Рубрика «Malware» - 10

в 12:51, , рубрики: Malware, Блог компании ESET NOD32

Наши специалисты технической поддержки фиксируют самые разные запросы пользователей. Один из таких запросов оказался весьма интересным для анализа. Ситуация заключалась в обнаруженной нами вредоносной активности в системе пользователя, которая проявилась в технике DNS hijack. Она используется для перенаправления DNS-запросов пользователя на специальные DNS-серверы. Особенность ситуации заключалась в том, что вредоносное ПО использовало для операции hijack специальный метод, который скрывал от глаз пользователя вредоносную активность.

Нежелательное ПО DNS Unlocker использует метод DNS hijack для обмана пользователей - 1

Таким образом, пользователь не мог видеть настройки DNS-серверов в GUI-интерфейсе сетевых настроек. Кроме этого, там также будет указано, что система использует DHCP-протокол для получения настроек. Нежелательное приложение, которые выполняет подобные операции в системе, называется DNS Unlocker.

Читать полностью »

в 22:45, , рубрики: goznym, IBM, Malware, антивирусная защита, Блог компании IBM, информационная безопасность, метки:

Двухголовый монстр в мире вирусов: GozNym - 1

Сотрудники IBM X-Force Research обнаружили новый троян, который является гибридом довольно известных зловредов Nymaim и Gozi ISFB. Оказалось, что разработчики Nymaim совместили исходный код этого вируса с частью кода Gozi ISFB. Получился гибрид, который активно использовался при атаках на сети 24 банков США и Канады. При помощи этого malware удалось украсть миллионы долларов. Гибридный вирусный продукт получил название GozNym.

По словам специалистов по информационной безопасности, этот гибрид взял лучшее от двух упомянутых выше вирусов: от Nyamaim зловред наследовал умение скрывать свое присутствие от антивирусов, от Gozi — возможность проникать на ПК пользователей. GozNym неофициально назвали «двухголовым монстром».
Читать полностью »

в 6:03, , рубрики: botnets, DGA, information security, lasagne, LSTM, machine learning, Malware, natural language processing, neural networks, sklearn, theano, Блог компании «Digital Security», информационная безопасность, машинное обучение

Распознавание DGA доменов. А что если нейронные сети? - 1

Всем привет!

Сегодня мы поговорим про распознавание доменов, сгенерированных при помощи алгоритмов генерации доменных имен. Посмотрим на существующие методы, а также предложим свой, на основе рекуррентных нейронных сетей. Интересно? Добро пожаловать под кат.

Читать полностью »

в 18:38, , рубрики: Malware, Блог компании ESET NOD32

Subj, комплект исходных текстов бота Gozi ISFB (a.k.a Ursnif) опубликован в открытом доступе и доступен всем желающим. Вредоносная программа Ursnif является достаточно серьезным инструментом для работы с http и https трафиком на компьютере жертвы, она содержит в себе 32-битный и 64-битный компоненты полезной нагрузки для внедрения их в различные работающие процессы таких веб-браузеров как Google Chrome, Microsoft Internet Explorer, Mozilla Firefox, а также привилегированный процесс диспетчера сервисов Services.exe.

Исходные тексты бота Gozi утекли в сеть - 1

Ursnif начал активно использоваться киберпреступниками еще пять лет назад, а самые первые его версии вышли в свет еще в 2008 г. Злоумышленники активно использовали набор эксплойтов Blackhole exploit kit для распространения дропперов трояна. Недавно мы писали, что сам автор Blackhole получил семь лет тюрьмы. Gozi или Ursnif использовался злоумышленниками как похититель различной информации на системе жертвы, включая, учетные данные таких сервисов как FTP, Telnet, POP3, и IMAP.

Читать полностью »

в 14:51, , рубрики: linux, Malware, mumblehard, Блог компании ESET NOD32, метки:

Спустя год после публикации нашего технического анализа ботнета на основе вредоносной программы Linux/Mumblehard, мы рады сообщить о его успешном демонтировании. Компания ESET, совместно с киберполицией Украины и компанией CyS Centrum LLC, смогли демонтировать ботнет Mumblehard, остановив его активность по рассылке спама с 29 февраля 2016 г. Компания ESET, совместно с киберполицией Украины и компанией CyS Centrum LLC, смогли демонтировать ботнет Mumblehard, прекратив его активность по рассылке спама с 29 февраля 2016 г.

Ботнет Linux-Mumblehard демонтирован с помощью ESET - 1

Компания ESET применила известный механизм под названием sinkhole (синкхолинг) для всех известных компонентов Mumblehard. Мы поделились полученными в результате этой операции данными с организацией CERT-Bund. Эта организация уведомила центры CERT других стран в случае присутствия там ботов Mumblehard.

Читать полностью »

в 9:53, , рубрики: linux, Malware, remaiten, антивирусная защита, Блог компании ESET NOD32, метки:

В первой части нашего ресерча мы рассмотрели несколько особенностей вредоносной программы Linux/Remaiten, а именно, внутреннее устройство загрузчика бота, его взаимодействие с управляющим C&C-сервером, обрабатываемые ботом команды, а также сканер telnet для поиска других потенциальных жертв. Мы также отметили присутствие компонентов вредоносной программы для микропроцессоров архитектур MIPS и ARM. Кроме этого, мы удивились, обнаружив намек на присутствие ботов для таких платформ Power PC и SuperH.

Злоумышленники используют бот Linux-Remaiten для компрометации embedded-устройств, часть 2 - 1

Во второй части мы более детально остановимся на процессе заражения вредоносной программой других устройств, а также другой интересной функции, которая позволяет Linux/Remaiten завершать процессы других ботов и программ в Linux.

Читать полностью »

в 13:19, , рубрики: linux, Malware, Блог компании ESET NOD32

Специалисты ESET активно отслеживают деятельность вредоносных программ, которые используются злоумышленниками для компрометации встраиваемых устройств (embedded devices), например, роутеров. Недавно мы обнаружили IRC-бот, который содержит в себе функции нескольких уже известных вредоносных программ для Linux: Linux/Tsunami (a.k.a Kaiten) и Linux/Gafgyt. Вредоносная программа получила название Linux/Remaiten и оснащена новыми функциями, которые отличают ее от этих вредоносных программ.

Злоумышленники используют бот Linux-Remaiten для компрометации embedded-устройств, часть 1 - 1

Мы наблюдали три версии Linux/Remaiten – 2.0, 2.1 и 2.2. На основе обнаруженных артефактов в коде мы установили, что сами авторы назвали это вредоносное ПО как «KTN-Remastered» или «KTN-RM». В нашем исследовании мы опубликуем данные анализа Remaiten, а также расскажем о его уникальном механизме распространения, который был выбран злоумышленниками. Этот механизм различается в разных версиях бота.

Читать полностью »

в 12:25, , рубрики: Malware, Блог компании ESET NOD32

Наши аналитики обнаружили необычную троянскую программу для Windows, которая специализируется на заражении съемных USB-накопителей и отличается от других аналогичных вредоносных программ интересными особенностями. Одной из таких особенностей трояна является тот факт, что каждый его экземпляр является уникальным и находится в прямой зависимости от конкретного зараженного им накопителя, причем он не оставляет никаких следов работы в скомпрометированной системе жертвы. Такой метод используется как механизм самозащиты от копирования своего тела с диска с последующим анализом его функций.

Троян для Windows специализируется на краже данных из изолированных air-gapped компьютеров - 1

В нашем исследовании мы представим технические особенности этой вредоносной программы, которая использует особую технику компрометации съемного носителя. Эта техника отличается от старого известного способа, основанного на использовании файлов autofun.inf или специальным образом сформированных файлов ярлыков. Вредоносная программа прибегает к методу компрометации переносимых (portable) версий таких известных приложений как Firefox, NotePad++ и TrueCrypt. При запуске такого приложения пользователем, оно скрытно запускает в системе пользователя этот троян.

Читать полностью »

в 9:38, , рубрики: Malware, вирусы, Вконтакте, мошенничество, реверс, реверс-инжиниринг

image Социальная сеть «ВКонтакте» превратилась в настоящую торговую площадку, естественно мошенники не упускают возможность заработать и придумывают всё новые способы обмана доверчивых пользователей. Я рассмотрю способ которым пользуются уже более полугода и расскажу как мошенникам удаётся убедить рядового пользователя купить пароль от архива с заведомо неизвестным результатом матча.
Читать полностью »

в 23:15, , рубрики: KeRanger, Malware, OS X, ransomware, security, Блог компании ESET NOD32, метки:

В нашем предыдущем посте корпоративного блога мы представили информацию о вымогателе для OS X под названием KeRanger. Данные о KeRanger были взяты из отчета компании Palo Alto Networks, специалисты которой представили информацию об этой угроз первыми. Наш аналитик Антон Черепанов также занимался анализом KeRanger, однако, он не успел опубликовать эти данные до вышеупомянутых специалистов.

Вымогатель KeRanger для OS X: наш анализ - 1

В этом посте мы представим информацию из собственного исследования первого вымогателя для OS X, а также расскажем об особенностях обнаружения KeRanger с использованием наших антивирусных продуктов. Так как авторы Transmission выпустили новую версию своего приложения с идентификатором 2.91, мы рекомендуем всем пользователям данного ПО обновиться до этой версии.

Читать полностью »

1...91011...16
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js