Коллеги, случилось невероятное — я подцепил вирус. Нет, в самом этом факте нет ничего удивительного. Но удивительно то, на каком уровне этот вирус работает. Точнее — я категорически не понимаю на каком уровне он работает, и уже готов предположить, что на аппаратном.
Читать полностью »
Рубрика «Вирусы (и антивирусы)» - 4
Непонятный механизм заражения вирусом — прошу помощи зала
2014-01-22 в 12:21, admin, рубрики: вирусы, Вирусы (и антивирусы), метки: вирусыПодмена DNS сервера. Будьте осторожны
2014-01-17 в 22:08, admin, рубрики: DNS, Вирусы (и антивирусы), информационная безопасность, мошенничество, метки: dns, мошенничествоПривет, хабросообщество.
Хочу поделиться с вами случаем, который недавно со мной произошел. Надеюсь, кого-то эта статья сможет уберечь от потери приватных данных и, даже, денег.
Читать полностью »
Анализ подозрительных PDF файлов
2014-01-15 в 6:46, admin, рубрики: malware analysis, malware reversing, PDF, pentestit, Блог компании PentestIT, Вирусы (и антивирусы), информационная безопасность, метки: malware analysis, malware reversing, PDF, pentestitНесколько месяцев назад я столкнулся с интересной задачей по анализу подозрительного pdf файла. К слову сказать, обычно я занимаюсь анализом защищенности веб приложений и не только веб, и не являюсь большим экспертом в направлении malware analysis, но случай представился довольно любопытный.
Практически все инструменты представленные в данной статье содержаться в дистрибутиве Remnux, созданном специально в целях reverse engineering malware. Вы можете сами загрузить себе образ виртуальной машины для VirtualBox или Vmware.
Читать полностью »
Вирус вывел из строя все комплексы видеофиксации в Подмосковье
2014-01-13 в 17:58, admin, рубрики: Вирусы (и антивирусы), Гибдд, информационная безопасность, метки: Гибдд 
Более 100 комплексов фото- и видеофиксации в Подмосковье вывел из строя вирус, сообщает «Газета.Ru». По данным издания, ни одна из установленных ГИБДД камер «Стрелка-СТ» сейчас не работает.
В распоряжении журналистов оказалось письмо от фирмы, занимающейся обслуживанием приборов:
«Исследование показало, что массовое выключение комплексов фотовидеофиксации «Стрелка-СТ» началось в 01.00 9 января 2014 года, и к 11.00 утра данные перестали приходить с более чем 90 точек, исправно работающих накануне, 8 января 2014 года», — говорится в документе.
К 10 января из строя вышли уже 110 из 144 установленных в Московской области камер. В письме говорится и о причинах коллапса:
После углубленной диагностики термостатированных компьютеров комплекса «Стрелка-СТ» было установлено:
— в результате намеренного взлома системы была повреждена файловая система блоков обработки и управления комплексов «Стрелка-СТ», что делает невозможным запуск операционной системы Windows XP и специализированного программного обеспечения комплексов;
— повреждены системные журналы операционной системы; на системном диске С:
— найден инородный вредоносный пакетный файл 222.bat, настроенный для автоматического изменения пароля операционной системы и запуска исполняемого файла 1.exe;
— изменены пароли на доступ в операционную систему с правами администратора.Причиной неработоспособности комплексов является умышленный взлом операционной системы неизвестными лицами.
Антивирус McAfee сменит название на Intel Security
2014-01-07 в 19:30, admin, рубрики: intel, mcafee, Брайан Кржанич, Вирусы (и антивирусы), Джон Макафи, метки: intel, mcafee, Брайан Кржанич, Джон Макафи 
Сегодня на выставке CES генеральный директор Intel Брайан Кржанич объявил, что бренд McAfee будет заменён на Intel Security, пишет The Next Web. Новый бренд будет использоваться для всех продуктов и сервисов Intel в сфере безопасности.
Ребрендинг, вероятно, связан с попыткой дистанцироваться от одиозного создателя McAfee Джона Макафи, который так отреагировал на новость: «Я теперь буду вечно благодарен Intel за освобождение меня от этой ужасной ассоциации с худшей программой на планете. Это не мои слова, это слова миллионов разгневанных пользователей. Мой восторг в связи с решением Intel невозможно выразить словами».
Читать полностью »
Tribute to HIEW
2014-01-05 в 13:19, admin, рубрики: HIEW, вирусы, Вирусы (и антивирусы), дизассемблер, информационная безопасность, реверс-инжиниринг, метки: HIEW, Reversing, вирусы, дизассемблер, реверс-инжиниринг Навеяно древними воспоминаниями… Проходят года и десятилетия, сменяют друг друга названия операционных систем, но кое-что всё же остаётся неизменным. Среди всего многообразия околохакерского ПО меня всегда удивлял HIEW; непостижимым образом этой консольной программе удаётся бороться со временем и быть популярной даже сегодня. HIEW занял свою нишу и стал основным инструментом промышленного вирусного аналитика. Вам может показаться это странным и неудобным, но использовать HIEW для вирусного анализа — очень эффективно.
Читать полностью »
Тривиальное шифрование во вредоносных файлах
2013-12-27 в 10:53, admin, рубрики: kaspersky lab, Блог компании «Лаборатория Касперского», вирусный анализ, Вирусы (и антивирусы), криптография, шифрование, метки: kaspersky lab, вирусный анализ, шифрованиеПривет. Это снова Алексей Маланов из «Лаборатории Касперского». В прошлый раз я рассказывал про опыт найма вирусных аналитиков, а сегодня расскажу про то, что делают вирусописатели, чтобы их работа не была замечена, и что делаем мы, чтобы их труд в итоге оказался напрасен.
Вообще говоря, злоумышленник пишет вредоносную программу, почти всегда заранее зная, что она рано или поздно попадет на «операционный стол» вирусному аналитику. И вся информация из зловреда может быть использована против автора. А чего ему скрывать? Ну, во-первых свою личность. Порой в зловредах встречаешь строки, типа C:UsersVasiliy IvanovDocumentsVisual Studio 2005заработокtrojanReleasetrojan.pdb. Во-вторых, довольно много информации, облегчающей анализ зловреда. Давайте рассмотрим некоторые приемы вирусописателей, и выясним, почему же они бесполезны.
Читать полностью »
Cryptolocker 2.0 или подделка?
2013-12-26 в 12:30, admin, рубрики: Блог компании ESET NOD32, Вирусы (и антивирусы)В предыдущем посте, посвященном вымогателям (ransomware), мы указывали на активизацию семейства FileCoder, которое используется злоумышленниками для шифрования файлов пользователя с последующим требованием выкупа за расшифровку. Уже с июля 2013 года злоумышленники удвоили свои усилия по распространению этого вида вредоносного ПО. Кроме этого, за этот период времени было зафиксировано появление новой модификации Win32/Filecoder.BQ, которая больше известна как Cryptolocker и представляет из себя наиболее опасный вариант шифровальщика. При заражении Cryptolocker пользователь либо теряет свои данные, либо вынужден платить злоумышленникам за расшифровку.
Как видно на статистике ниже, наиболее всего Cryptolocker активен в США. Очевидно, что этот регион является наиболее привлекательным для злоумышленников в силу достаточной состоятельности пользователей. Злоумышленникам проще таким образом получить прибыль, ведь многие пользователи готовы заплатить требуемую сумму только чтобы вернуть себе доступ к оригинальным файлам. Не только Cryptolocker, но и такие известные банковские вредоносные инструменты как Zeus или SpyEye также в свое время ориентировались в первую очередь на США из-за наибольшей монетизации.
Qadars – новый банковский троян с возможностью обхода двухфакторной аутентификации
2013-12-24 в 12:53, admin, рубрики: banking trojan, Блог компании ESET NOD32, Вирусы (и антивирусы), метки: banking trojanНедавно мы обнаружили новое банковское вредоносное ПО, которое было добавлено в наши базы как Win32/Qadars. Первое публичное освещение этой угрозы было выполнено компанией LEXSI. Qadars был довольно активен в последнее время, заражая пользователей по всему миру. Как и другое банковское вредоносное ПО, он осуществляет кражу данных онлайн-банкинга и средств пользователя через механизм веб-инъекций (web injection). Наши исследователи обнаружили, что Qadars использует большой спектр таких веб-инъекций для различных задач по работе с системой онлайн-банкинга.
Ранее мы писали про банковский троян Hesperbot, который содержит специальный компонент для мобильных платформ. Этот компонент позволяет обходить механизм двухфакторной аутентификации на основе кодов подтверждения проводимой банковской операции mTAN. Qadars использует схожий с Hesperbot подход по установке мобильного компонента через веб-инъекцию на странице онлайн-банкинга специального сообщения. Разница между ними заключается в том, что Qadars использует уже существующий мобильный вредоносный код Android/Perkele, а не опирается на свой собственный.
Вирус-шифровальщик. БОЛЬШАЯ статья
2013-12-20 в 15:07, admin, рубрики: Вирусы (и антивирусы), Восстановление данных, метки: восстановление данных В новости «ОСТОРОЖНО. Вирус-шифровальщик Trojan.Encoder.225» я уже подробно рассказывал об одном конкретном вирусе Trojan.Encoder.225, но, на тот момент, решения по расшифровке я так и не получил.
Но в последствии (спустя 3 с лишним недели после начала дэшифровки) ситуация изменилась в лучшую сторону. За этот период мною были успешно расшифрованы данные сразу после двух вирусов Trojan.Encoder.225 и Trojan.Encoder.263 на разных ПК.Читать полностью »