BackDoor.Butirat ворует информацию с компьютеров и перехватывает трафик браузеров

28 октября 2011 г.

Аналитики компании «Доктор Веб» — российского разработчика средств информационной безопасности — отмечают рост числа новых модификаций семейства троянских программ BackDoor.Butirat. Эти вредоносные программы способны загружать из Интернета и запускать различные файлы, передавать злоумышленникам информацию с инфицированного компьютера и перехватывать трафик установленных в системе браузеров.

Вредоносные программы семейства BackDoor.Butirat известны еще с 2010 года. На сегодняшний день в вирусных базах Dr.Web насчитывается более 30 различных версий этого троянца. Интересно, что данный бэкдор не теряет своей популярности у распространителей вирусов: он по-прежнему часто загружается с различных сайтов, распространяющих вредоносное ПО. Можно предположить, что широкое распространение этой вредоносной программы связано с относительной легкостью ее модификации. Кроме того, злоумышленники регулярно перепаковывают новые версии BackDoor.Butirat, что порой затрудняет их детектирование.

Ранние модификации BackDoor.Butirat распространялись в виде динамической библиотеки, написанной на языке С++. Троянец отправлял различные запросы в баннерообменные сети для активации того или иного баннера. К классу бэкдоров его отнесли прежде всего потому, что он позволял выполнять различные директивы, поступающие с удаленного командного центра, например, команду на обновление.

Более поздние реализации BackDoor.Butirat значительно расширили свои функциональные возможности. Например, BackDoor.Butirat.25, добавленный в вирусные базы в октябре 2011 года, обладает не только возможностью обработки удаленных команд, но и способностью модифицировать в своей копии дату PE-заголовка с целью изменения хеша файла. Эта версия BackDoor.Butirat также связана с рекламой: помимо иного функционала, она использует ресурсы систем контекстных объявлений (begun.ru и др.) для генерации нажатий на различные баннеры.

Отличительной особенностью троянцев семейства BackDoor.Butirat является то, что после своего запуска они создают в системной папке ApplicationData файл netprotocol.exe и регистрируют его в ветви реестра, отвечающей за автозапуск приложений. Основная опасность для пользователя, которую несут в себе троянцы семейства BackDoor.Butirat, заключается в том, что они способны загружать с удаленного узла и запускать на выполнение произвольные приложения, а также передавать злоумышленникам различные файлы с инфицированного компьютера. В частности, в последнее время BackDoor.Butirat.25 скачивает на инфицированный компьютер троянца Trojan.Hosts.5006, ворующего пароли систем онлайн-банкинга Сбербанка и Альфа-Банка.

Кроме того, отдельные модификации BackDoor.Butirat могут перехватывать входящий и исходящий трафик в различных браузерах (опасности подвержены, прежде всего, Internet Explorer, Firefox и Opera), благодаря чему злоумышленники могут отслеживать поисковые запросы пользователей к поисковым системам Yandex, Google, Yahoo, Nigma, Bing, Rambler, search.qip.ru, Rupoisk.ru и перенаправлять браузер на различные сайты, список которых передается троянцу с удаленного командного центра.

Антивирусная лаборатория компании «Доктор Веб» регулярно регистрирует появление новых модификаций BackDoor.Butirat, и все они оперативно добавляются в вирусные базы Dr.Web. Пользователи антивирусных продуктов, разработанных компанией «Доктор Веб» полностью защищены от данного типа угроз.

Служба информации
компании «Доктор Веб»
www.drweb.com

Вредоносные письма от Win32.HLLM.MailSpamer

26 октября 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о распространении троянской программы Win32.HLLM.MailSpamer, рассылающей с компьютеров жертв вредоносные письма. Основную ставку создатели Win32.HLLM.MailSpamer делают на доверчивость пользователей, эксплуатируя в своих неблаговидных целях имя популярного интернет-сервиса «Ответы@Mail.Ru».

Как известно, сайт «Ответы@Mail.Ru» позволяет разместить любой вопрос, ответ на который дают другие пользователи ресурса. Копии всех полученных ответов отправляются автору вопроса по электронной почте. Вероятно, именно эту особенность сервиса и учли вирусописатели: троянец Win32.HLLM.MailSpamer распространяется по e-mail с помощью содержащих вредоносную ссылку писем, имеющих тему «Re: С проекта Ответы@Mail.Ru».

Каждое такое письмо содержит один из вариантов сообщений, таких как «я почему-то сразу нагуглил» или «а самому было лень поискать?», и ссылку на сайт файлообменной службы, ведущую на страничку загрузки RAR-архива. Этот архив содержит исполняемый файл setup.exe и документ Readme.doc. При запуске приложения setup.exe на экране отображается стандартное окно программы-инсталлятора. Данная программа открывает на чтение файл Readme.doc, где в зашифрованном виде хранится троянец Win32.HLLM.MailSpamer.

После расшифровки вредоносная программа сохраняется на диск в виде динамической библиотеки, которая, в свою очередь, извлекает из своего тела исполняемый файл и запускает его. Затем троянец вносит ряд изменений в системный реестр, прописав собственный исполняемый файл в отвечающую за автозапуск ветвь, а также отключает в групповых и локальных политиках User Accounts Control.

Запустившись на выполнение, Win32.HLLM.MailSpamer определяет тип и версию операционной системы, значение серийного номера жесткого диска и IP-адрес инфицированной машины, после чего отправляет соответствующий отчет на удаленный командный сервер злоумышленников. Оттуда троянец получает конфигурационный файл, в котором указан объект для последующей загрузки. Таким объектом, в частности, является программа alqon.exe, которая скачивается с удаленного узла и запускается на выполнение. Это вредоносное ПО устанавливает соединение с командным сервером и получает от него конфигурационный файл, содержащий логин и пароль для доступа к почтовому серверу, а также текст рассылаемого по почте сообщения и ссылку на вредоносный файл. Соединившись с сервером smtp.mail.ru, Win32.HLLM.MailSpamer осуществляет рассылку почтовых сообщений с использованием указанных в конфигурационном файле параметров. Кроме того, в троянце имеется функционал, позволяющий рассылать почтовые сообщения посредством веб-интерфейса.

Сигнатура данной угрозы уже добавлена в вирусные базы Dr.Web. Компания «Доктор Веб» призывает пользователей проявлять осторожность и не запускать на компьютере подозрительные приложения, ссылки на которые получены в подобных сообщениях электронной почты.

С уважением,

Служба информации
компании «Доктор Веб»
www.drweb.com

В социальной сети «В контакте» появилась новая мошенническая схема

19 октября 2011 г.

Октябрь оказался богат на новые мошеннические схемы, направленные против пользователей социальной сети «В контакте». 18 октября специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — обнаружили еще одну такую схему, жертвой которой уже стали многие пользователи этого популярного портала.

Процесс вовлечения пользователя социальной сети «В контакте» в мошенническую схему начинается с того, что он получает содержащее ссылку сообщение от одного из людей, занесенных в его список друзей.

Щелкнув мышью на этой ссылке, пользователь перенаправляется на принадлежащий «Твиттеру» специализированный сервис, предназначенный для сокращения гиперссылок, а уже оттуда — на встроенное приложение, опубликованное на одной из страниц социальной сети «В контакте». Любопытно, но факт: в процессе подобной переадресации пользователь не получает никаких предупреждений.

Созданное злоумышленниками приложение демонстрирует значок учетной записи жертвы и пояснение, сообщающее, что в Интернете опубликован видеоролик с его участием. Интересная особенность данной мошеннической схемы заключается в том, что на этой же странице выводятся комментарии пользователей из списка друзей жертвы, причем комментарии весьма интригующего содержания: «Вот это да!», «Кто это придумал?» и т. д. Комментарии, естественно, генерируются программой автоматически на основе заданного злоумышленниками шаблона. Там же опубликована ссылка на сам «ролик» — она состоит из имени жертвы и расширения .avi.


По щелчку мышью на предложенной злоумышленниками ссылке происходит перенаправление пользователя на принадлежащий мошенникам сайт, при этом на экране появляется диалоговое окно с предложением указать логин и пароль учетной записи социальной сети «В контакте». Если жертва выполняет данное требование, эта информация передается злоумышленникам, а учетная запись оказывается скомпрометированной. Следует отметить, что попытка перехода по внешней ссылке из встроенного приложения, по всей видимости, не фиксируется программным обеспечением социальной сети, поэтому предупреждение не появляется. Вместе с тем сайт злоумышленников выводит на экран поддельное предупреждение, в тексте которого указан адрес популярного видеосервиса youtube, на который якобы переходит пользователь.

После заполнения указанной формы жертва кибермошенников перенаправляется на сайт поддельной файлообменной сети, требующей перед скачиванием файлов указать номер мобильного телефона и подписывающей таким образом доверчивых пользователей на платные услуги, за предоставление которых с их счета будет регулярно взиматься абонентская плата.

Администрация «В контакте» уже предупреждена о наличии на страницах социальной сети вредоносного приложения, однако не исключено появление других аналогичных программ в дальнейшем. Ссылки на мошеннические ресурсы включены в базы нерекомендуемых сайтов Dr.Web. Компания «Доктор Веб» еще раз призывает пользователей проявлять бдительность, не поддаваться на сомнительные предложения сетевых мошенников и с осторожностью переходить по ссылкам, даже полученным от знакомых людей, которым вы доверяете, — их учетные записи вполне могут быть взломаны злоумышленниками.

С уважением,

Служба информации
компании «Доктор Веб»
www.drweb.com

«Щепотка соли» позволит в шесть раз увеличить объемы жестких дисков.

Исследователи из Сингапура разработали технологию, которая позволит достичь плотности записи на пластины жестких дисков до 3.3 терабит на квадратный дюйм площади. Это приблизительно в шесть раз превышает плотность записи данных в 500-600 Гбит на квадратный дюйм, достигнутую на сегодняшний день.

Новая технология была разработана совместными усилиями исследователей из Сингапурского института материаловедения и разработки (Institute of Materials Research and Engineering, IMRE), Сингапурского национального университета (National University of Singapore, NUS) и Института систем хранения информации (Data Storage Institute, DSI). В настоящий момент исследователи продемонстрировали устройство, способное обеспечить плотность записи в 1.9 терабит на квадратный дюйм и изготовили опытные части пластин, которые могут обеспечить плотность 3.3 терабита на квадратный дюйм.

Процесс, разработанный учеными, был подробно описан в журнале Nanotechnology, издаваемом Институтом физики. В процессе используется оборудование электронно-лучевой литографии с высокой разрешающей способностью, сопровождаемое реализацией процесса прямого осаждения магнитной пленки. «Мы продемонстрировали, что биты на новых пластинах могут быть упакованы более плотно. При этом, процесс производства новых пластин имеет меньше технологических этапов, чем производство обычных пластин» — рассказал доктор Джоэл Янг (Dr Joel Yang), ученый из IMRE, возглавляющий данный проект.

Но самая соль новой технологии заключается в добавлении в процесс литографии самой обычной поваренной соли, естественно не обычной, а прошедшей процедуру химической очистки. Это позволило создать упорядоченную решетку из наноструктур, имеющих размеры от 4.5 нанометров и ниже, без необходимости переделки существующего технологического оборудования. Эти наноструктуры, имеющие магнитные свойства, группируются в «острова», размерами по 10 нанометров, которые и выступают в роли магнитных битов, способных записывать и хранить информацию.

Самым большим преимуществом технологии, разработанной Янгом, является то, что для ее реализации не требуется переделки существующего технологического оборудования, используемого для производства пластин жестких дисков. Другие технологии, такие как тепловая запись (heat-assisted magnetic recording, HAMR) и использование наноконтактного метода изменения магнитного сопротивления, теоретически, могут обеспечить и более высокие показатели плотности записи. Но все они требуют конструирования и изготовления технологического оборудования совершенно нового типа.

Следует отметить, что Джоэл Янг не случайно начал работу в этом направлении. Первоначальная идея этой технологии родилась у него в 2005 году, когда он еще был аспирантом Массачусетского технологического института, и только сейчас ему удалось добиться практического воплощения своей идеи.
Источник

«Графеновый бигмак» становится большим шагом на пути создания компьютерных чипов следующего поколения.

В 2004 году была открыта двумерная пленка из атомов углерода, известная как графен. Благодаря его уникальным физическим, химическим и электрическим свойствам ученые пророчат этому материалу большое будущее в области материаловедения, в области создания гибких прозрачных дисплеев, более емких аккумуляторных батарей и более быстрых малогабаритных электронных устройств. Теперь, исследователи из Манчестерского университета сделали следующий шаг, шаг к замене кремния графеном в чипах компьютерных микросхем. Они создали структуру, состоящую из слоев графена и второго двухслойного материала, нитрида бора, назвав ее «графеновым бигмаком».

Исследователи использовали слои нитрата бора не только, что бы разделить два слоя графена. С помощью этого они изучили то, как ведет себя графен, полностью изолированный от окружающей среды в «капсуле» из другого вещества. Ведь в точно таких условиях будет находиться графен внутри чипов в будущем.

«Создание многослойной структуры позволило нам изолировать графен от отрицательного влияния окружающей среды и управлять электронными свойствами графена с помощью методов, реализация которых была невозможна в обычных условиях» — рассказывает доктор Леонид Пономаренко. — «Мы никогда не видели графен, выступающий в роли электрического изолятора, если он только не был специально обработан. В нашем случае высококачественная графеновая пленка становится идеальным изолятором впервые»

«Графен, заключенный в капсулу из нитрида бора и изолированный от окружающей среды представляет собой наилучшую и самую совершенную платформу для будущей графеновой электроники благодаря тому, что в данном случае в силу вступают новые, ранее неизвестные нам законы физики» — добавил профессор Андрей Гейм, который наряду с профессором Константином Новоселовым был награжден Нобелевской премией в области физики в прошлом году за открытие графена в 2004 году.

«Изоляция графена от окружающей среды решает несколько тяжелых проблем, связанных со стабильностью свойств этого материала, которые ранее нависали подобно грозовым облакам над дорогой графнеа в будущее электроники. Нам удалось реализовать в маленьком масштабе, но все указывает на то, что это без труда может быть сделано и в крупном масштабе» — рассказывает Андрей Гейм. — «Создание транзисторов на основе изолированного графена, имеющих характеристики лучшие, чем достигнутые ныне, является вопросом нескольких месяцев».

Документ, описывающий достижение, сделанное группой ученых, опубликован в журнале Nature Physics под названием «Tunable metal-insulator transition in double-layer graphene heterostructures».

Источник