будет невредно поинтересоваться у своих друзей, действительно ли они отправляли вам ссылку.</p> <p>Одним из наиболее известных и распространенных семейств вредоносных программ, применяющих такой подход, является семейство Koobface (анаграмма от Facebook), мишенью которых является не одна, а сразу несколько социальных сетей:</p> <p>&#160; &#160; • Facebook<br />&#160; &#160; • MySpace<br />&#160; &#160; • Hi5 Networks<br />&#160; &#160; • Bebo<br />&#160; &#160; • и многие другие в зависимости от варианта. </p> <p><strong><span style="font-size: 14px">Как можно стать жертвой drive-by атак</span></strong></p> <p>Иногда одного посещения вредоносного сайта достаточно, чтобы после этого обнаружить на своем компьютере неизвестно как туда попавшую вредоносную программу. Такое становится возможным потому, что иногда уязвимости вашего браузера допускают произвольное исполнение кода — даже при отключенных Java(Script) и Flash. Как только на эти сайты заходит кто-то с уязвимым браузером, заражение неизбежно, если не установлена защитная программа. Однако для начала злоумышленнику надо заманить пользователя на эту страницу. Об одном из способов злоупотребления вашей сетью доверия — отправить сообщение якобы от вашего имени, указав на сайт фишеров, — уже упоминалось выше.</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/georg_social-networks_apr10_pic03_ru.png" alt="http://www.securelist.com/ru/images/vlill/georg_social-networks_apr10_pic03_ru.png" /></span><br /><span style="display: block; text-align: center"><strong>Рис. 3. Исполнение кода в Internet Explorer</strong></span></p> <p>Другой путь, недавно освоенный хакерами, — засыпать Twitter и сайты блоггеров спамом и комментариями, содержащими ссылки на вредоносные ресурсы. В Twitter злоумышленники выбирают наиболее популярные темы дня и добавляют ссылки на вредоносные сайты в свои комментарии</p> <p>Сервисы подобные Twitter, где длина сообщений ограничена, часто используют сокращение URL. Большинство из этих сервисов не имеют функции предварительного просмотра URL, на который они, в конечном счёте, указывают, поэтому хакеры могут легко замаскировать полудоверенное имя под сокращение URL. Это ведет к дальнейшей эскалации атак. </p> <p><strong><span style="font-size: 14px">Кому доверить информацию?</span></strong></p> <p>Такие сайты, как Facebook, ВКонтакте часто разрешают третьим сторонам разрабатывать и добавлять их собственные «Приложения» в социальную сеть и в итоге к профилям пользователей. Эти приложения во многих случаях имеют полный доступ к вашим персональным данным и профилю. Участника сети просят дать согласие на использование его персональных данных и часто даже предлагают выбрать, какими именно элементами этих данных он готов поделиться. Однако приложения, использующие умную технику социальной инженерии (например, троянские программы), могут вынудить пользователя виртуально обнародовать все его персональные данные.</p> <p>К счастью, сегодня компании, подобные Facebook, знают об этой проблеме и вручную проверяют все приложения, прежде чем пустить их в свою сеть. Конечно, как и у многих других компаний, ресурсы Facebook ограничены, поэтому из 50 000 доступных на данный момент пользовательских программ не все могут быть исследованы так тщательно, как следовало бы. Поэтому весьма вероятно, что в то время пока вы любуетесь очередной фотографией милого котенка в приложении «Daily Picture», ваша личная информация находится в полном распоряжении этой программы. Горькая правда состоит в том, что в наше время любой человек, создающий такую программу, может вставить в нее бэкдор, который загружает JavaScript с сервера третьей стороны и таким образом передает на сторону все ваши персональные данные. Если хакер имеет достаточно опыта, приложение запросто может проскользнуть незамеченным мимо бдительных глаз аналитиков Facebook.</p> <p>Обычному пользователю такие атаки очень трудно обнаружить, поскольку приложения, написанные третьей стороной, могут почти полностью интегрировать себя в доверенную социальную сеть — как с точки зрения внешнего вида, так и с точки зрения функциональности. Часто даже антивирусная программа не в силах помочь, так как эти приложения исполняются на сервере Facebook, поэтому предотвращение подобных угроз является делом самой социальной сети.</p> <p><strong><span style="font-style: italic"><em class="bbuline">(с) Информацию написал я и опубликовал! За копирование <span style="color: red">Бан</span></em></span></strong></p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 14:34:26 +0400 http://securety.mybb.ru/viewtopic.php?pid=39#p39 http://securety.mybb.ru/viewtopic.php?pid=38#p38 <p>В какое замечательное время мы живем! Благодаря развитию интернета купить что-либо или оплатить услугу можно быстро и без хлопот. Комфорт такой, что позавидуешь самому себе. Не вылезая из кровати, можно приобрести не только продукты к обеду, но и яхту или дом в далекой стране, причем выбрав из максимально возможного ассортимента. Уже не редкость, когда через интернет проводятся платежи между фирмами, а обычные люди играют на бирже.</p> <p>Естественно, чтобы воспользоваться такими возможностями, необходимо авторизоваться в системе и определить счет, с которого будут перечисляться деньги.</p> <p>Деньги... Деньги… Везде, где крутятся деньги, жди появления злоумышленников, которые захотят и, что еще хуже, обязательно попробуют прикарманить их. Так получилось и в сфере электронных денег. На что только не идут жулики, чтобы заполучить чужую копейку! Но самый верный способ — это представиться системе хозяином счета. И тогда делай со средствами на счетах жертвы все, что позволено настоящему владельцу.</p> <p>Самый распространенный способ доказать системе, что у тебя есть право управлять денежным счетом, — это сообщить ей имя владельца (или номер кредитной карты, зарегистрированный псевдоним и т.п.) и правильный пароль (пин-код, кодовое слово и т.п.). Этого достаточно, чтобы система «узнала» пользователя. Но как заполучить вожделенные персональные данные пользователя? У злоумышленников в руках имеется такой эффективный инструмент, как троянская программа. С помощью этой «фомки» можно добыть практически любую информацию о пользователе, причем так, что тот даже не заподозрит хищения данных. </p> <p><strong><span style="font-size: 14px">Зловредные шпионы</span></strong></p> <p>Подхватить вредоносную программу на необъятных просторах интернета довольно просто (конечно, если не соблюдать меры предосторожности). В программных продуктах и в самой операционной системе в силу их сложности часто встречаются недоработки, которые не проявляются при обычной, плановой работе программы, но приводят к критическим ошибкам в нештатных ситуациях — например, при работе с данными, которые не были учтены разработчиками. Такие ошибки можно использовать для того, чтобы запустить в системе пользователя вредоносную программу. Вредоносные программы могут быть разными, но троянцы являются самой распространенной их разновидностью.</p> <p>Беспечно нажав на ссылку, например, в письме или сообщении ICQ, или зайдя на незнакомый (а иногда и на хорошо известный, но оказавшийся взломанным) сайт, можно загрузить на свой компьютер вредоносную программу, которая скрытно укрепится в системе и будет тайно делать свою грязную работу. Для того чтобы пользователь принял действия зловреда за действия легальной и полезной программы, троянец либо внедряется в системные службы, выполняя свой код внутри них, либо работает под маской какой-нибудь нужной системной службы.</p> <p>Начав действовать в вашей системе, троянская программа чувствует себя довольно вольготно (вернее, чувствовала бы, не будь антивирусного щита). В ее задачу вполне может входить и «подглядывание» за действиями пользователя, за работой программ, которые пользователь запускает, за данными, которые пользователь вводит или получает.</p> <p>Одним из самых опасных троянцев-шпионов, орудующих на компьютерах пользователей, является троянец, который в Сети известен под названием ZBot. Это название он получил от первой буквы авторского имени троянца «ZeuS» и слова «bot» (бот), что означает сетевого робота программу, автономно решающую поставленную задачу. В данном случае эта задача — кража персональных данных пользователя.</p> <p><strong><span style="font-size: 12px">Умелые и опасные</span></strong></p> <p>Троянские программы семейства ZBot (ZeuS) появились в 2007 году. Благодаря простоте конфигурации и удобству использования для кражи веб-данных, ZeuS стал одной из самых распространяемых и продаваемых программ-шпионов на черном рынке интернета.</p> <p>Давайте уточним, чем же конкретно опасен этот троянец. Вот беглое описание того, что делает эта программа, попав в систему жертвы:</p> <p>&#160; &#160; • Все, что вы «запоминаете» на компьютере (например, ставя галочку «Сохранить пароль»), становится доступным и для троянца, будь то логины, пароли или какие-то другие данные, например, для автозаполнения полей на веб-страничках.<br />&#160; &#160; • Даже если вы ничего не отмечали для запоминания, троянец следит за тем, какие клавиши вы нажимаете, и введенная последовательность символов, которая дает допуск к вашим деньгам, будет «подсмотрена» и отправлена злоумышленникам.<br />&#160; &#160; • Чтобы избежать «подсматривания» вводимых с клавиатуры данных, на сайтах зачастую используется такой инструмент, как виртуальная клавиатура. При вводе пароля вы щелкаете левой кнопкой мыши по клавишам клавиатуры, которая отображается на экране монитора. В этом случае ZeuS включает другой механизм перехвата данных пользователя: как только вы нажимаете левую кнопку мыши, ZeuS запоминает картинку — область экрана вокруг курсора, — так что злоумышленник будет знать, какие клавиши вы выбирали на экране мышкой.<br />&#160; &#160; • ZeuS контролирует все данные, проходящие через ваш браузер. Если вы попытаетесь открыть веб-страницу, адрес которой присутствует в файле конфигурации ZeuS, троянец может изменить скачанный код страницы до того, как вы увидите ее в окне браузера. Как правило, изменение представляет собой добавление новых полей для ввода личных и секретных данных. Ну попросил у вас банк (а вы же уверены, что находитесь на сайте банка), кроме пользовательского пароля, ввести еще и ваш пин-код для карты — отчего не ввести? Но это уловка мошенника! Запрос пин-кода добавил ZeuS, а в изначальном коде странички банка такого запроса не было! Введенный пин-код троянец перехватывает и отправляет своему хозяину.<br />&#160; &#160; • Некоторые сайты, когда вы регистрируетесь на них, создают на вашем компьютере специальные цифровые подписи, достоверность которых проверяется при последующих посещениях. Такие подписи называются сертификатами. Если ваш браузер не предоставит сайту соответствующего сертификата, сайт не даст вам полноценного доступа. На зараженном компьютере ZeuS находит такие сертификаты безопасности, крадет их и пересылает злоумышленнику.<br />&#160; &#160; • Если злоумышленнику понадобится ваш компьютер как инструмент для совершения противозаконных действий (например, для рассылки спама), то ZeuS предоставит своему хозяину возможность установить на зараженной машине все необходимое для этого программное обеспечение. </p> <p>Итак, в случае заражения вашего компьютера троянцем ZeuS, если у вас есть что взять, то преступник вас ограбит. Если взять у вас нечего, злоумышленник вряд ли расстроится — в любом случае у него будет возможность использовать ваш компьютер в своих преступных целях.</p> <p>Зараженные компьютеры, связанные с одним «хозяином», составляют так называемый ботнет, или зомби-сеть. Злоумышленник управляет попавшимися в его сети компьютерами, как кукловод марионетками. Пользователи могут даже не догадываться, что с их компьютеров рассылается спам, что злоумышленник использует их выход в интернет, чтобы скрыть свою точку доступа во всемирную паутину. Месяцами жертвы могут пребывать в блаженном неведении, что их компьютеры участвуют в преступных махинациях . </p> <p><strong><span style="font-size: 14px">Изменчивые и популярные</span></strong></p> <p>ZeuS — это очень эффективное средство, как для сбора данных, так и для организации ботнета, который можно использовать в различных киберкриминальных целях. Именно этим и обусловлена популярность этой вредоносной программы у киберпреступников.</p> <p>Сегодня практически каждый, у кого созрел злой умысел, может приобрести себе экземпляр троянской программы ZeuS, без особого труда настроить файл конфигурации по своему усмотрению и зашифровать своим уникальным способом, чтобы скрыть алгоритм от антивирусов. Покупая программу, можно даже заказать экземпляр с дополнительными опциями, которых нет в базовой комплектации. Распространение ZeuS прочно встало на коммерческие рельсы.</p> <p>Давайте посмотрим, как развивалась его популярность. График отображает количество обнаруженных новых вариаций (самплов) в месяц.</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/dmitry_tarakanov_zeus_pic01.png" alt="http://www.securelist.com/ru/images/vlill/dmitry_tarakanov_zeus_pic01.png" /></span></p> <p> Однако в руках хакеров оказался конструктор ZeuS. Модификациями и распространением новых версий троянца начали заниматься предприимчивые киберпреступники. Начиная с октября 2007 года количество появляющихся версий ZeuS стало расти. В 2008 году троянец нашел свою постоянную клиентуру: до сентября никакого всплеска или падения активности не наблюдалось, ежемесячно появлялось порядка пятисот новых модификаций ZeuS.</p> <p>Заметный рост популярности ZeuS в конце 2008 года, скорее всего, связан с экономическим кризисом. Многие программисты, да и просто опытные пользователи, оказались из-за кризиса без работы. В такие моменты очень велико искушение пойти по кривой дорожке. Естественно, кто-то из этих безработных решил попробовать свои силы на поприще интернет-мошенничества. Ну и на кого выйдет такой сбившийся с пути гражданин? Скорее всего, на продавца уже зарекомендовавшего себя ZeuS.</p> <p>Максимальные показатели ZeuS продемонстрировал в мае 2009 года: 5079 модификаций. Только вдумайтесь в эту цифру — более 5000 вариаций одного троянца в месяц! Это просто бестселлер какой-то. Благо способы шифрования кода программы в большинстве случаев уже известны, так что «узнавание» их антивирусными системами и занесение в антивирусные базы происходит автоматически.</p> <p>Однако вирусописатели постоянно модернизируют алгоритмы шифрования, что усложняет анализ программы. Так, в начале 2009 года, видимо почувствовав повышенный спрос на ZeuS, вирусописатели подвергли первоначальную версию этого троянца качественному изменению. В частности, был усовершенствован алгоритм шифрования, как кода программы, так и файла конфигурации.</p> <p>ZeuS регулярно меняет свой вид и, уже находясь в зараженной системе, обновляется с меняющихся интернет-адресов. Для пользователей, на компьютеры которых загрузились новые версии троянца, толку от «противоядия» для предыдущих версий будет немного. Поэтому необходимо как можно быстрее реагировать на обновления ZeuS. Оперативность в данном случае имеет очень большое значение — аналитики антивирусных компаний должны денно и нощно стоять на страже, и в случае появления нового алгоритма, с которым не справляется система, немедленно создать защиту от очередной модификации вредоносной программы.</p> <p>С момента появления первой версии ZeuS и по настоящее время зафиксировано более сорока тысяч разновидностей этой троянской программы. По количеству различных вариаций, по количеству адресов, куда стекаются данные для злоумышленника и откуда отправляются команды на зомби-компьютеры (такие адреса называются центрами управления), ZeuS занимает одну из лидирующих позиций среди незаконного ПО.</p> <p><strong><span style="font-size: 14px">Масштабы заражений</span></strong></p> <p>Чтобы понять масштабы заражений ZeuS, приведем некоторые данные о количестве инфицированных этим зловредом компьютеров, находящихся под контролем злоумышленников.</p> <p>В 2009 году в США был опубликован отчет о том, что на территории этой страны было обнаружено около 3,6 млн машин, зараженных ZeuS. Это, конечно, предположительная оценка — их могло быть много больше. Реальное число зараженных машин оценить практически невозможно, поскольку неизвестно, сколько еще инфицированных компьютеров, особенно домашних пользователей, остались не выявленными.</p> <p>В начале 2009 года произошло странное событие: порядка 100 тысяч компьютеров одновременно вышли из строя — не загружалась система. Как впоследствии выяснилось, эти компьютеры были объединены в ZeuS-ботнет , из командного центра которого была послана команда на уничтожение операционной системы пользователей (да-да, ZeuS и это умеет). Аналитики гадали, почему же это произошло. Версий было две: либо кто-то из хакеров взломал центр управления ботнета и, чтобы насолить владельцу зомби-сети, послал такую команду зараженным компьютерам; либо после того, как хозяин ботнета получил с зараженных машин нужную ему информацию, он сам послал команду на уничтожение системы. Во втором случае расчет злоумышленника мог быть на то, что пока пользователи возятся с восстановлением системы, у него будет дополнительное время на снятие чужих средств с помощью украденных данных. Однако, скорее всего, события происходили по первому сценарию. И вот почему: в это же время на одном из хакерских форумов некий владелец ZeuS-ботнета просил совета, как защитить свой ботнет от несанкционированного доступа. Он потерял свою сеть из сотни тысяч зараженных машин после того, как какой-то хакер взломал командный центр ботнета (такие события, впрочем, в этих кругах происходят регулярно). Что поразило — киберпреступника не очень расстроил тот факт, что он потерял контроль над сотней тысяч компьютеров, потому что он быстро организовал еще две зомби-сети — одну из тридцати тысяч, вторую из трех тысяч зараженных машин.</p> <p>Самая последняя обнаруженная крупная сеть зомби-машин, зараженных ZeuS, — это так называемый Кнеберовский ботнет. В феврале 2010 года американская компания NetWitness, занимающаяся решениями в области корпоративной безопасности, сообщила о выявлении в 2500 организациях из 196 стран мира инфицированных ZeuS машин. Всего было обнаружено 76 тысяч зараженных компьютеров, и все они были связаны с интернет-адресами, зарегистрированными на одного человека, — Хилари Кнебер (это, конечно, псевдоним).</p> <p>И это только верхушка айсберга. Единичные случаи выявления ботнетов, объединяющих сотни тысяч зараженных компьютеров, позволяют предположить, что реальные масштабы заражений этим троянцем по всему миру исчисляются многими миллионами.</p> <p><strong><span style="font-size: 14px">Доменные пристрастия</span></strong></p> <p>В каждом файле конфигурации ZeuS указываются интернет-адреса, за которыми следит троянец, находясь в системе жертвы. Как только пользователь заходит на отмеченную в файле конфигурации страничку и вводит свои данные, ZeuS перехватывает их и пересылает злоумышленнику.</p> <p>Мы проанализировали около трех тысяч файлов конфигурации ZeuS, подсчитали, с какой частотой встречаются в них те или иные интернет-адреса.</p> <p>При распределении адресов по доменам верхнего уровня выявились следующие лидеры:</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/dmitry_tarakanov_zeus_pic02.png" alt="http://www.securelist.com/ru/images/vlill/dmitry_tarakanov_zeus_pic02.png" /></span><br /><span style="font-size: 12px"><strong>Самые популярные домены верхнего уровня, на которые нацелен ZeuS</strong></span></p> <p>Лидируют, естественно, международные домены .org и .com, на которых располагаются сайты организаций и большинства крупнейших компаний.</p> <p>Какие же конкретно сайты интересны ZeuS в зоне .com? На каких сайтах вредоносная программа пытается перехватить вводимые владельцем зараженного компьютера персональные данные? Среди интернациональных сайтов в лидеры вышли 14 адресов:</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/dmitry_tarakanov_zeus_pic03.png" alt="http://www.securelist.com/ru/images/vlill/dmitry_tarakanov_zeus_pic03.png" /></span><br /><span style="font-size: 12px"><strong>Самые популярные международные сайты домена .com, на которые нацелен ZeuS </strong></span></p> <p>Лишь 3 из 11 наиболее популярных у злоумышленников ресурсов в зоне .com не связаны напрямую с банками — это интернет-услуги коммерческой направленности. Paypal.com связывает виртуальные деньги, которыми можно расплатиться в интернете, с реальными через кредитные или дебетные карты. E-gold.com так же, как и paypal.com, создает пользователю учетную запись с виртуальными платежными единицами, которые можно использовать во Всемирной паутине как средство финансовых расчетов, только связывает эти единицы с ценами на золото и другими драгметаллами. Ebay.com, очень популярная система интернет-аукционов, также работает с помощью учетных записей — счетов, на которых пользователи располагают свои средства для участия в аукционах. Остальные — это сайты трансконтинентальных банков, в которых реализована услуга интернет-банкинга (управление своим банковским счетом через интернет), или вспомогательные сервисы банков.</p> <p>Самые популярные у злоумышленников национальные домены, как оказалось, принадлежат Испании и Великобритании. По количеству сайтов, предлагающих услуги по управлению деньгами через интернет и находящихся под пристальным вниманием злоумышленников, эти страны заметно выделяются: в каждой порядка 20 одинаковых по популярности, в основном банковских, интернет-адресов, в то время как в остальных странах в лидеры, как правило, выбивается всего несколько сайтов.</p> <p>Но не следует думать, что в Испании и Великобритании больше всего киберпреступников. Известно, что интернет-мошенникам удобнее красть деньги у граждан или организаций другой страны, так как полиция страны, на территории которой произошла кража, неминуемо столкнется с юридическими проблемами, когда попытается добраться до злоумышленника в другом государстве. </p> <p><strong><span style="font-size: 14px">Российские особенности</span></strong></p> <p>В рейтинге доменов верхнего уровня российский сегмент занял пятое место. Скорее всего, Россия оказалась в пятерке лидеров не из-за плохой защищенности сайтов и компьютеров пользователей, а из-за развитости и широкого использования интернет-сервисов финансового характера. Это и манит в первую очередь злоумышленников — малопосещаемые сайты их не интересуют.</p> <p>В отличие от других стран, где под прицел злоумышленников в основном попадают интернет-адреса банков, в файлах конфигурации ZeuS встречаются российские сайты самой различной специализации (естественно, связанной с деньгами).</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/dmitry_tarakanov_zeus_pic04.png" alt="http://www.securelist.com/ru/images/vlill/dmitry_tarakanov_zeus_pic04.png" /></span><br /><span style="font-size: 12px"><strong>Самые популярные сайты домена .ru, на которые нацелен ZeuS </strong></span></p> <p>На необъятных просторах нашей Родины очень распространена такая услуга, как интернет-кошелек. По всей стране работают терминалы, практически на каждом углу стоят аппараты с купюроприемниками. И львиную их долю составляют терминалы Объединенной системы моментальных платежей (ОСМП), она же платежная система QIWI. К 2009 году в России было 118 тысяч точек приема платежей QIWI. Такая распространенность определила и порядок сумм, которые стали проходить через эту систему. В 2008 году годовой оборот составил 7,2 млрд. долларов США. Это, естественно, не могло остаться незамеченным для злоумышленников, падких на чужие деньги: интернет-адрес ОСМП встречается в большинстве файлов конфигурации ZeuS. Вредоносные программы, оказавшись на компьютере пользователя Объединенной системы моментальных платежей, перехватывают вводимые пароли и отсылают их своему хозяину, когда пользователь заходит в личный кабинет для управления своим виртуальным кошельком.</p> <p>Но ОСМП не единственная компания, которая имеет такую широкую терминальную сеть. Практически аналогичный сервис (но, видимо, пока еще не такой популярный) — это W1 «Единый кошелек». В настоящее время W1 может похвастаться 150 тысячами установленных терминалов, через которые можно пополнить интернет-кошелек этой системы. Адрес этого сайта (w1.ru) стал появляться в файлах конфигурации ZeuS не так давно, но уже попал в топ нашей статистики и продолжает набирать очки. Надо признать, злоумышленники оперативно реагируют на появление новых денежных интернет-сервисов или рост их популярности.</p> <p>Еще два очень популярных в России сервиса, предоставляющих услуги интернет-кошельков, — это Яндекс.Деньги и WebMoney. У этих сервисов нет своих терминалов, как у ОСМП и W1, зато платежи с этих интернет-кошельков принимает гораздо больше сайтов в Рунете (и не только).</p> <p>Финансовая группа РБК, которой принадлежит портал rbkmoney.ru (ранее этот сервис находился по адресу rupay.com), компания «Манимейл» (moneymail.ru) с лозунгом «Деньги и кредиты по e-mail», система электронных платежей «ASSIST» — это тоже крупные игроки на рынке электронной коммерции, предоставляющие услуги интернет-расчетов в российском сегменте интернета. Множество злоумышленников пытаются получить персональные данные пользователей этих сервисов с помощью ZeuS.</p> <p>Попал под прицел киберпреступников и сайт paymentgate.ru, который является адресом системы компании RBS, ориентированной на работу с интернет-магазинами. Через эту систему зарегистрированные интернет-магазины проводят платежи с пластиковых карт пользователей. Как видим, с помощью ZeuS можно добраться не только до счетов покупателей, но и до данных, которые проходят через коммерческие фирмы, в данном случае — интернет-магазины.</p> <p>Сайт финансовой группы БКС, крупнейшей компании российского рынка брокерских услуг, также оказался в первых строчках нашей статистики по России. Напомню, что злоумышленников, использующих ZeuS, интересует далеко не в последнюю очередь популярность портала. Неужели в нашей стране столько профессиональных брокеров? Вряд ли. Скорее всего, дело в раскручиваемой в последнее время игре на интернет-бирже. Обычный человек, зарегистрировавшись и пополнив свой счет, может начать скупать и продавать акции на интернет-бирже. Эту услугу предоставляет сайт вышеупомянутой компании — раздел БКС-форекс. Отсюда и популярность ресурса. Но не стоит забывать и про профессионалов, которые используют интернет-технологии для ведения бизнеса, на них также рассчитывают злоумышленники, когда добавляют bcs.ru в список сканируемых ZeuS адресов.</p> <p>В России интернет-банкинг пока не получил широкого распространения. Только Альфа-Банк, Citibank и Промсвязьбанк (с адресом payment.ru) преуспели в привлечении своих клиентов к активному использованию этой услуги. Этим и обусловлено появление адресов этих банков во многих файлах конфигурации ZeuS (адреса остальных банков появляются, конечно, но эти появления «единичные»). Глядя на страны Запада, можно предположить, что, скорее всего, со временем услуга интернет-банкинга будет широко использоваться и в России, и тогда внимание злоумышленников, естественно, привлечет гораздо больше сайтов российских банков.</p> <p><strong><span style="font-size: 14px">Источники беды</span></strong></p> <p>Попутно с адресами-мишенями мы собирали статистику и по интернет-адресам, с которых происходит заражение троянцем, и куда стекается украденная информация. Проанализировав данные, мы составили карту распространения таких вредоносных серверов.</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/dmitry_tarakanov_zeus_pic005s.png" alt="http://www.securelist.com/ru/images/vlill/dmitry_tarakanov_zeus_pic005s.png" /></span><br /><span style="font-size: 12px"><strong>Карта распространения вредоносных серверов ZeuS</strong> </span></p> <p>Как видно, вредоносные адреса разбросаны по миру. Но чаще всего злоумышленники размещают свои серверы у европейских, североамериканских, российских и китайских провайдеров. Это и понятно — в этих регионах лучше всего развита сфера предоставления услуг хостинга.</p> <p><span style="display: block; text-align: center"><img class="postimg" loading="lazy" src="http://www.securelist.com/ru/images/vlill/dmitry_tarakanov_zeus_pic06.png" alt="http://www.securelist.com/ru/images/vlill/dmitry_tarakanov_zeus_pic06.png" /></span><br /><span style="font-size: 12px"><strong>Регионы, в которых размещено наибольшее количество центров управления ZeuS</strong></span></p> <p>Чаще всего по файлам конфигурации невозможно установить, откуда сам злоумышленник, но это, скорее всего, и не имеет значения, так как «вирусописатель» — уже давно понятие, не знающее никаких границ и национальных различий. Швед, китаец или аргентинец, сидя в кафе где-нибудь в Гонолулу, запросто может зарегистрировать сайт в домене .ru (например, microsoftwindowsxp.ru), который на самом деле будет размещен на сервере у итальянского провайдера.</p> <p><strong><span style="font-size: 14px">Способы защиты</span></strong></p> <p>Напоследок опишем простые способы защиты от троянской программы ZeuS. Они ничем не отличаются от стандартных правил «гигиены» в интернете.</p> <p>Ни в коем случае не проходите по незнакомым ссылкам, которые навязывают вам неизвестные люди. Как правило, ссылки на вредоносные программы приходят в сообщениях ICQ (или других клиентов) или в письмах электронной почты. Злоумышленники — неплохие психологи и пользуются вашими слабостями и вашей доверчивостью, чтобы заманить вас на свой вредоносный сайт. Нередко они маскируют адреса под название какого-нибудь известного легального портала, например, просто поменяв местами две буквы: hxxp://www.vkontkate.ru. Этот прием нам хорошо знаком из не такого далекого прошлого, когда в ходу были спортивные костюмы «Abibas» и магнитофоны «Panascanic». Будьте внимательны и не теряйте бдительность. Не дайте негодяям себя облапошить!</p> <p>В сообщениях можно увидеть нейтральный текст, который мог прислать, в том числе, и ваш знакомый или знакомая, например, «Привет! Как съездил на выходных? А у меня для тебя новость! Зайди и почитай, обалдеешь: <a href="http://rss.lenta-news.ru/subj/vesti.exe»." rel="nofollow" target="_blank">http://rss.lenta-news.ru/subj/vesti.exe».</a> Обратите внимание на расширение открываемого файла «exe» — это исполняемый файл ОС Windows. И ссылка ведет вас не на новостной сайт, как может показаться на первый взгляд, а запускает программу с вредоносного интернет-адреса! Но не только исполняемые файлы несут угрозу — это могут быть и документы формата .pdf (Adobe Reader), .ppt (Microsoft Office), .swf (Adobe Flash) и другие. Такие документы имеют довольно непростую структуру, что требует сложных программных вычислений при их открытии. Кроме того, разработчиками предусмотрен механизм добавления в них кода программы (тот же javascript, например). Подобранные злоумышленником в таких документах данные могут вызвать ошибку в программе, открывающей файлы таких форматов, а это даст возможность запустить вредоносный код на вашей машине. Если у вас установлен антивирус с последними обновлениями, и вы постоянно обновляете установленные на вашем компьютере программы, то вы в немалой степени защищены: есть неплохой шанс, что программа/документ будет-таки определена как вредоносная, и ее запуск/открытие заблокируется, или уязвимость в программном обеспечении вовремя будет исправлена разработчиками, и у вас вовремя произойдет обновление.</p> <p>В письмах, документах Microsoft Word и подобных или на сайтах настоящая ссылка вообще может быть скрыта от ваших глаз, а будет отображено только описание к ссылке, а тут уж пиши, что душе угодно, лишь бы привлечь внимание потенциальной жертвы. В таких случаях настоящий адрес появляется, как правило, во всплывающей подсказке (хотя и ее можно подделать) при наведении курсора мыши на ссылку, или внизу окна браузера. Если же адрес нигде сразу не отображается, попробуйте просмотреть свойства ссылки. Если вы не уверены, куда ведет ссылка, лучше всего воздержаться от перехода по ней.</p> <p>Вам удобно работать в своей операционной системе? Она многое за вас помнит, многое позволяет, легко предоставляет доступ к данным, не надоедает вопросами о подтверждении действий, не спрашивает по 100 раз пароли. Вам нравится простота и удобство интернет-браузера? Вот так же комфортно чувствует себя в вашей системе и любая запущенная в ней программа. А если эта программа вредоносная, то ваш комфорт оборачивается против вас: преступнику предоставляется тот же легкий доступ к данным, который вы определили для себя в ущерб безопасности. Все, что знает, например, ваш браузер, узнает и зловред. Как это ни печально, но на настоящий момент дела в большинстве случаев обстоят так: за удобство приходится платить повышенной уязвимостью. Старайтесь не доверять запоминание паролей программам.</p> <p>Рекомендуется также отключить в интернет-браузере выполнение Javascript и запуск программ и файлов в окне iframe/frame. Это, конечно, ограничит возможности вашего обозревателя, но здесь надо делать выбор: или удобство и красота, или безопасность. (Javascript лучше отключить и в программе Adobe Reader, которая открывает файлы формата pdf.) В любом случае, можно же включить эти возможности на доверенных сайтах и документах, правда?</p> <p>В настоящее время распространено два способа, которые обеспечивают неплохую безопасность при интернет-расчетах. Первый: система, кроме соответствия логина и пароля, требует подтверждения операций по телефону, то есть имеется привязка к номеру телефона. Это очень усложнит нелегальный доступ к вашим деньгам. В дополнение к вашему логину и паролю злоумышленнику потребуется стащить у вас еще и телефон, что через интернет сделать довольно проблематично (или создать копию вашей сим-карты, что вообще из области фильмов про шпионов). Странно, что этим простым способом подтверждения пренебрегает большинство сервисов. Второй способ чаще используется банками, когда пользователю (клиенту банка) выдается брелок (usb-устройство), который подключается к компьютеру и в случае необходимости подтверждает системе, что это именно клиент соединяется с системой интернет-банкинга. Но тут надо напомнить, что не все такие брелоки одинаковые. На заре использования usb-брелоков были случаи, когда злоумышленникам удавалось взломать простенькие системы безопасности, использующие подход с usb-устройствами.</p> <p>Ну и в завершение хотим пожелать вам безопасного серфинга в интернете с использованием тех возможностей, которые предоставляет эта технология. Только будьте начеку и не теряйте здравого смысла — в общем, все, как в реальной жизни. Удачи!</p> <p><strong><span style="font-style: italic"><em class="bbuline">(с) Информаниция принадлжит ВИКИ! Кто скамунисдит ее у нас на форуме влеплю вечный бан по внутренему ip</em></span></strong></p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 14:25:54 +0400 http://securety.mybb.ru/viewtopic.php?pid=38#p38 http://securety.mybb.ru/viewtopic.php?pid=29#p29 <p>Применение следующих практических советов позволит организациям сориентироваться в разнообразных методах упреждения кражи данных и смягчить риск утечки информации:</p> <p><strong><span style="font-size: 14px">1. Периодически проводите аудит рисков ИТ-безопасности</span></strong></p> <p>Для компаний крайне сложно определить правильный баланс между доверием к своим сотрудниками и защитой от них же. Компания должна ограждать себя от внутренних взломов наравне со внешними посягательствами путём следования принципам управления информационными рисками:</p> <p>&#160; &#160; • первоначально нужно оценить имеющуюся инфраструктуру, определить критические информационные активы;<br />&#160; &#160; • установить текущие возможные угрозы и уязвимости, т.е. создать модель угроз для компании;<br />&#160; &#160; • оценить возможные денежные убытки вследствие утечки;<br />&#160; &#160; • выработать стратегию управления, продумать план немедленного реагирования. </p> <p>Важно помнить, что избежать риска полностью нельзя. Уменьшение риска означает нахождение золотой середины между безопасной работой компании и эффективностью бизнеса.</p> <p><strong><span style="font-size: 14px">2. Обучайте ваших сотрудников основам информационной безопасности</span></strong></p> <p>В компании должна присутствовать и развиваться культура обучения сотрудников основам информационной безопасности.</p> <p>В компании должна присутствовать и развиваться культура обучения сотрудников основам информационной безопасности. Сотрудники должны понимать, что такое политики, процедуры и зачем их надо соблюдать при работе, какие средства защиты используются в сети. Первая линия защиты от инсайдеров — это информированные сотрудники.</p> <p><strong><span style="font-size: 14px">3. Разграничивайте должностные обязанности и привилегии доступа к данным</span></strong></p> <p>Если все сотрудники компании достаточно хорошо обучены принципам безопасности, и ответственность за критические функции распределена между сотрудниками, вероятность сговора между людьми с целью кражи ценных сведений резко снижается. Таким образом, эффективное разграничение бизнес-обязанностей и привилегий при работе с информацией приводит к тому, что каждый работает только с теми документами, с которыми должен. Не забывайте, что максимальное количество процедур должно быть автоматизировано.</p> <p><strong><span style="font-size: 14px">4. Введите строгие политики управления учетными записями и паролями</span></strong></p> <p>Несмотря на то, что все сотрудники компании лояльны и крайне бдительны, если учетные записи в компьютерной сети будут скомпрометированы, инсайдер получит в свои руки все инструменты подмены своих действий и сможет украсть данные и, при этом, не засветиться.</p> <p><strong><span style="font-size: 14px">5. Усильте аутентификацию и авторизацию в сетях</span></strong></p> <p>Пользователи, работающие с важными данными, должны пройти аутентификацию и авторизацию при доступе к информационным ресурсам. Не пренебрегайте простыми и старыми способами защиты информации, но также внедряйте все более совершенные средства, особенно анти-инсайдерские средства «последнего эшелона».</p> <p><strong><span style="font-size: 14px">6. Аккуратно деактивируйте несуществующих пользователей</span></strong></p> <p>Когда сотрудник увольняется из организации, необходимо внимательно следовать установленным процедурам увольнения и закрывать вовремя доступ ко всем информационным ресурсам, чтобы пресечь естественное желание человека скопировать свой жесткий диск, закатать несколько CD со своими рабочим документами и более того, оставить за собой, к примеру, удаленный доступ к почтовому серверу, чего нельзя допустить ни в коем случае.</p> <p><strong><span style="font-size: 14px">7. Проводите мониторинг и сбор логов действий сотрудников в режиме реального времени</span></strong></p> <p>Наряду с доверием к сотрудникам не пренебрегайте мониторингом подозрительной и опасной активности, которая может иногда возникать на рабочих местах пользователей.</p> <p>Наряду с доверием к сотрудникам не пренебрегайте мониторингом подозрительной и опасной активности, которая может иногда возникать на рабочих местах пользователей. К примеру, сильно увеличился внутренний сетевой трафик, возросло количество запросов к корпоративной базе данных, сильно увеличился расход тонера или бумаги. Эти и многие другие события должны фиксироваться и разбираться, так как за ними также может скрываться атака или подготовка к атаке на чувствительные данные.</p> <p><strong><span style="font-size: 14px">8. Внимательно проводите внешний мониторинг системных администраторов и привилегированных пользователей</span></strong></p> <p>Обычно в компаниях производят выборочный мониторинг пользователей, используя средства удаленного рабочего стола, URL-фильтрации и систем подсчета трафика, но также важно не забывать, что и ответственный может быть в сговоре и осуществлять кражу данных. Поэтому эффективная защита от инсайдера должна находиться выше привилегированных пользователей и системных администраторов.</p> <p>Помимо этих простых практических советов, следует:</p> <p>&#160; &#160;9. Активно защищаться от вредоносного кода хорошими антивирусными продуктами, использующими не только реактивные (сигнатурные) методы, но и предупреждающие проактивные технологии.<br />&#160; 10. Использовать защиту от удаленных атак и попыток взлома. Желательно, чтобы защита была многоуровневая: хотя- бы на уровне контроля пользовательских приложений и на уровне сетевых пакетов.<br />&#160; 11. Внедрять резервное копирование и процедуры восстановления данных. В случае компрометации данных, всегда есть возможность восстановить исходные данные. </p> <p>Особенно важно использовать защиту с помощью средств «последнего эшелона»:</p> <p>&#160; 12. Осуществляйте контентную фильтрацию исходящего сетевого трафик. Электронная почта, быстрые сообщения ICQ, веб- почта, постинги на форумы, блоги и другая интернет- активность должна проверяться на предмет утечек данных.<br />&#160; 13. Установите политики работы с периферийными, сменными и мобильными устройствами, на которые можно записать и унести конфиденциальный документ (FDD, CD/DVD RW, Cart Reader), присоединяемых по различным шинам (USB и PCMCIA). Важно не забыть и беспроводные сети (IrDA, Bluetooth, WiFi).<br />&#160; 14. Проверяйте поток документов, отсылаемых на печать, чтобы предотвратить кражу документов в твердой копии.<br />&#160; 15. Фильтруйте все запросы к базам данных на наличие в них опасных, извлекающих секретные сведения, запросы.<br />&#160; 16. Шифруйте критическую информацию на блочных устройствах и на ноутбуках. </p> <p><strong><em class="bbuline"><span style="font-style: italic">(с) Иформация принадлежит мне! Закопирование Бан</span></em></strong></p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 02:30:36 +0400 http://securety.mybb.ru/viewtopic.php?pid=29#p29 http://securety.mybb.ru/viewtopic.php?pid=28#p28 <p>Ключевым персонажем в инциденте, связанным с утечкой информации, является инсайдер — конкретный человек. Существует несколько основных портретов таких людей.</p> <p><strong><span style="font-size: 14px">Халатный инсайдер</span></strong></p> <p>«Халатный» инсайдер является наиболее распространенным типом внутреннего нарушителя. Как правило, такие сотрудники соответствуют образу служащего рядового состава, часто крайне невнимательного. Его нарушения в отношении конфиденциальной информации носят немотивированный характер, не имеют конкретных целей, умысла, корысти.</p> <p>Эти сотрудники создают незлонамеренные ненаправленные угрозы, т.е. они нарушают правила хранения конфиденциальной информации, действуя из лучших побуждений. Самые частые инциденты с такими нарушителями — вынос информации из офиса для работы с ней дома, в командировке и т.д., с дальнейшей утерей носителя или доступом членов семьи к этой информации. Несмотря на добрые намерения, ущерб от таких утечек может быть ничуть не меньше, чем от промышленных шпионов. Столкнувшись с невозможностью осуществить копирование информации, этот тип нарушителей будет действовать по инструкции — обратится за помощью к коллегам или системному администратору, которые объяснят ему, что вынос информации за пределы офиса запрещен. Поэтому против таких нарушителей действенными являются простые технические средства предотвращения каналов утечек — контентная фильтрация исходящего трафика в сочетании с менеджерами устройств ввода-вывода.</p> <p><strong><span style="font-size: 14px">Манипулируемый инсайдер</span></strong></p> <p>Экс-хакер Кевин Митник, ныне называющийся «консультантом по вопросам IT-безопасности», считает, что именно социальная инженерия сегодня является «бичом» информационных систем.</p> <p>Последние годы термин «социальная инженерия» чаще всего используется для описания различных типов мошенничества в сети. Однако манипуляции используются не только для получения обманным путем персональной информации пользователей — паролей, пин-кодов, номеров кредитных карт и адресов. Экс-хакер Кевин Митник, ныне называющийся «консультантом по вопросам IT-безопасности», считает, что именно социальная инженерия сегодня является «бичом» информационных систем. Примеры, которые приводит Митник в своей книге, показывают, например, что «добросовестная» секретарша, действуя по принципу «хотели как лучше, получилось как всегда», может по просьбе злоумышленника «для надежности» продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик. Распространенный сценарий такого инцидента выглядит следующим образом. В офисе раздается звонок от директора существующего филиала, который весьма уверенно и открыто представляется, исключительно правдоподобно описывает проблему, связанную с невозможностью доставки почты в филиальную сеть (временные технические сложности, конечно) и просит переслать ему некоторую информацию на его личный ящик где-нибудь в публичной почтовой службе. У сотрудника даже не возникает подозрения, что звонивший совсем не является тем, кем он представился, настолько убедительно звучали его слова. И в считанные минуты на указанный адрес отправляется запрошенная информация, представляющая строго конфиденциальные данные. Кем на самом деле был звонивший — остается только догадываться. Ясно одно, что он был очень заинтересован в получении этих данных. И ясно, что не в самых благих целях.</p> <p>Поскольку манипулируемые и халатные сотрудники действуют из своего понимания «блага» компании (оправдываясь тем, что иногда ради этого блага нужно нарушить «дурацкие» инструкции, которые только мешают эффективно работать), два этих типа нарушителей иногда объединяют в тип «незлонамеренных». Но ущерб не зависит от намерений, зато от намерений зависит поведение нарушителя в случае невозможности осуществить действие. Как лояльные сотрудники, эти нарушители, столкнувшись с техническим блокированием их попыток нарушить регламенты хранения и движения информации, обратятся за помощью к коллегам, техническому персоналу или руководству, которые могут указать им на недопустимость планируемых действий.</p> <p><strong><span style="font-size: 14px">Обиженные инсайдеры</span></strong></p> <p>Следующая группа нарушителей — злонамеренные. В отличие от сотрудников, описанных выше, они осознают, что своими действиями наносят вред компании, в которой работают. По мотивам враждебных действий, которые позволяют прогнозировать их поведение, они подразделяются на четыре типа — «обиженные», «нелояльные», «подрабатывающие» и «внедренные».</p> <p>«Обиженные» — это сотрудники, стремящиеся нанести вред компании по личным мотивам.</p> <p>«Обиженные» — это сотрудники, стремящиеся нанести вред компании по личным мотивам. Чаще всего мотивом такого поведения может быть обида из-за недостаточной оценки их роли в компании — недостаточный размер материальной компенсации, неподобающее место в корпоративной иерархии, отсутствие элементов моральной мотивации или отказ в выделении корпоративных статусных атрибутов (ноутбука, автомобиля, секретаря).</p> <p>Для оценки моделей поведения нарушителя отметим два ключевых отличия от других типов нарушителей. Во-первых, сотрудник не собирается покидать компанию и, во-вторых, сотрудник стремится нанести вред, а не похитить информацию. То есть он хочет, чтобы руководство не узнало, что утечка произошла из-за него и, столкнувшись с технической невозможностью похитить какую-либо информацию, он может направить свою разрушительную энергию на что-нибудь другое. Например, на уничтожение или фальсификацию доступной информации, хищение материальных ценностей. При этом сотрудник, исходя из собственных представлений о ценности информации и нанесенном вреде, определяет, какую информацию имеет смысл похитить и кому ее передать. Чаще всего это пресса или теневые структуры, для соответственно, оглашения или шантажа. Примером реализации такой угрозы может служить передача экологической прессе данных о состоянии затопленных ядерных подводных лодок одним из сотрудников предприятия, ответственного за мониторинг этого состояния.</p> <p><strong><span style="font-size: 14px">Нелояльные инсайдеры</span></strong></p> <p>Следующий тип внутренних нарушителей — нелояльные сотрудники. Прежде всего, это сотрудники, принявшие решение сменить место работы или миноритарные акционеры, решившие открыть собственный бизнес. Именно о них в первую очередь думают руководители компании, когда речь заходит о внутренних угрозах — стало привычным, что увольняющийся сотрудник коммерческого отдела уносит с собой копию базы клиентов, а финансового — копию финансовой базы. В последнее время также увеличилось количество инцидентов, связанных с хищением интеллектуальной собственности высокотехнологичных европейских и американских компаний стажерами из развивающихся стран, поэтому временных сотрудников иногда также относят к этому типу. Угроза, исходящая от таких нарушителей, является ненаправленной — нарушители стараются унести максимально возможное количество доступной информации, часто даже не подозревая о ее ценности и не имея представления, как они ее будут использовать. Самый частый способ получения доступа к информации или возможности ее скопировать — это имитация производственной необходимости. Именно на этом их чаще всего и ловят. От предыдущего типа нарушителей нелояльные отличаются в основном тем, что, похитив информацию, они не скрывают факта похищения. Более того, иногда похищенная информация используется, как гарант для обеспечения комфортного увольнения — с компенсацией и рекомендациями.</p> <p>Угроза, исходящая от таких нарушителей, является ненаправленной — нарушители стараются унести максимально возможное количество доступной информации, часто даже не подозревая о ее ценности и не имея представления, как они ее будут использовать.</p> <p>Эти два типа нарушителей все же не так опасны, как последние. Обиженные и нелояльные сотрудники все же сами определяют объект хищения, уничтожения или искажения и место его сбыта. Коммерческий директор, решивший уволиться, унесет с собой базу данных клиентов, но, возможно, он найдет работу в компании, напрямую не конкурирующей с нынешним работодателем. Переданная прессе саботажником информация может не оказаться сенсацией и не будет напечатана. Стажер, похитивший чертежи перспективной разработки, может не найти на нее покупателя. И в этих случаях информация не нанесет вред владельцу. Наткнувшись на невозможность похитить информацию, нарушители вряд ли будут искать техническую возможность обойти защиту, к тому же, скорее всего, они не обладают должной технической подготовкой.</p> <p><strong><span style="font-size: 14px">Подрабатывающие инсайдеры</span></strong></p> <p>Однако если еще до похищения информации обиженный или нелояльный сотрудник выйдет на потенциального «покупателя» конкретной информации, будь то конкурент, пресса, криминальные структуры или спецслужбы, он становится самым опасным нарушителем — мотивированным извне. Теперь его дальнейшая судьба — работа, благосостояние, а иногда жизнь и здоровье напрямую зависят от полноты и актуальности информации, которую он сможет похитить.</p> <p>«Подрабатывающие» и «внедренные» нарушители — это сотрудники, цель которым определяет заказчик похищения информации. В обоих случаях инсайдеры стремятся как можно надежнее завуалировать свои действия (по крайней мере, до момента успешного хищения), однако мотивация их все же различается. «Подрабатывающий» тип охватывает весьма широкий пласт сотрудников, вступивших на стезю инсайдерства по различным причинам. Сюда включаются люди, решившие «подхалтурить» на пару тысяч, которых им не хватает для покупки автомобиля. Нередки случаи инсайдеров поневоле — шантаж, вымогательство извне буквально не оставляют им выбора и заставляют выполнять приказы третьих сторон. Именно поэтому «подрабатывающие» могут предпринимать самые разнообразные действия при невозможности выполнения поставленной задачи. В зависимости от условий они могут прекратить попытки, имитировать производственную необходимость, а в наиболее тяжелых случаях пойти на взлом, подкуп других сотрудников, чтобы получить доступ к информации любыми другими способами.</p> <p><strong><span style="font-size: 14px">Внедренные инсайдеры</span></strong></p> <p>Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети, «работодатели» могут снабдить его соответствующими устройствами или программами для обхода защиты.</p> <p>Из шпионских триллеров времен холодной войны хорошо известен последний тип внутренних нарушителей — «внедренный». В современных условиях к таким методам все чаще прибегают не только для государственного шпионажа, но также для промышленного. Типичный пример из практики. Системному администратору крупной компании поступает очень привлекательное предложение о переходе на другую работу. Много денег, превосходный социальный пакет, гибкий график работы. Отказаться невозможно. Одновременно в HR-службу поступает блестящее резюме похожего специалиста, от которого также невозможно отказаться. Или этот специалист предлагается системному администратору в качестве замены (вроде того, что это входит в комплект услуг рекрутингового агентства). Пока первый сдает дела, второй быстро получает доступ к конфиденциальной информации и сливает ее заказчику. После этого следы агентства и специалиста теряются — они просто испаряются. Компания остается без корпоративных секретов, а системный администратор без работы.</p> <p>Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети, «работодатели» могут снабдить его соответствующими устройствами или программами для обхода защиты. И «внедренный» нарушитель пойдет до конца, чтобы получить данные. В его арсенале будут самые изощренные средства и большой профессиональный опыт взлома.</p> <p><strong><span style="font-style: italic"><em class="bbuline">(с) Информация моя! Копирование запрещенно! Бан</em></span></strong></p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 02:26:39 +0400 http://securety.mybb.ru/viewtopic.php?pid=28#p28 http://securety.mybb.ru/viewtopic.php?pid=27#p27 <p>Сегодня наиболее опасной угрозой IT-безопасности является утечка корпоративных секретов, о чем свидетельствуют тенденции развития отрасли, результаты опросов компаний, анализа рынка и научные исследования по данной теме.</p> <p>К внутренним угрозам относятся любые действия с информацией, которые нарушают хотя бы один из постулатов информационной безопасности (целостность, доступность и конфиденциальность), исходят изнутри информационной системы компании и наносят ущерб компании.</p> <p>Среди внутренних угроз можно выделить несколько наиболее распространенных способов нанесения ущерба:</p> <p>&#160; &#160; • любые нарушения правил и процедур внутренней безопасности сети, способные привести к краже данных;<br />&#160; &#160; • неавторизованный поиск / просмотр / изменение / уничтожение конфиденциальных данных;<br />&#160; &#160; • подбор паролей к учетным записям, установка пользователями внутри сети троянцев, руткитов и других вредоносных программ;<br />&#160; &#160; • целенаправленный «слив» информации на внешние накопители HDD, USB Flash, Card-reader, запись на CD/DVD с целью выноса информации за пределы компании;<br />&#160; &#160; • кража вычислительной техники, на которой есть конфиденциальные данные: ноутбуки, жесткие диски, карманные компьютеры и др.;<br />&#160; &#160; • кража корпоративной базы данных целиком или по частям;<br />&#160; &#160; • неавторизованная установка изнутри сети беспроводных сетевых соединений с целью выкачать наружу данные;<br />&#160; &#160; • распечатка важных документов на принтере с целью вынести твердую копию за пределы компании. </p> <p>И это далеко не полный список.</p> <p>Утечки чувствительных данных напрямую связаны с операционными рисками бизнеса. В результате утечки, компания может сильно пострадать:</p> <p>&#160; &#160; • лишиться клиентов, если утекла клиентская база данных;<br />&#160; &#160; • лишиться технологий, если утекли технологические секреты;<br />&#160; &#160; • если утекла финансовая информация, то будут недовольны учредители и инвесторы;<br />&#160; &#160; • несоответствие требованиям государства и различных органов к защите чувствительных данных пользователей может привести к отзыву лицензий на право осуществление деятельности. </p> <p>Но еще хуже, что компания может потерять деловую репутацию в лице своих контрагентов, и, как следствие приостановить или вообще прекратить деятельность.</p> <p><strong><span style="font-style: italic"><em class="bbuline">(с) Информация составленна мной и написанна также мной! Кто скопирует и где-то себе зашкерит где-то, то для гостей я скрою этоо раздел, а юзеров кто это зделал в бан</em></span></strong></p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 02:23:41 +0400 http://securety.mybb.ru/viewtopic.php?pid=27#p27 http://securety.mybb.ru/viewtopic.php?pid=25#p25 <p>В этом разделе содержится краткая информация о наиболее известных хакерах, как «черных», так и «белых». Все они хорошо известны по множеству причин: из-за их поступков — хороших и плохих, — их вклада в разработку программ и технологий, новаторского подхода, умения нестандартно мыслить.</p> <p><strong>Ричард Столмэн</strong> (Richard Stallman) известен как отец бесплатного программного обеспечения. Когда Ричард работал в лаборатории исследования искусственного интеллекта в MIT в 1971 году, он, при попытке исправить работу не самой важной программы, столкнулся со множеством «соглашений о неразглашении» и проблемой закрытых исходных программных кодов. После поучительной «битвы» за право обладания исходниками неправильно работающей принтерной утилиты - а это была именно она, — Столмэн сдался и стал одним из основных сторонников бесплатного программного обеспечения, создав в процессе своей дальнейшей деятельности GNU и Free Software Foundation.</p> <p><strong>Деннис Ритчи</strong> (Dennis Ritchie) и <strong>Кен Томпсон</strong> (Ken Thompson) известны благодаря двум важнейшим программным разработкам XX века: операционной системе UNIX и языку программирования C. Оба начали свои карьеры в Bell Labs в 1960-х, навсегда изменив компьютерный мир своими идеями. Кен Томпсон больше не в компьютерной индустрии, но Деннис Ритчи по-прежнему является сотрудником Lucent Technology и работает над новой, основанной на UNIX операционной системой под названием Plan9.</p> <p><strong>Джон Дрейпер</strong> (John Draper), известный как Cap'n Crunch, знаменит своими взломами телефонных сетей при помощи свистка из коробки кукурузных хлопьев Cap'n Crunch (откуда и получил свое прозвище). Помимо заложения основ в деле телефонных фрикеров, Джон известен авторством программы, которая была, пожалуй, первым в мире текстовым редактором для IBM PC. В настоящее время он возглавляет собственную компанию, специализирующуюся на разработке систем защиты от спама, отражения хакерских атак и обеспечения безопасности персональных компьютеров.</p> <p><strong>Роберт Моррис</strong> (Robert Morris) знаменит созданием первого в истории интернет-червя в 1988 году. Червь заразил тысячи компьютеров и практически остановил работу интернета на целый день. Помимо прочего, червь Morris был, наверное, первой автоматической хакерской утилитой, использовавшей несколько неисправленных уязвимостей в компьютерах Vax и Sun.</p> <p><strong>Кэвин Митник</strong> (Kevin Mitnick), самый знаменитый «черный» хакер, был пойман компьютерным экспертом Цутому Симамура (Tsutomu Shimomura).</p> <p><strong>Кэвин Поулсен</strong> (Kevin Poulsen) все еще известен благодаря осуществленному им в 1990 году взлому телефонной сети Лос Анджелеса, после которого он стал 102-м позвонившим на радио и выиграл Porsche 944. Правда, потом Кэвина поймали и посадили в тюрьму на три года. Сейчас он работает колумнистом на сайте SecurityFocus.</p> <p><strong>Владимир Левин</strong>, русский компьютерный эксперт, взломавший сеть Citibank и укравший 10 млн USD. Его арестовал Интерпол в Великобритании в 1995 году. Суд приговорил Владимира к 3 годам лишения свободы и штрафу в 240015 USD.</p> <p><strong>Цутому Симамура</strong> (Tsutomu Shimomura) — пример «белого» хакера. Он работал в суперкомпьютерном центре в Сан-Диего, когда Кэвин Митник взломал сеть центра и украл информацию о технологиях сотовой связи и другие секретные данные. Цутому начал охоту на Митника, приведшую в итоге к аресту последнего.</p> <p><strong>Линус Торвальдс</strong> (Linus Torvalds) известен как создатель Linux, наиболее популярной и широко используемой в наши дни UNIX-подобной операционной системы. Линус начал разработку новой ОС в 1991 году, основав ее на ряде неоднозначных в те времена технологий вроде концепции бесплатного программного обеспечения и публичной лицензии GPL. Он также известен своими спорами с Эндрю Танненбаумом (Andrew Tannenbaum), автором ОС Minix, ставшей источником вдохновения на старте проекта Linux.</p> <p><strong><span style="font-style: italic"><em class="bbuline">(с) Информация полностью принадлежит ВИКИ! У нас копирование запрещенно, а если так охота, то ищите в ВИКИ</em></span></strong></p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 02:13:51 +0400 http://securety.mybb.ru/viewtopic.php?pid=25#p25 http://securety.mybb.ru/viewtopic.php?pid=24#p24 <p>• Декабрь 1947 — Вильям Шокли (William Shockley) изобретает транзистор и впервые демонстрирует его работу. Транзистор собран из множества проводов, изоляторов и вкраплений германия. Согласно результатам опроса, проведенного на сайте CNN, транзистор оценивается как важнейшее открытие XX века.<br />&#160; &#160; • 1964 — Томас Курц (Thomas Kurtz) и Джон Кемени (John Kemeny) создают BASIC, и по сей день один из самых популярных языков программирования.<br />&#160; &#160; • 1965 — В США в постоянном использовании находится порядка 20000 компьютерных систем. Большая их часть - производства International Business Machines (IBM).<br />&#160; &#160; • 1968 — Основана компания Intel.<br />&#160; &#160; • 1969 — Основана компания AMD.<br />&#160; &#160; • 1969 — В стенах агентства ARPA (The Advanced Research Projects Agency) создана ARPANET, сеть-предвестница интернета. Четыре первых узла ARPANET располагаются в университетах Лос-Анджелеса, Санта-Барбары, Юты и Стэндфордском исследовательском институте.<br />&#160; &#160; • 1969 — Intel начинает производство модулей оперативной памяти объемом 1KB (1024 байта).<br />&#160; &#160; • 1969 — Кен Томпсон (Ken Thompson) и Дэннис Ритчи (Dennis Ritchie) начинают работать над созданием операционной системы UNICS. Томпсон за один месяц пишет первую версию UNICS на компьютере с 4КБ памяти. Позже UNICS переименовывают в UNIX.<br />&#160; &#160; • 1969 — MIT (Massachusetts Institute of Technology) становится домом первых компьютерных хакеров, пытающихся переписывать программы и совершенствовать сами компьютеры с целью ускорить их работу.<br />&#160; &#160; • 1969 — В Хельсинки родился Линус Торвальдс (Linus Torvalds).<br />&#160; &#160; • 1970 — Компания DEC представляет PDP-11, одну из наиболее популярных моделей компьютеров того времени. Некоторыми из них пользуются и по сей день.<br />&#160; &#160; • 1971 — Джон Дрейпер (John Draper), известный как Cap'n Crunch, взламывает телефонные системы при помощи игрушечного свистка из коробки с кукурузными хлопьями.<br />&#160; &#160; • 1971 — В сети ARPANET создан первый email-клиент. Его автор Рэй Томлисон решает использовать символ «@» для разделения имени пользователя и доменного имени.<br />&#160; &#160; • 1972 — Ритчи и Кернингхэм переписывают UNIX на C, языке программирования, изначально созданном с целью облегчения переноса программ с одной компьютерной платформы на другую.<br />&#160; &#160; • 1972 — NCSA разрабатывает утилиту telnet.<br />&#160; &#160; • 1973 — Гордон Мур (Gordon Moore), председатель совета директоров Intel, формулирует знаменитый «Закон Мура», согласно которому число транзисторов в центральных процессорах удваивается каждые 18 месяцев. Этот закон остается справедливым уже более 30 лет.<br />&#160; &#160; • 1973 — Представлен протокол FTP.<br />&#160; &#160; • 1974 — Стивен Борн (Stephen Bourne) разрабатывает первую полноценную оболочку для UNIX.</p> <p>1975 — Билл Гейтс (Bill Gates) и Пол Ален (Paul Allen) основывают компанию Microsoft.</p> <p>&#160; &#160; • 1975 — Билл Гейтс (Bill Gates) и Пол Ален (Paul Allen) основывают компанию Microsoft.<br />&#160; &#160; • 1976 — 21-летний Билл Гейтс пишет «Открытое письмо любителям», в котором осуждает модель программного обеспечения с открытыми исходными кодами и компьютерное пиратство.<br />&#160; &#160; • 1 апреля 1976 — Основана компания Apple Computers.<br />&#160; &#160; • 1977 — Билли Джой (Billy Joy) выпускает BSD, новую UNIX-подобную операционную систему.<br />&#160; &#160; • 1979 — Microsoft получает от AT&amp;T лицензию на исходный код UNIX и создает собственную версию этой операционной системы, получающую название Xenix.<br />&#160; &#160; • 1981 — Создана система доменных имен (Domain Name System, DNS).<br />&#160; &#160; • 1981 — Microsoft покупает права на операционную систему DOS и переименовывает ее в MS-DOS.<br />&#160; &#160; • 1982 — Основана компания Sun Microsystems. В будущем Sun станет наиболее известна благодаря своим процессорам SPARC, операционной системе Solaris, файловой системе NFS и языку Java.<br />&#160; &#160; • 1982 — Ричард Столмэн (Richard Stallman) начинает разработку бесплатной версии UNIX, которую обозначает сокращением «GNU», расшифровывающимся как «GNU's Not Unix».<br />&#160; &#160; • 1982 — Писатель Вильям Гибсон (William Gibson) вводит в обиход термин «киберпространство» (cyberspace).<br />&#160; &#160; • 1982 — Опубликованы спецификации протокола SMTP, simple mail transfer protocol. В настоящее время SMTP является наиболее распространенным протоколом обмена электронной почтой в интернете.<br />&#160; &#160; • 1982 — Скот Фальман (Scott Fahlman) изобретает первый смайлик: «:-)».<br />&#160; &#160; • 1983 — Путем разделения ARPANET на несколько самостоятельных гражданских и военных сетей создается интернет.<br />&#160; &#160; • 1983 — Том Дженнигс (Tom Jennings) создает FidoNet. Сеть Fido становится наиболее популярной в мире общедоступной компьютерной сетью на последующие 10 лет, вплоть до повсеместного распространения интернета.<br />&#160; &#160; • 1983 — Кэвин Поулсен (Kevin Poulsen), известный под псевдонимом Dark Dante, арестован за проникновение в ARPANET.<br />&#160; &#160; • 1984 — Основана компания CISCO Sytems.<br />&#160; &#160; • 1984 — Фред Коэн (Fred Cohen) разрабатывает первые компьютерные вирусы и вводит ставший ныне стандартным термин «компьютерный вирус».<br />&#160; &#160; • 1984 — Эндрю Танненбаум (Andrew Tannenbaum) создает Minix, бесплатный клон UNIX, основанный на архитектуре модульных микроядер.<br />&#160; &#160; • 1984 — Билл Ландреф (Bill Landreth), известный как The Cracker, обвинен во взломе компьютерных систем и получении незаконного доступа к информации NASA и Министерства обороны США.<br />&#160; &#160; • 1984 — Apple представляет Macintosh System 1.0.<br />&#160; &#160; • 1985 — Ричард Столмэн основывает Free Software Foundation.<br />&#160; &#160; • 15 марта 1985 — Зарегистрирован первый домен интернета — Symbolics.com.<br />&#160; &#160; • Ноябрь 1985 — Microsoft выпускает Windows 1.0 по цене 100 USD за копию.<br />&#160; &#160; • 1986 — В США принят The Computer Fraud and Abuse Act.<br />&#160; &#160; • 1986 — Арестован член группы Legion of Doom Лойд Бланкеншип (Loyd Blankenship), известный как The Mentor, после чего он публикует ныне знаменитый «Манифест хакера».<br />&#160; &#160; • 1988 — Изобретен CD-ROM.<br />&#160; &#160; • 1988 — Запущен сервис IRC (Internet Relay Chat).</p> <p>Ноябрь 1988 — Роберт Моррис (Robert Morris) создает и выпускает в сеть первый интернет-червь.</p> <p>&#160; &#160; • Ноябрь 1988 — Роберт Моррис (Robert Morris) создает и выпускает в сеть первый интернет-червь, который заражает и «подвешивает» тысячи компьютеров в США из-за ошибки в своем коде. Этот червь известен в наши дни под названием Morris.<br />&#160; &#160; • 1989 — В CERN Labs, в Швейцарии, разработана концепция WWW.<br />&#160; &#160; • 1990 — Сеть ARPANET прекращает свое существование.<br />&#160; &#160; • 1990 — Кэвин Поулсен (Kevin Poulsen) взламывает телефонную систему в Лос-Анджелесе, чтобы стать победителем в радио-конкурсе, в котором разыгрывается Porsche 944.<br />&#160; &#160; • 1991 — Филипп Циммермэн (Philip Zimmerman) выпускает PGP, мощную бесплатную утилиту-шифровальщик. Программа быстро становится наиболее популярной шифровальной утилитой в мире.<br />&#160; &#160; • 1991 — Появляются слухи о компьютерном вирусе под названием Michaelangelo, механизмы разрушения в котором активируются 6 марта.<br />&#160; &#160; • 17 сентября 1991 — Линус Торвальдс (Linus Torvalds) выпускает первую версию Linux.<br />&#160; &#160; • 1992 — Группа фрикеров (телефонных хакеров) Masters of Deception арестована благодаря доказательствам, собранным посредством подслушивающих «жучков».<br />&#160; &#160; • 1993 — Выпущен веб-браузер Mosaic.<br />&#160; &#160; • 1993 — Microsoft выпускает Windows NT.<br />&#160; &#160; • 1993 — Выпущена первая версия операционной системы FreeBSD.<br />&#160; &#160; • 23 марта 1994 — Шестнадцатилетний Ричард Прайс (Richard Pryce), известный как Datastream Cowboy, арестован и обвинен в незаконном доступе к хранящейся в компьютере информации.<br />&#160; &#160; • 1994 — Владимир Левин (Vladimir Levin), русский математик, взламывает сеть Citibank и крадет $10 млн.<br />&#160; &#160; • 1995 — Дэн Фармер (Dan Farmer) и Вице Винема (Wietse Venema) выпускают SATAN, автоматический сканер уязвимостей, который становится популярным хакерским инструментом.<br />&#160; &#160; • 1995 — Крис Лэмпрехт (Chris Lamprecht), известный как Minor Threat, становится первым человеком, которому запрещают доступ в интернет.<br />&#160; &#160; • 1995 — Sun выпускает Java, язык компьютерного программирования, созданный с целью свободного переноса уже скомпилированных программ с одной платформы на другую.<br />&#160; &#160; • Август 1995 — Выпущен Microsoft Internet Explorer. Впоследствии IE станет наиболее незащищенным веб-браузером и любимой мишенью практически всех вирусописателей и хакеров.<br />&#160; &#160; • Август 1995 — Выпущена ОС Windows 95.<br />&#160; &#160; • 1996 — IBM выпускает OS/2 Warp version 4, мощную мультизадачную операционную систему с графическим пользовательским интерфейсом, соперничающую с недавно выпущенной Microsoft Windows 95. Несмотря на то, что OS/2 более надежна и стабильна, чем Windows 95, она будет понемногу терять поддержку разработчиков и через несколько лет прекратит свое существование.<br />&#160; &#160; • 1996 — Выпущен ICQ, первый известный интернет-пейджер.<br />&#160; &#160; • 1996 — Тим Ллойд (Tim Lloyd) закладывает программную бомбу с часовым механизмом в компании Omega Engineering в Нью-Джерси. В результате атаки компания теряет 12 млн USD и более 80 сотрудников лишаются работы. Ллойда приговаривают к 41 месяцу тюремного заключения.<br />&#160; &#160; • 1997 — Опубликованы спецификации формата DVD.<br />&#160; &#160; • 1998 — Два китайских хакера-близнеца, Джинлон Хао (Hao Jinglong) и Джинвен Хао (Hao Jingwen), приговорены китайским судом к смерти за взлом компьютерной сети банка и кражу 720 тысяч юаней (примерно 87 тысяч USD).<br />&#160; &#160; • 18 марта 1998 — Эхуд Тенебаум (Ehud Tenebaum), почтенный хакер, известный под кличкой The Analyzer, арестован в Израиле за взлом множества важных компьютерных сетей США.<br />&#160; &#160; • 1998 — Появился вирус CIH. CIH стал первым компьютерным вирусом, стирающим содержимое flash-памяти BIOS компьютера, повреждающим компьютер так, что он больше не включается. CIH развеял миф о том, что компьютерные вирусы не могут навредить компьютерным комплектующим.<br />&#160; &#160; • 26 марта 1999 — Появился вирус Melissa.<br />&#160; &#160; • 2000 — Канадский хакер-тинейджер, известный как Mafiaboy, осуществляет DoS-атаку на сайты Yahoo, eBay, Amazon.com и CNN, делая их недоступными. Позже его приговаривают к восьми месяцам заключения в тюрьме для несовершеннолетних.<br />&#160; &#160; • 2000 — Корпорация Microsoft признает, что из ее сети был украден код нескольких еще не выпущенных версий операционной системы Windows.<br />&#160; &#160; • 2000 — ФБР арестовывает двух русских хакеров, Алексея Иванова и Василия Горшкова. Арест проводится после длительной и сложной операции, включавшей в себя заманивание хакеров в США с целью «демонстрации их хакерских навыков».<br />&#160; &#160; • Июль 2001 — Появляется червь CodeRed. Червь заражает сотни тысяч компьютеров по всему миру в течение нескольких часов.<br />&#160; &#160; • 2001 — Microsoft выпускает Windows XP.<br />&#160; &#160; • 18 июля 2002 — Билл Гейтс анонсирует программу Trustworthy Computing, представляющую новую стратегию разработки программ компании Microsoft, направленную на повышение безопасности выпускаемых продуктов.<br />&#160; &#160; • Октябрь 2002 — Неизвестными хакерами запущена мощная атака на 13 корневых доменных серверов интернета. Цель — полностью остановить работу DNS во всем интернете.<br />&#160; &#160; • 2003 — Microsoft выпускает Windows Server 2003.<br />&#160; &#160; • 29 апреля 2003 — Новый Скотланд-Ярд арестовывает Хтан Линн (Lynn Htun) на лондонской выставке InfoSecurity Europe 2003. Считается, что Линн сумел незаконно проникнуть в несколько важных компьютерных сетей, вроде сетей Symantec и SecurityFocus.<br />&#160; &#160; • 6 ноября 2003 — Microsoft объявляет награду в 5 млн USD за поимку хакеров, использовавших уязвимости в выпущенных компанией программах.<br />&#160; &#160; • 7 мая 2004 — В северной Германии арестован Свен Яшан (Sven Jaschan), автор сетевых червей Netsky и Sasser.<br />&#160; &#160; • Сентябрь 2004 — IBM представляет самый быстрый в мире суперкомпьютер. Его стабильная производительность составляет 36 триллионов операций в секунду.<br />&#160; &#160; • 24 июня 2005 Роберт Литтл (Robert Lyttle), один из участников «дуэта» Synamic Duo, был приговорен к 4 месяцам тюрьмы (с последующим испытательным сроком 3 года) и штрафу в размере 72 000 долларов за взлом компьютерной системы правительства США и за порчу его сайтов.<br />&#160; &#160; • 17 августа 2005 бывший программист компании AOL Джейсон Сматерс (Jason Smathers) получил 15 месяцев тюрьмы за кражу из базы данных AOL 92 миллионов регистрационных данных и продажу их спамерам, которые использовали полученные адреса электронной почты для рассылки 7 миллионов сообщений.<br />&#160; &#160; • 24 августа 2005 китайский хакер был арестован в Японии за кражу виртуальных ценностей онлайн-игр.<br />&#160; &#160; • 6 января 2006 в штате Массачусетс было предъявлено обвинение Шону Галвесу (Sean Galvez) по одному факту воровста и десяти фактам несанкционированного доступа к компьютеру, а также за кражу персональных данных, использованных для взлома более 40 аккаунтов пользователей интернет-аукциона eBay и присвоение денег на общую сумму 32 000 долларов.<br />&#160; &#160; • 3 октября 2006 трое россиян были приговорены к восьми годам заключения каждый – за серию проведенных в 2003 году компьютерных атак с целью вымогательства. Хакеры похитили у британских компаний почти 4 миллиона долларов.<br />&#160; &#160; • 23 августа 2007 был арестован гражданин Великобритании за несанкционированное использование беспроводного соединения в Чизвике, одном из районов Лондона.<br />&#160; &#160; • 18 декабря 2007 американский суд признал виновным бывшего компьютерного консультанта Харио Тандивиджоджо (Hario Tandiwidjojo) в несанкционированном доступе к защищенному компьютеру, после того как тот взломал более 60 терминалов, установленных в отелях, и похитил информацию о кредитных картах.<br />&#160; &#160; • 11 июня 2008 Роберт Мэтью Бэнтли (Robert Matthew Bentley) был приговорен в США к 41 месяцу тюрьмы и возмещению убытков на сумму 65 000 долларов за взлом корпоративных компьютерных систем в Европе (в том числе компании Rubbermaid) и использование их как части ботсети.<br />&#160; &#160; • 11 июля 2008 Ян Литао (Yang Litao) получил в Китае два года тюремного заключения за взлом сайта Красного Креста и попытку перевести средства, собранные в помощь пострадавшим от землетрясения в Сычуане, на банковский счет под свой контроль.<br />&#160; &#160; • 5 ноября 2008 американский суд признал виновными Ивана Бильце, Ангелину Китаеву и Юрия Ракушинца (известного также как Юрий Рябинин) в организации преступной группы и создании устройства для получения доступа к счетам клиентов Ситибанка, в результате чего мошенники присвоили себе 2 миллиона долларов. Группа, в которую раньше входили еще семь человек, взломала сервер, проводивший платежи через банкоматы, установленные в сети магазинов 7-Eleven.<br />&#160; &#160; • 5 марта 2009 была отправлена в тюрьму банда злоумышленников, которая пыталась похитить из лондонского офиса банка Sumitomo 229 миллионов долларов. Хакеры не без помощи сотрудника банка воспользовались коммерческой программой-кейлоггером для перехвата паролей и перевода денег на зарубежные счета. Двое участников группы, Ян ван Осселер (Jan van Osselaer) и Гиллес Польвоорде (Gilles Poelvoorde) были осуждены на 3,5 и 4 года соответственно. Помогавший им сотрудник банка Кевин О’Донохью (Kevin O'Donoghue) проведет в тюрьме 4 года и 4 месяца. А Хью Родли (Hugh Rodley) и Дэвид Неш (David Nash), которые открыли счета в международных банках, получили 8 лет и 3 года соответственно.<br />&#160; &#160; • 28 августа 2009 Альберт Гонсалес (Albert Gonzalez) признал себя виновным в девятнадцати эпизодах мошенничества с беспроводными сетями и участии в преступном сговоре, отягощающем вину за кражу конфиденциальных данных и отмывание денег, похищенных более чем со 170 миллионов кредитных и дебетовых карт банков TJX, Barnes &amp; Noble, Office Max и др. По совокупности преступлений Гонсалес проведет в тюрьме от 15 до 25 лет и должен будет выплатить штраф на сумму 2,8 миллионов долларов.<br />&#160; &#160; • 17 февраля 2010 хакер заменил на рекламном экране в Москве коммерческое видео на порноролик.<br />&#160; &#160; • 24 февраля 2010 хакер передал латвийскому телевидению информацию о доходах литовских банков и государственных компаний.</p> <p><strong><span style="font-style: italic"><em class="bbuline">(с) Пол информации взята из ВИКИ, и половина с моей бошки =)! Копирование запрещенно.</em></span></strong></p> mybb@mybb.ru (SaS_22-UtH) Sun, 23 May 2010 02:03:31 +0400 http://securety.mybb.ru/viewtopic.php?pid=24#p24 http://securety.mybb.ru/viewtopic.php?pid=23#p23 <p>Почему люди занимаются хакерством? Многие считают, что причины схожи с ответом на вопрос «почему люди занимаются альпинизмом?» — просто потому, что на свете есть компьютеры. Другие заявляют, что хакерство помогает совершенствовать безопасность компьютерных систем, привлекая внимание к существующим в них уязвимостям. Наконец, наиболее популярное в наши дни объяснение хакерства — для достижения своих преступных целей.</p> <p>Но независимо от причины, пока есть компьютеры, будут и хакеры — «белые», «серые» и «черные». А поскольку невозможно предугадать, какой атаке («любопытствующей» или «опасной») подвергнется ваш компьютер, следует готовиться к худшему.</p> <p>Неоспоримый факт сегодня заключается в том, что кто-нибудь обязательно проверит автоматическим сканером уязвимостей подключенный к интернету компьютер в поисках пути «внутрь». Это может быть как просто любопытствующий, так и «белый хакер», проверяющий насколько защищен ваш компьютер. В обычной жизни вряд ли вам захотелось бы, чтобы незнакомцы проверяли, заперты ли ваш дом, машина, а если нет, то заходили бы внутрь, осматривались, перебирали вещи и уходя оставляли записку: «Привет, тут был я, твоя дверь была открыта, но не обращай на меня внимания и, кстати, почини свой замок». Вряд ли вам захочется, чтобы нечто подобное случилось и с вашим компьютером. И нет никаких оправданий подобному проникновению.</p> <p>Преступное, криминальное хакерство еще хуже. Допустим, что в реальном мире некто вламывается в вашу квартиру, отключает сигнализацию, крадет что-нибудь или устанавливает подслушивающие, подсматривающие устройства в комнатах. Если происходит нечто подобное, то вы звоните в милицию, они осматривают квартиру, составляют протокол, и остается лишь ждать, пока воров не поймают. В компьютерном мире такое — редкостная роскошь. Преступник может скачать конфиденциальную информацию с вашего компьютера из собственной виллы на другой стороне планеты, загорая около бассейна, построенного на украденные деньги. В деловом же мире, множество крупных корпораций предпочитают вовсе не сообщать о случаях взлома их компьютерных сетей из соображений защиты корпоративного имиджа. Все это означает, что компьютерные преступления часто остаются безнаказанными.</p> <p>Мотивацией хакеров может быть обычное хулиганство, «цифровая граффити».</p> <p>Еще одной мотивацией хакеров может быть обычное хулиганство, «цифровая граффити», кратко характеризуемое как взлом системы с целью нанесения любого ущерба. «Дефейсы» веб-сайтов являются одной из наиболее популярных форм цифровой граффити; некоторые хакерские группы даже специализируются исключительно на таких взломах. Как и в обычном, не кибернетическом мире, поимка таких хулиганов является достаточно трудной задачей, затраты на которую всегда превосходят отдачу.</p> <p>Какими бы ни были его причины, будь то «помочь другим», «усовершенствовать безопасность», «похулиганить» или «совершить преступление», феномен хакерства прочно укоренился в компьютерном мире и, скорее всего, уже никогда полностью не исчезнет. В темных углах киберпространства всегда будут прятаться умственно недоразвитые индивидуумы, самопровозглашенные «робины гуды» и обычные преступники.</p> <p><strong><span style="font-style: italic"><em class="bbuline">(с) информация принадлежит полностью мне! Копирование запрещенно</em></span></strong></p> mybb@mybb.ru (SaS_22-UtH) Sat, 22 May 2010 21:58:03 +0400 http://securety.mybb.ru/viewtopic.php?pid=23#p23 http://securety.mybb.ru/viewtopic.php?pid=22#p22 <p>Есть множество способов воспользоваться большинством уязвимостей. Для хакерской атаки можно использовать один эксплойт, несколько эксплойтов одновременно, неверные настройки программных компонентов или даже программу-бэкдор, установленную в операционную систему в процессе предыдущей атаки.</p> <p>Из-за этого детектирование хакерской атаки становится не самой простой задачей, особенно для неопытного пользователя. В этом разделе мы постараемся сформулировать советы, способные помочь читателю определить, подвергается ли его компьютер хакерской атаке или же защита компьютера уже была взломана ранее. Помните, что, как и в случае вирусов, никто не дает 100% гарантии, что вы сможете зафиксировать хакерскую атаку подобными способами. Впрочем, если ваша система уже взломана, то вы наверняка отметите некоторые из нижеприведенных признаков.</p> <p><strong><span style="font-size: 14px">Windows-компьютеры:</span></strong></p> <p>&#160; &#160; • Подозрительно высокий исходящий трафик. Если вы пользуетесь дайлапом или ADSL-подключением и заметили необычно большое количество исходящего сетевого трафика (в частности, проявляющегося, когда ваш компьютер работает и подключен к интернету, но вы им не пользуетесь), то ваш компьютер, возможно, был взломан. Такой компьютер может использоваться для скрытой рассылки спама или для размножения сетевых червей.<br />&#160; &#160; • Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Многие хакеры после взлома компьютера производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PayPal. Некоторые сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии используются для рассылки зараженных писем. Если вы заметили значительную активность жестких дисков даже когда компьютер стоит без работы, а в общедоступных папках стали появляться файлы с подозрительными названиями, это также может быть признаком взлома компьютера или заражения его операционной системы вредоносной программой.<br />&#160; &#160; • Большое количество пакетов с одного и того же адреса, останавливаемые персональным межсетевым экраном. После определения цели (например, диапазона IP-адресов какой-либо компании или домашней сети) хакеры обычно запускают автоматические сканеры, пытающиеся использовать набор различных эксплойтов для проникновения в систему. Если вы запустите персональный межсетевой экран (фундаментальный инструмент в защите от хакерских атак) и заметите нехарактерно высокое количество остановленных пакетов с одного и того же адреса, то это — признак того, что ваш компьютер атакуют. Впрочем, если ваш межсетевой экран сообщает об остановке подобных пакетов, то компьютер, скорее всего, в безопасности. Однако многое зависит от того, какие запущенные сервисы открыты для доступа из интернета. Так, например, персональный межсетевой экран может и не справиться с атакой, направленной на работающий на вашем компьютере FTP-сервис. В данном случае решением проблемы является временная полная блокировка опасных пакетов до тех пор, пока не прекратятся попытки соединения. Большинство персональных межсетевых экранов обладают подобной функцией.<br />&#160; &#160; • Постоянная антивирусная защита вашего компьютера сообщает о присутствии на компьютере троянских программ или бэкдоров, хотя в остальном все работает нормально. Хоть хакерские атаки могут быть сложными и необычными, большинство взломщиков полагается на хорошо известные троянские утилиты, позволяющие получить полный контроль над зараженным компьютером. Если ваш антивирус сообщает о поимке подобных вредоносных программ, то это может быть признаком того, что ваш компьютер открыт для несанкционированного удаленного доступа. </p> <p><strong><span style="font-size: 14px">UNIX-компьютеры:</span></strong></p> <p>&#160; &#160; • Файлы с подозрительными названиями в папке «/tmp». Множество эксплойтов в мире UNIX полагается на создание временных файлов в стандартной папке «/tmp», которые не всегда удаляются после взлома системы. Это же справедливо для некоторых червей, заражающих UNIX-системы; они рекомпилируют себя в папке «/tmp» и затем используют ее в качестве «домашней».<br />&#160; &#160; • Модифицированные исполняемые файлы системных сервисов вроде «login», «telnet», «ftp», «finger» или даже более сложных типа «sshd», «ftpd» и других. После проникновения в систему хакер обычно предпринимает попытку укорениться в ней, поместив бэкдор в один из сервисов, доступных из интернета, или изменив стандартные системные утилиты, используемые для подключения к другим компьютерам. Подобные модифицированные исполняемые файлы обычно входят в состав rootkit и скрыты от простого прямого изучения. В любом случае, полезно хранить базу с контрольными суммами всех системных утилит и периодически, отключившись от интернета, в режиме одного пользователя, проверять, не изменились ли они.<br />&#160; &#160; • Модифицированные «/etc/passwd», «/etc/shadow» или иные системные файлы в папке «/etc». Иногда результатом хакерской атаки становится появление еще одного пользователя в файле «/etc/passwd», который может удаленно зайти в систему позже. Следите за всеми изменениями файла с паролями, особенно за появлением пользователей с подозрительными логинами.<br />&#160; &#160; • Появление подозрительных сервисов в «/etc/services». Установка бэкдора в UNIX-системе зачастую осуществляется путем добавления двух текстовых строк в файлы «/etc/services» и «/etc/ined.conf». Следует постоянно следить за этими файлами, чтобы не пропустить момент появления там новых строк, устанавливающих бэкдор на ранее неиспользуемый или подозрительный порт. </p> <p><strong><span style="font-style: italic"><em class="bbuline">(с) Информация по праву принадлежит мне! Запрещенно копировать</em></span></strong></p> mybb@mybb.ru (SaS_22-UtH) Sat, 22 May 2010 21:56:19 +0400 http://securety.mybb.ru/viewtopic.php?pid=22#p22 http://securety.mybb.ru/viewtopic.php?pid=21#p21 <p>Когда компьютеры только появились, слово «хакер» было уважительным. Его использовали для обозначения компьютерных гениев, способных переписать часть ядра операционной системы, чтобы она стала лучше работать или «сбросить» всеми забытый администраторский пароль. Хакеров уважали за умение нестандартно мыслить и находить разумные решения самым сложным проблемам.</p> <p>Однако с течением времени оригинальное значение слова было утеряно, поскольку далеко не все «хакеры» ограничивались изменениями ядер ОС и восстановлением паролей по просьбам своих коллег. Некоторые из них начали вторгаться в плохо защищенные компьютерные системы, чтобы «доказать, что это возможно» и, наконец, перешли зыбкую границу взлома с целью кражи какой-либо важной информации или системных ресурсов.</p> <p>Компьютерное сообщество, столкнувшееся с размыванием значения термина «хакер», ввело в обиход несколько дополнительных терминов, например, «script kiddie» и «cracker». Термин «script kiddie» используется для обозначения людей, не обладающих существенными познаниями в области хакерства и просто использующих для взлома чужие хакерские утилиты — скрипты, эксплойты и т. п. Термин «cracker» обозначает человека, находящегося где-то между script kiddie и хакером по уровню своих знаний. Он умеет взламывать программы и, например, избавляться от защиты от копирования, но недостаточно умен, чтобы самостоятельно находить новые уязвимости или писать хакерские утилиты.</p> <p>Все еще более усложнилось, когда некоторые «кандидаты» в хакеры начали использовать хакерские утилиты, созданные кем-то другим, взламывать программы и воровать сервисы, в то же время, делая нечто общественно полезное, а «крэкеры» перестали ломать программы и удалять защиту от копирования, а принялись взламывать компьютеры в интернете. Из-за всех этих пертурбаций значение термина «хакер» стало гораздо менее «черно-белым», и в итоге были представлены термины «black hat», «white hat» и «grey hat».</p> <p>«Black hat» — плохой, «черный» хакер, который взламывает программы и иные системы с целью кражи информации, запускает DDoS-атаки и крадет номера кредитных карт. «White hat», «белый» хакер, наиболее близок к оригинальному значению термина «хакер» — много знающий программист и эксперт по безопасности, использующий свои таланты чтобы помогать повышать безопасность компьютерных систем и ловить преступников. Где-то между ними находятся «grey hat», серые хакеры, которые занимаются всем понемногу.</p> <p>Термины «хакер», «крэкер» и «script kiddie» часто используются в интернете и других средствах массовой коммуникации, хотя люди, занятые в области обеспечения информационной безопасности, предпочитают разделение хакеров на «белых» и «черных». Наконец, все эти термины субъективны, зависят от причастности пользующегося ими человека к одной или другой группе и могут провоцировать долгие споры о том, кто же на самом деле «черный», а кто — «белый» хакер.</p> <p><strong><span style="font-style: italic"><em class="bbuline">(c) Информация полностью моя! Без права на копирования</em></span></strong></p> mybb@mybb.ru (SaS_22-UtH) Sat, 22 May 2010 21:36:20 +0400 http://securety.mybb.ru/viewtopic.php?pid=21#p21 http://securety.mybb.ru/viewtopic.php?pid=20#p20 <p><span style="display: block; text-align: right">Errare humanum est.<br />(Людям свойственно ошибаться.)<br />Марк Туллий Цицерон,<br />римский писатель, философ<br />и государственный деятель</p> <p>Людям свойственно ошибаться,<br />но катастрофы осуществимы<br />только с помощью компьютера.<br />Пол Эрлих,<br />Законы Мерфи<br /></span></p> <p>Термин «уязвимость» часто упоминается в связи с компьютерной безопасностью, во множестве самых различных контекстов.</p> <p>В общем случае, уязвимость ассоциируется с нарушением политики безопасности, вызванным неправильно заданным набором правил или ошибкой в обеспечивающей безопасность компьютера программе. Стоит отметить, что теоретически все компьютерные системы имеют уязвимости. Но то, насколько велик потенциальный ущерб от вирусной атаки, использующей уязвимость, позволяет подразделять уязвимости на активно используемые и не используемые вовсе.</p> <p>Предпринималось много попыток четко определить термин «уязвимость» и разделить два его значения. MITRE, исследовательская группа, финансируемая федеральным правительством США, занимающаяся анализом и разрешением критических проблем с безопасностью, разработала следующие определения:</p> <p>Согласно <a href="http://www.cve.mitre.org/about/terminology.html" rel="nofollow" target="_blank">терминологии MITRE CVE</a>:</p><div class="quote-box quote-main"><blockquote><p>[...] Уязвимость — это состояние вычислительной системы (или нескольких систем), которое позволяет:</p> <p>&#160; &#160; • исполнять команды от имени другого пользователя;<br />&#160; &#160; • получать доступ к информации, закрытой от доступа для данного пользователя;<br />&#160; &#160; • показывать себя как иного пользователя или ресурс;<br />&#160; &#160; • производить атаку типа «отказ в обслуживании».</p></blockquote></div><p>В MITRE считают, что атака, производимая вследствие слабой или неверно настроенной политики безопасности, лучше описывается термином «открытость» (exposure).</p><div class="quote-box quote-main"><blockquote><p>Открытость — это состояние вычислительной системы (или нескольких систем), которое не является уязвимостью, но:</p> <p>&#160; &#160; • позволяет атакующему производить сбор защищенной информации;<br />&#160; &#160; • позволяет атакующему скрывать свою деятельность;<br />&#160; &#160; • содержит возможности, которые работают корректно, но могут быть легко использованы в неблаговидных целях;<br />&#160; &#160; • является первичной точкой входа в систему, которую атакующий может использовать для получения доступа или информации.</p></blockquote></div><p>Когда хакер пытается получить неавторизованный доступ к системе, он производит сбор информации (расследование) о своем объекте, собирает любые доступные данные и затем использует слабость политики безопасности («открытость») или какую-либо уязвимость. Существующие уязвимости и открытости являются точками, требующими особенно внимательной проверки при настройке системы безопасности против неавторизованного вторжения.</p> <p><strong><span style="font-style: italic"><em class="bbuline">(c) Информация полностью принадлежит SaS_22-UtH</em></span></strong></p> mybb@mybb.ru (SaS_22-UtH) Sat, 22 May 2010 18:02:48 +0400 http://securety.mybb.ru/viewtopic.php?pid=20#p20 http://securety.mybb.ru/viewtopic.php?pid=19#p19 <p>Проблемы с рекламными рассылками (спамом) у частного пользователя начинаются в тот момент, когда его email-адрес попадает в базу данных к спамерам. Выполнение приводимых ниже рекомендаций специалистов помогут максимально отдалить этот момент.</p> <p><strong><span style="font-size: 14px">Откуда спамеры узнают ваш адрес</span></strong></p> <p>Спамеры находят email-адреса своих жертв различными способами:</p> <p>&#160; &#160; • сканируя веб-сайты;<br />&#160; &#160; • сканируя доски объявлений, форумы, чаты, Usenet News и так далее;<br />&#160; &#160; • подбирая «легкие» адреса (jonh@, mary@, alex@, info@, sales@, support@) по словарю имен и частых слов;<br />&#160; &#160; • подбирая «короткие» адреса (aa@, an@, bb@, abc@) простым перебором. </p> <p>Исходя из этого, частному пользователю можно порекомендовать следующие меры:</p> <p><strong><span style="color: aqua"><span style="font-size: 14px">1.</span></span></strong><br /> </p> <p>Заведите себе два адреса — частный, для переписки (приватный и малоизвестный, который вы никогда не публикуете в общедоступных источниках), и публичный — для публичной деятельности (форумов, чатов и так далее).</p> <p><strong><span style="color: aqua"><span style="font-size: 14px">2.</span></span></strong><br /> </p> <p>Адрес для переписки никогда не должен публиковаться в открытом доступе.</p> <p><strong><span style="color: aqua"><span style="font-size: 14px">3.</span></span></strong><br /> </p> <p>Адрес для переписки не должен быть легким в запоминании или «красивым». Ваше имя или красивое слово — не подходят. Vasily.M.Pupkin-IV — подходит вполне. Чем длиннее адрес и чем менее он удобочитаем — тем лучше.</p> <p><strong><span style="color: aqua"><span style="font-size: 14px">4.</span></span></strong><br /> </p> <p>Если нужно сообщить свой приватный адрес (в конференции, на сайте) — делайте это способом, непригодным для автоматического прочтения сборщиком адресов. «Ivan-точка-Susanin-собака-mail-точка-ру» — хороший способ. «Ivan.Susanin at mail.ru» — гораздо хуже, Ivan.Susanin@mail.ru — никуда не годится. Если речь идет о публикации на сайте, можно опубликовать адрес в виде картинки.</p> <p><strong><span style="color: aqua"><span style="font-size: 14px">5.</span></span></strong><br /> </p> <p>Адрес для публикации нужно заранее считать временным. Не стоит его жалеть — вы всегда можете завести новый. Как правило, спам начинает приходить на него через несколько дней после публикации. Поскольку этот адрес могут использовать не только спамеры (туда будет приходить и нормальная почта), стоит его периодически просматривать. Вы можете читать почту, приходящую на него, раз в неделю или раз в месяц.</p> <p><strong><span style="font-size: 14px">Регистрации на сайтах</span></strong></p> <p>Некоторые интернет-магазины, конференции, форумы и т. п. требуют регистрации с указанием работающей электронной почты. Иногда переданные таким образом адреса попадают к спамерам. Далеко не всегда это злой умысел, но пользователям от этого не легче. Поэтому:</p> <p><strong><span style="color: aqua"><span style="font-size: 14px">6.</span></span></strong><br /> </p> <p>При регистрациях всегда указывайте публичный адрес. Он все равно может считаться потерянным. Можно на каждую регистрацию заводить новый адрес на бесплатных почтах — тогда вы будете знать, кто из магазинов и форумов «продал» ваш адрес спамерам.</p> <p><strong><span style="font-size: 14px">Спам все равно приходит. Что делать?</span></strong></p> <p>Если спама приходит немного и с ним еще можно мириться, то следует придерживаться простых правил:</p> <p><strong><span style="color: aqua"><span style="font-size: 14px">7.</span></span></strong><br /> </p> <p>Никогда не отвечайте спамеру. Возможно, ничего плохого не произойдет. Но может случиться и так, что ваш ответ прочитает «робот» и пометит ваш адрес как «живой» — в результате спама будет приходить еще больше.</p> <p><strong><span style="color: aqua"><span style="font-size: 14px">8.</span></span></strong><br /> </p> <p>Не пытайтесь воспользоваться ссылкой «отписаться», если вы не уверены, что она сработает. Возможно, вас действительно отпишет данный конкретный рассыльщик. Но при этом ваш адрес могут пометить как действующий... и спама станет больше. Узнать, что случится, можно, только попробовав. Но хотите ли вы этого?</p> <p>Если мириться со спамом уже никак нельзя:</p> <p><strong><span style="color: aqua"><span style="font-size: 14px">9.</span></span></strong><br /> </p> <p>Смените свой «частный» адрес. На некоторое время это поможет.</p> <p><strong><span style="font-size: 14px">Я никому не давал адрес, кроме самых близких знакомых, но на него приходит спам</span></strong></p> <p>К сожалению, ваш адрес мог быть украден из адресной книги вашего знакомого почтовым вирусом (который рассылается по адресной книге). Какого-либо разумного способа уберечься от этого не существует — даже если у всех знакомых есть антивирусная программа, у нее должны быть обновленные базы данных и т. д.</p> <p><strong><span style="font-size: 14px">Мне нужен адрес, куда всякий желающий мог бы написать!</span></strong></p> <p>Если вы хотите все-таки иметь общеизвестный и общедоступный адрес, приготовьтесь получать туда сотни спам-сообщений в сутки. Если не повезет — то тысячи в сутки. Если от такого адреса вы не хотите отказываться, то остается последний совет:</p> <p><strong><span style="color: aqua"><span style="font-size: 14px">10.</span></span></strong><br /> </p> <p>Используйте антиспам-фильтр — или на сервере, выбрав провайдера с услугой фильтрации спама, или у себя на компьютере, выбрав средство, подходящее для вашего почтового клиента. Современные фильтры обладают достаточно высоким качеством (процент фильтруемого спама у хороших и хорошо настроенных фильтров достигает 95-99%), и их использование резко снизит остроту проблемы.</p> <p><strong><span style="font-style: italic"><em class="bbuline">(с) Информация написал SaS_22-UtH. Ссылка на Securety.Mybb.Ru Обязательна!</em></span></strong></p> mybb@mybb.ru (KarrifaN_Killah) Sat, 22 May 2010 03:03:12 +0400 http://securety.mybb.ru/viewtopic.php?pid=19#p19 http://securety.mybb.ru/viewtopic.php?pid=18#p18 <p>Современная спам-рассылка распространяется в сотнях тысяч экземпляров всего за несколько десятков минут. Чаще всего спам идет через зараженные вредоносными программами пользовательские компьютеры — зомби-сети. Что можно противопоставить этому натиску? Современная индустрия IT-безопасности предлагает множество решений, и в арсенале антиспамеров есть различные технологии. Однако ни одна из существующих технологий не является магической «серебряной пулей» против спама. Универсального решения просто не существует. Большинство современных продуктов используют несколько технологий, иначе эффективность продукта будет не высока.</p> <p>Ниже перечислены наиболее известные и распространенные технологии.</p> <p><strong><span style="font-size: 14px">Черные списки</span></strong></p> <p>Они же DNSBL (DNS-based Blackhole Lists). Это одна из наиболее старых антиспам-технологий. Блокируют почту, идущую с IP-серверов, перечисленных в списке.</p> <p>&#160; &#160; • <strong>Плюсы:</strong> Черный список на 100% отсекает почту из подозрительного источника.<br />&#160; &#160; • <strong>Минусы:</strong> Дают высокий уровень ложных срабатываний, поэтому применять следует с осторожностью. </p> <p><strong><span style="font-size: 14px">Контроль массовости (DCC, Razor, Pyzor)</span></strong></p> <p>Технология предполагает выявление в потоке почты массовых сообщений, которые абсолютно идентичны или различаются незначительно. Для построения работоспособного «массового» анализатора требуются огромные потоки почты, поэтому эту технологию предлагают крупные производители, обладающие значительными объемами почты, которую они могут подвергнуть анализу.</p> <p>&#160; &#160; • <strong>Плюсы:</strong> Если технология сработала, то она гарантировано определила массовую рассылку.<br />&#160; &#160; • <strong>Минусы:</strong> Во-первых, «большая» рассылка может оказаться не спамом, а вполне легитимной почтой (например, Ozon.ru, Subscribe.ru тысячами расылают практически одинаковые сообщения, но это не спам). Во-вторых, спамеры умеют «пробивать» такую защиту с помощью интеллектуальных технологий. Они используют ПО, генерирующее разный контент — текст, графику и т.п. — в каждом спамерском письме. В итоге контроль массовости не срабатывает. </p> <p><strong><span style="font-size: 14px">Проверка интернет-заголовков сообщения</span></strong></p> <p>Спамеры пишут специальные программы для генерации спамерских сообщений и их мгновенного распространения. При этом они допускают ошибки в оформлении заголовков, в результате спам далеко не всегда соответствуют требованиям почтового стандарта RFC, описывающего формат заголовков. По этим ошибкам можно вычислить спамерское сообщение.</p> <p>&#160; &#160; • <strong>Плюсы:</strong> Процесс распознавания и фильтрации спама прозрачный, регламентированный стандартами и достаточно надежный.<br />&#160; &#160; • <strong>Минусы:</strong> Спамеры быстро учатся, и ошибок в заголовках спама становится все меньше. Использование только этой технологии позволит задержать не более трети всего спама. </p> <p><strong><span style="font-size: 14px">Контентная фильтрация</span></strong></p> <p>Также одна из старых, проверенных технологий. Спамерское сообщение проверяется на наличие специфических для спама слов, фрагментов текста, картинок и других характерных спамерских черт. Контентная фильтрация начиналась с анализа темы сообщения и тех его частей, которые содержали текст (plain text, HTML), но сейчас спам-фильтры проверяют все части, включая графические вложения.</p> <p>В результате анализа может быть построена текстовая сигнатура или произведен подсчет «спамерского веса» сообщения.</p> <p>&#160; &#160; • Плюсы: Гибкость, возможность быстрой «тонкой» настройки. Системы, работающие на такой технологии, легко подстраиваются под новые виды спама и редко ошибаются с разграничением спама и нормальной почты.<br />&#160; &#160; • Минусы: Обычно требуются обновления. Настройкой фильтра занимаются специально обученные люди, иногда — целые антиспам-лаборатории. Такая поддержка дорого стоит, что сказывается на стоимости спам-фильтра. Спамеры изобретают специальные трюки для обхода этой технологии: вносят в спам случайный «шум», затрудняющий поиск спамерских характеристик сообщения и их оценку. Например, используют в словах небуквенные символы (вот так, например, может выглядеть при использования этого приема слово viagra: vi_a_gra или vi@gr@), генерируют вариативный цветной фон в изображениях и т.п. </p> <p><strong><span style="font-size: 14px">Контентная фильтрация: байес</span></strong></p> <p>Статистическией байесовские алгоритмы также предназначены для анализа контента. Байесовские фильтры не нуждаются в постоянной настройке. Все, что им нужно — это предварительное обучение. После этого фильтр подстраивается под тематики писем, типичные для данного конкретного пользователя. Тем самым, если пользователь работает в системе образования и проводит тренинги, то лично у него сообщения данной тематики не будут распознаваться как спам. У тех, кому предложения посетить тренинг не нужны, статистический фильтр отнесет такие сообщения к спаму.</p> <p>&#160; &#160; • <strong>Плюсы:</strong> Индивидуальная настройка.<br />&#160; &#160; • <strong>Минусы:</strong> Лучше всего работает на индивидуальном потоке почты. Настроить «байес» на корпоративном сервере с разнородной почтой — сложная и неблагодарная задача. Главное, что конечный результат будет намного хуже, чем для индивидуальных ящиков. Если пользователь ленится и не обучает фильтр, то технология не будет эффективной. Спамеры специально работают над обходом байесовских фильтров, и это у них получается. </p> <p><strong><span style="font-size: 14px">Грейлистинг</span></strong></p> <p>Временный отказ в приеме сообщения. Отказ идет с кодом ошибки, который понимают все почтовые системы. Спустя некоторое время они повторно присылают сообщение. А программы, рассылающие спам, в таком случае повторно письмо не отправляют.</p> <p>&#160; &#160; • <strong>Плюсы:</strong> Да, это тоже решение.<br />&#160; &#160; • <strong>Минусы:</strong> Задержка в доставке почты. Для многих пользователей такое решение неприемлемо. </p> <p><strong><span style="font-style: italic"><em class="bbuline">(с) Источник SaS_22-UtH. Ссылка на Securety.Mybb.Ru Обязательна</em></span></strong></p> mybb@mybb.ru (KarrifaN_Killah) Sat, 22 May 2010 02:55:58 +0400 http://securety.mybb.ru/viewtopic.php?pid=18#p18 http://securety.mybb.ru/viewtopic.php?pid=17#p17 <p>На сегодняшний день рассылка спама приобрела исключительные масштабы — ежесуточно в мире рассылаются десятки миллиардов спам-сообщений (от 60 до 90 процентов всей электронной почты). Такие масштабы требуют существенных вложений в технологию рассылок.</p> <p><strong><span style="font-size: 14px">Технологические цепочки</span></strong></p> <p>Сложились вполне устойчивые технологические цепочки действий спамеров:</p> <p>&#160; &#160;1. Cбор и верификация email-адресов получателей. Классификация адресов по типам.<br />&#160; &#160;2. Подготовка «точек рассылки» — компьютеров, через которые будет рассылаться спам.<br />&#160; &#160;3. Создание программного обеспечения для рассылки.<br />&#160; &#160;4. Поиск клиентов.<br />&#160; &#160;5. Создание рекламных объявлений для конкретной рассылки.<br />&#160; &#160;6. Произведение рассылки. </p> <p>Каждый отдельный шаг в этой цепочке может выполняться независимо от другого.</p> <p><strong><span style="font-size: 14px">Сбор и верификация списков адресов</span></strong></p> <p>Для рассылки спама необходимо иметь список адресов электронной почты потенциальных получателей («спам-базу», email database). Адреса в таких списках могут иметь дополнительную информацию:</p> <p>&#160; &#160; • регион;<br />&#160; &#160; • вид деятельности компании (или интересы пользователей);<br />&#160; &#160; • список адресов пользователей конкретной почтовой службы (Yandex, AOL, Hotmail и т. п.) или конкретного сервиса (eBay, Paypal). </p> <p>Сбор адресов осуществляется следующими методами:</p> <p>&#160; &#160; • <strong>подбор по словарям имен собственных</strong>, «красивых слов», частых сочетаний «слово-цифра» (например, «jonh@», «destroyer@», «alex-2@»);<br />&#160; &#160; • <strong>метод аналогий</strong> — если существует адрес Joe.User@hotmail.com, то вполне резонно поискать Joe.User в доменах yahoo.com, aol.com, Paypal;<br />&#160; &#160; • <strong>сканирование всех доступных источников информации</strong> — веб-сайтов, форумов, чатов, досок объявлений, Usenet, баз данных Whois на сочетание «слово1@слово2.слово3» (при этом на конце такого сочетания должен быть домен верхнего уровня — com, ru, info и т. д.);<br />&#160; &#160; • <strong>воровство баз данных сервисов</strong>, провайдеров и т. п;<br />&#160; &#160; • <strong>воровство персональных данных пользователей</strong> при помощи компьютерных вирусов и прочих вредоносных программ. </p> <p>При сканировании доступных источников информации (способ 3) можно пытаться определить «круг интересов» пользователей данного источника, что дает возможность получить тематические базы данных. В случае воровства данных у провайдеров достаточно часто имеется дополнительная информация о пользователе, что тоже позволяет провести персонализацию.</p> <p>Все большее распространение получает воровство персональных данных пользователей — как адресных книг почтовых клиентов (большинство адресов в которых — действующие), так и других персональных данных. К сожалению, массовые вирусные эпидемии последних лет показывают, что распространенность антивирусных средств недостаточна, следовательно, частота использования данного способа сбора персональных данных будет расти.</p> <p>Полученные адреса нужно верифицировать, что осуществляется следующими способами:</p> <p>&#160; &#160; • <strong>Пробная посылка сообщения.</strong> Как правило, это сообщения со случайным текстом, которые проходят через спам-фильтры. Анализируя ответ почтового сервера (почта принята или не принята), можно выяснить, действует ли каждый конкретный адрес из списка.<br />&#160; &#160; • Помещение в текст спам-сообщения <strong>уникальной ссылки на картинку, расположенную на WWW-сервере</strong>. При прочтении письма картинка будет загружена (во многих современных почтовых программах эта функция блокирована), а владелец сайта узнает о доступности адреса. Метод верифицирует не валидность адреса, а факт прочтения письма.<br />&#160; &#160; • <strong>Ссылка «отписаться» в спам-сообщении</strong>. Если получатель нажимает на эту гиперссылку, то никакой отписки не происходит, а его адрес помечается как валидный. Метод верифицирует активность получателя. </p> <p>Все три способа верификации не слишком хороши, соответственно, в базах данных адресов электронной почты будет достаточно много «мертвых» адресов.</p> <p><strong><span style="font-size: 14px">Подготовка «точек рассылки»</span></strong></p> <p>На сегодняшний день профессиональная рассылка спама осуществляется тремя основными способами:</p> <p>&#160; &#160; • <strong>прямая рассылка</strong> с арендованных серверов;<br />&#160; &#160; • использование <strong>«открытых релеев»</strong> и <strong>«открытых прокси»</strong> — сервисов, ошибочно сконфигурированных их владельцами таким образом, что через них можно рассылать спам;<br />&#160; &#160; • скрытая установка на пользовательских компьютерах программного обеспечения, позволяющего несанкционированный доступ к ресурсам данного компьютера (<strong>бэкдоров</strong>). </p> <p>Для рассылки спама с арендованных серверов необходимо иметь постоянно пополняемый набор этих серверов. Они достаточно быстро попадают в черные списки IP-адресов, следовательно, рассылать спам таким образом можно только на тех получателей, почтовые сервисы которых не используют черные списки.</p> <p>Для использования открытых сервисов необходимо постоянно вести поиск таких сервисов — для этого пишутся и используются специальные программы, которые быстро сканируют большие участки адресного пространства интернета.</p> <p>Наибольшую популярность на сегодняшний день имеет установка бэкдоров на компьютерах обычных пользователей. Это осуществляется одним из следующих способов:</p> <p>&#160; &#160; • <strong>Включение троянских программ в пиратское программное обеспечение:</strong> модификация распространяемых программ, включение троянской программы в «генераторы ключей», «программы для обмана провайдеров» и т. п. Достаточно часто такие программы распространяются через файлообменные сети (eDonkey, Kazaa) либо через сайты с «варезом» (warez, пиратские копии программ).<br />&#160; &#160; • <strong>Использование уязвимостей в интернет-браузерах</strong> (в первую очередь, Microsoft Internet Explorer) — ряд версий таких программ содержит ошибки в проверке прав доступа, что позволяет разместить на веб-сайте компоненты, которые будут незаметно для пользователя скачаны и выполнены на его компьютере, после чего на компьютер пользователя будет открыт удаленный доступ для злоумышленников. Такие программы распространяются в основном через часто посещаемые сайты (прежде всего порнографического содержания). Однако летом 2004 года была замечена двухступенчатая схема — массовый взлом сайтов, работающих под управлением MS IIS и модификация страниц на этих сайтах с включением в них вредоносного кода, что привело к заражению компьютеров пользователей, посещавших эти сайты (обычного содержания). В ноябре 2006 года аналогичной атаке подверглись сервера, пользовавшиеся услугами хостинг-провайдера Valuehost.<br />&#160; &#160; • <strong>Использование компьютерных вирусов</strong>, распространяемых по каналам электронной почты и использующих уязвимости в сетевых сервисах Microsoft Windows: интенсивность попыток использования уязвимостей Windows на сегодняшний день просто чудовищна — подключенная к Интернету машина под управлением стандартной Windows XP без включенного межсетевого экрана и установленных сервисных паков оказывается зараженной в течение нескольких десятков минут. </p> <p>Современные вредоносные программы являются достаточно развитыми в техническом смысле — их авторы прикладывают значительные усилия для затруднения их обнаружения со стороны (например, провайдером, клиенты которого рассылают спам незаметно для себя). Троянские компоненты могут притворяться интернет-браузером, обращаясь на веб-сайты за инструкциями, что им делать — заниматься DoS-атакой, рассылать спам и т. п. (более того, инструкции могут содержать указание о времени и «месте» следующего получения инструкций). Другой способ замаскированного получения команд заключается в использовании IRC.</p> <p>С другой стороны, одно из применений зараженных машин — это сдача их в аренду (например, для рассылки спама). Требование «продаваемости» списка приводит к тому, что вредоносные программы работают по стандартным протоколам (HTTP или SOCKS proxy) с номерами портов из небольшого списка, что дает возможность их использования третьими лицами и одновременно облегчает поиск зараженных машин системными администраторами.</p> <p><strong><span style="font-size: 14px">Программное обеспечение для рассылки спама</span></strong></p> <p>Средняя спам-рассылка имеет на сегодняшний день объем не менее нескольких десятков миллионов сообщений. Эти сообщения требуется разослать за небольшое время, чтобы успеть произвести рассылку до перенастройки (или обновления базы данных) антиспам-фильтров.</p> <p>Быстрая рассылка большого количества email-сообщений является технологической проблемой, решение которой требует достаточно больших ресурсов. Как следствие, на рынке имеется относительно небольшое количество программ, удовлетворяющих требованиям спамеров-профессионалов. Эти программы на сегодняшний день:</p> <p>&#160; &#160; • умеют рассылать как через «открытые сервисы» (почтовые релеи, proxy), так и через зараженные пользовательские машины;<br />&#160; &#160; • могут формировать динамический текст письма (см. ниже раздел о формировании текстов);<br />&#160; &#160; • достаточно точно подделывают заголовки сообщений — распознавание спама по заголовкам становится нетривиальной задачей;<br />&#160; &#160; • могут отслеживать валидность баз данных email-адресов;<br />&#160; &#160; • могут отслеживать статус сообщения на каждый отдельный адрес — и перепосылать его через другую «точку рассылки» в случае использования на приемной стороне черных списков. </p> <p>Такие программы оформлены либо в виде сервиса, доступного по подписке, либо как отчуждаемая (покупаемая) программа.</p> <p><strong><span style="font-size: 14px">Поиск клиентов</span></strong></p> <p>Судя по всему, основной способ поиска клиентов — это собственно рекламные рассылки (спам). Такие рекламные объявления составляют существенную долю всего спама. Таким же образом рекламируются и другие относительно легальные сервисы, например, программы для рассылки и базы данных email-адресов.</p> <p><strong><span style="font-size: 14px">Формирование текста писем</span></strong></p> <p>На сегодняшний день простая рассылка одинаковых (или почти одинаковых) спам-сообщений не является эффективной. Такие письма будут обнаружены многочисленными фильтрами по частотности (повторяемости одинаковых сообщений) — настройка фильтров по содержанию письма тоже является тривиальной. Поэтому спам-сообщения сейчас — индивидуальны, каждое следующее отличается от предыдущих. Основные технологии «индивидуализации» сообщений таковы:</p> <p>&#160; &#160; • <strong>Внесение случайных текстов, «шума», невидимых текстов.</strong> В начало или конец письма спамер может поместить отрывок из классического текста или просто случайный набор слов. В HTML-сообщение можно внести «невидимый» текст (очень мелким шрифтом или цветом, совпадающим с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно определить сам факт использования «спамерского трюка» и отклассифицировать сообщение как спам, не анализируя его текст в деталях.<br />&#160; &#160; • <strong>Графические письма.</strong> Рекламное сообщение можно прислать пользователю в виде графического файла — что крайне затруднит автоматический анализ. В качестве ответной меры появляются способы анализа изображений, выделяющие из них текст.</p> <p>&#160; &#160; • <strong>Изменяющиеся графические письма.</strong> В графическое сообщение можно внести «шум», что затруднит его анализ фильтром.</p> <p>&#160; &#160; • <strong>Фрагментирование изображения.</strong> Изображение с текстом, которое пользователи видят на экране, может состоять из нескольких фрагментов, хотя рядовой пользователь этого не замечает и на экране видит целостное изображение. Разновидностью является использование анимации, когда изображение содержит несколько кадров, которые накладываются друг на друга и в итоге пользователь видит полный текст спамерского предложения.<br />&#160; &#160; • Перефразировка текстов. Одно и то же рекламное сообщение составляется во множестве вариантов одного и того же текста. Каждое отдельное письмо выглядит как обычный связный текст, и только имея много копий сообщения, можно установить факт перефразировки. Таким образом, эффективно настроить фильтры можно только после получения существенной части рассылки. </p> <p>Эти методы поддерживаются непосредственно в программах для рассылки, поэтому использование конкретного метода индивидуализации сообщений зависит от используемого программного обеспечения.</p> <p><strong><span style="font-size: 14px">Спам и психология</span></strong></p> <p>Однако быстро отправить сообщение и доставить его, обойдя все фильтры, — важная часть процесса рассылки спама, но не единственная. Спамерам важно добиться, чтобы пользователь прочел спам и выполнил требуемые действия (позвонил, перешел по ссылке и т.п.), поэтому они осваивают психологические способы воздействия на получателей сообщений. В частности, чтобы привлечь их внимание и спровоцировать чтение писем, спамеры пытаются заставить получателей поверить, что перед ними не спам, а личные сообщения. В начале 2006 года спамеры пользовались в основном примитивными приемами: добавляли в тему сообщения метки RE или FW как показатель того, что данное сообщение является ответом на предыдущую переписку или отправлено кем-то из известных адресатов. Но уже к середине года такие «простые» приемы дополняются более изощренной маскировкой — некоторые спамерские тексты стилистически и лексически оформляются, как личная переписка. Часто такой спам не содержит обращений или содержит обращения вида «подруга», «малышка» и т.п., чтобы создать у пользователя иллюзию, что письмо было адресовано именно ему. Иногда в подделке под личную переписку упоминаются и имена. В любом случае, пользователь может захотеть разобраться, что это за сообщение, откуда, не надо ли его куда-то переслать, и, как минимум, прочтет экземпляр спама.</p> <p>Другим приемом социального инжиниринга является использование для темы спамерских писем «горячих» новостей (зачастую собственного сочинения).</p> <p><strong><span style="font-size: 14px">Разделение труда</span></strong></p> <p>Как видно из вышесказанного, все основные технологические составляющие бизнеса спамеров могут быть использованы независимо. Как следствие, в настоящее время существуют отдельные «производители» вирусов и троянских компонент, отдельные авторы программ для рассылки, отдельные сборщики адресов. Спамеры — а именно те, кто собирает с клиентов деньги и производит рассылку — могут просто арендовать необходимые им сервисы, покупать базы данных, списки рассылающих машин и использовать их. Таким образом, вход на данный рынок является относительно дешевым.</p> <p>В то же время, очевидно разделение рынка на профессионалов (которые, как правило, обладают чем-то своим: базой данных адресов, или программой для рассылки, или собственным вирусом), для которых спам является основным источником дохода, и любителей, пытающихся заработать чуть-чуть денег.</p> <p><strong><span style="font-size: 14px">Перспективы</span></strong></p> <p>Зная стоимость спам-рассылки (порядка 100 USD за миллион сообщений) и количество рассылаемых в мире сообщений (десятки миллиардов в день), несложно оценить денежный оборот на этом рынке: он составляет сотни миллионов долларов в год. В индустрии с таким оборотом должны появляться «компании полного цикла», осуществляющие весь комплекс услуг «на высоком профессиональном уровне». Единственной проблемой является криминальность всего бизнеса — распространение троянских программ является уголовным преступлением во всех странах, где есть минимальное количество компьютеров. Сбор персональных данных без ведома пользователя тоже является наказуемым.</p> <p>По всей видимости, если подобные вертикальные компании еще не появились, то появление их — дело ближайшего будущего.</p> <p><strong><span style="font-style: italic"><em class="bbuline">(с) Статья написана и опубликована мной! Ссылка на Securety.Mybb.Ru Обязательна!</em></span></strong></p> mybb@mybb.ru (KarrifaN_Killah) Sat, 22 May 2010 02:51:11 +0400 http://securety.mybb.ru/viewtopic.php?pid=17#p17