Новости Информационной

Вид материалаБюллетень

Содержание


Электронное письмо с вложенным вредоносным файлом стало причиной взлома сети RSA Security
UAC и неравная борьба с вирусами. Кто кого?
Угроза, поразившая компьютер
Подобный материал:
1   ...   7   8   9   10   11   12   13   14   ...   21

Электронное письмо с вложенным вредоносным файлом стало причиной взлома сети RSA Security


Сотрудник компании F-Secure Тимо Хирвонен (Timo Hirvonen) выяснил, что стало причиной взлома сети RSA Security.

Напомним, что сообщение о взломе RSA было обнародовано 19 марта текущего года. Представители RSA раскрыли некоторые подробности взлома, а Хирвонен установил, что причиной взлома было то, что один из сотрудников открыл вредоносный файл, который был вложен в электронное письмо.

Эксперт обнаружил электронное сообщение, которое было отправлено 3 марта и было загружено в Virus Total, бесплатный сервис для сканирования файлов.

Хирвонен обнаружил файл Microsoft Outlook с расширением .msg, который содержал сообщение, якобы присланное с сайта Beyond.com, на котором различные компании публикуют свои вакансии. В сообщении было написано: "Я представляю вашему просмотру вложенный файл. Пожалуйста, откройте и просмотрите его". Вложенный файл являлся электронной таблицей Excel под названием "Набор кадров 2011".

Файл, найденный Хирвоненом, соответствовал описанию ранее предоставленным компанией RSA: файл в формате Excel содержал вредоносный код в Flash-файле, использовал утилиту удаленного управления Poison Ivy и пытался подключиться к тому же интернет-узлу.

Электронное сообщение было отправлено одному из сотрудников EMC, занимающему должность в отделе кадров, а адрес отправителя значился как webmaster@beyond.com, адрес сайта, на котором оповещалось о вакансиях в компании EMC. Но, по словам Хирвонена адрес был поддельным, на самом деле электронное сообщение не было отправлено с серверов Beyond.com.

Напомним, что RSA заявляла, что атака, которая была нацелена на компанию была "тщательно продуманной".

Но если именно электронное сообщение, найденное Хирвоненом, использовалось для взлома, то атака на RSA не такая уж и выдающаяся, потому что рассылка сообщений с вложенным вредоносным ПО является руководящим принципом осуществления фишинговых атак.

Представители EMC отказались комментировать находку Хирвонена, а компания RSA не подтвердила схожесть между электронным письмом, которое обнаружил Хирвонен, и тем, с помощью которого была скомпрометирована компания. Пресс-секретарь RSA заявила: "Можем ли мы подтвердить, что это именно то электронное сообщение? Нет".

www.securitylab.ru


26.08.11 17:55

UAC и неравная борьба с вирусами. Кто кого?


Александр Речицкий

Очень важно обеспечить возможность передачи привилегированных прав (и потенциально опасных) только тому программному обеспечению, которое обоснованно требует их предоставления. Механизм ссылка скрыта, существующий в операционных системах Windows Seven и Vista, позволяет пользователям запускать программы с административными полномочиями только при неизбежной необходимости для задач администрирования компьютера.

Контроль учетных записей (UAC) был, вероятно, первой новой функцией Windows Vista, встречу с которой не смогли избежать большинство пользователей, и которая благодаря этому получила значительное внимание сразу после релиза операционной системы, рассказывает ссылка скрыта

Со временем, особенно с выпуском Windows 7, количество сценариев работы UAC, требующих реакции пользователя, было уменьшено. Многие считают запросы, поступающие от контроля учетных записей, назойливыми, но абсолютно ясно – больше всех функцию UAC ненавидят именно авторы вредоносного программного обеспечения.

Когда функция UAC был представлена, вердикт авторов вредоносного программного обеспечения был удивительно единодушным – обойти стороной. Внедрение контроля учетных записей стало принципиальным изменением по сравнению с Windows XP, и на всех подпольных форумах о вредоносном программном обеспечении указанный подход считался универсальным. Просто вместо запуска вируса с правами администратора из расположений доступных с правами администратора теперь приходилось запускать его в пользовательском профиле с пользовательскими же правами. К сожалению, это совершенно не было проблемой для вирусописателей.

Однако для вредоносного программного обеспечения действительно становилось очень трудным заполучить права администратора, что и было целью создания UAC, большинство вредоносного программного обеспечения пыталось обойти эту проблему стороной.

В то время как тактика обхода UAC остается популярной, ссылка скрыта обнаружил целый класс вредоносного программного обеспечения, которое стремится к тому, чтобы отключить контроль учетных записей в принципе.

Вирусное ПО делает это, чтобы препятствовать обнаружению пользователем запуска вредоносных модулей, благодаря запросам UAC после каждой перезагрузки. Семейство вирусов Sality, руткиты Alureon, поддельные антивирусы вроде FakePAV, распространяющиеся через уязвимости автозапуска черви и банковское трояны Bancos – все они имеют модификации, выключающие UAC. Со временем это стало настолько распространенным приемом, что в антивирусном ПО Microsoft Security Essentials, Windows Intune, и Forefront Endpoint Protection было внедрено использование поведенческого мониторинга, чтобы обнаруживать программы, которые пытаются управлять настройками UAC, и Microsoft Malware Protection Center регулярно регистрирует совершенно новое вредоносное программное обеспечение, запрещающее UAC.

Ключевым моментом является то, что для успешного отключения UAC вирусной программе необходимо добраться до административных полномочий, что достигается либо эксплуатацией уязвимости системного сервиса, работающего в привилегированном режиме, для которого UAC уже не актуален, или применением социальной инженерии, заставляя пользователей верить в безвредность приложения и разрешать его запуск. К сожалению, многие пользователи Windows отключают UAC сами. В то время как авторы вирусов всеми силами стараются избежать срабатывания UAC, легитимный софт так же совершенствуется в направлении уменьшения количества сценариев работы, требующих повышения привилегий, таким образом, количество запросов, поступающих от UAC, сейчас достигло своего минимума, что позволяет легко отслеживать любую действительно подозрительную активность.

В ниже приведенном списке мы можем наблюдать 5 наиболее популярных угроз, поразивших компьютеры с отключеным контролем учетных записей пользователей. Например, червь ссылка скрыта может эксплуатировать ссылка скрыта, что дает доступ к правам администратора и возможности отключить контроль учетных записей. А такие программы, как например, SideTab и OneScan, наоборот, используют технологии "социальной инженерии", чтобы добиться повышения привилегии и затем опять же отключить UAC.

Угроза, поразившая компьютер

Как часто UAC была отключена

Worm:Win32/Rorpian.gen!A

95%

Worm:Win32/Rorpian.E!lnk

92%

Worm:Win32/Rorpian.E!inf

92%

Adware:Win32/SideTab

82%

Rogue:Win32/Onescan

68%

Ежедневно 23% компьютеров, антивирусное ПО которых сообщило серверам статистики об обнаружении заражения, работают с отключенным контролем учетных записей. В то время как некоторые вирусы целенаправленно отключают UAC, другие гораздо менее успешны в своей вредоносной деятельности, если UAC находится в активном состоянии.

Для того чтобы избежать угрозы отключения управления учетными записями пользователя, необходимо постоянно обновлять программные обеспечения и антивирусные программы, что позволит защитить компьютер от нежелательных вирусов. Если вы обнаружили вирус, зайдите в панель управления и убедитесь, что функция UAC включена. Если она отключена, то включите её, ссылка скрыта. Впоследствии изредка вы будете видеть запросы на подтверждение повышения привилегий приложения, в случае возникновения сомнений просто выбирайте вариант "нет".

www.anti-malware.ru

29.08.11 07:01