Эта история начинается между 28.03.2013 и 2.04.2013. В этот промежуток времени сайт ******.ru был инфицирован. Это хорошо можно отследить по archive.org. В коде страниц появляется следующая строчка.
Читать полностью »
В настоящее время очевидно смещение вектора компьютерных атак от массового заражения к целевым, точечным атакам. Как сказал Е. Касперский: «Девяностые были десятилетием киберхулиганов, двухтысячные были десятилетием киберпреступников, сейчас наступила эра кибервойн и кибертеррора». Иллюстрацией этому являются всем известные примеры: Stuxnet, Duqu, Flamer, Gauss, которые многие антивирусные компании причисляют к кибероружию.
Одним из ярких примеров использования кибероружия может служить шпионская сеть «Красный октябрь», которая пять лет активно добывала информацию из правительственных организаций, различных исследовательских институтов, крупных международных компаний. Серьезная защищенность этих объектов не остановила работу вредоносной системы. Она была раскрыта всего несколько месяцев назад, что свидетельствует о возрастающей угрозе вмешательства в работу любой компьютерной системы.
Отличный подход к информационной безопасности показала Американская администрация экономического развития (The Commerce Department's Economic Development Administration).
Вирусная атака нанесла этому ведомству урон в $2.7 млн. долларов, что составило практически половину его бюджета, но весь сок в подробностях.
Несколько компьютеров организации были заражены вирусами. Команда реагирования на инциденты провела анализ трафика и пришли к выводу, что заражены 146 из 250 компьютеров. Как потом оказалось, они проанализировали неверные данные и проблема затронула всего два компьютера, на самом деле.
Но проблема предстала перед ними серьезной — это ж кибер атака! Надо срочно защищаться! Как результат, было принято решение о физическом уничтожении «инфицированных» компьютеров, включая (!) мышки, клавиатуры, принтеры, видеокамеры и даже телевизоров (на что потрачено $170 тыс долларов), и полной смене IT-инфраструктуры.
Думаю, что все сталкивались с проблемой злобных «авторанов». И есть много способов решения: СПО, скрипты, «танцы с бубном» и т.п. Я же хочу предложить простой алгоритм решения для пользователей OS Windows, который не требует сторонних вмешательств. Для достижения цели нам потребуется несколько шагов — точнее два.
Читать полностью »
Только что Hetzner совершил массовую рассылку для всех клиентов выделенного хостинга, сообщая об обнаружении бэкдора в своей сети, и о том, что значительная часть данных пользователей могла быть скомпрометирована, в том числе вся информация, хранящаяся в веб-панели Robot (данные по кредитным картам, впрочем, не пострадали).
Согласно письму, зловред проник в сеть компании через дыру в системе мониторинга Nagios, и поражал запущенные процессы веб-сервера Apache и sshd (терминал), при этом не изменяя сами бинарники, что и позволило бреши столь долгое время находиться незамеченной. По словам техников, ничего подобного им раньше не попадалось.
Для оценки произошедшего была нанята отдельная секьюрити-компания, которая помогает местным администраторам разобраться в произошедшем, и полностью вычистить сеть от всех копий зловреда. Все компетентные органы были оповещены, расследование на данный момент еще не завершено.Читать полностью »
Помните, как в апреле мы писали про инициативу разработчиков ввести черный список для ПО, которое игнорирует рекомендации команды Google Chrome по установке сторонних расширений? И именно по причине не соблюдения рекомендаций официальный установщик Яндекс.Элементов признан вредоносным.
Кстати, на волне олдскульных меломанов в комментах всплыла тема о том, что поиск Яндекса при помощи Рамблера раздается теперь на torrentino.ru.
Метод используется тот же, что и у мейла (загрузчик), ниже я подробнее опишу технологию.
Читать полностью »
Как-то среди ночи меня пробила ностальгия и я решил сказать с зайцев.нет композицию Анжелики Варум — «Городок».
Нахожу, подходит битрейт, выбираю mp3 и качаю.
Но почему-то скачался .exe файл… и со странного адреса dls3.moilru.ru/output/.../02/96/6b/9f/audio/varum_anzhelika_-_gorodok_zaycev_net.exe
Что за ерунда думаю.
Читать полностью »
Каждый двадцатый компьютер, имеющий антивирусную защиту, все же заражен тем или иным вирусом. Именно к такому выводу мы пришли, проанализировав статистику запущенного около года назад бесплатного сервиса Kaspersky Security Scan (KSS).
Это очень большая цифра — по самым скромным оценкам, речь идет о 50 млн. машин — поэтому мы провели дополнительное исследование.
Читать полностью »
Захватывающее действие разворачивается на Вашем компьютере совсем неожиданно и, как правило, в самый неподходящий момент. Начинается все просто, Вы отправляетесь на свой любимый сайт или в социальную сеть и обнаруживаете что-то необычное…
Так случилось и с моим компьютером. Захожу на сайт, вижу в левом углу неприличную картинку (рекламный баннер). В голове промелькнуло 2 мысли:
Побродив по нескольким сайтам и не увидев этого самого баннера, я сделал вывод, что все-таки заражен сайт. Так как это был сайт довольно крупной компании, я позвонил в тех. поддержку. Выслушали, выразили благодарность за бдительность, но во время разговора сообщили, что у них этот баннер не отображается ни под одним браузером.
Начал исследовать сайт, и вижу, что в коде Яндекс метрики есть такая строчка:
<noscript><div><img src="//mc.yandex.ru/watch/image2.jpg" style="position:absolute; ..." alt=""></div></noscript>
Именно она и показывает баннер. Не совсем понятно, как это делается в теге <nosctipt></nosctipt>, однако ясно, что ссылка на картинку фишинговая.
Отправляемся в файлик hosts (%windir%system32driversetchosts).
И вот тут мной была допущена серьезная ошибка: открыл, посмотрел, все число, закрыл. Однако не обратил внимания на появившуюся полосу прокрутки.Читать полностью »