Новости Информационной
| Вид материала | Бюллетень |
СодержаниеРоссийские специалисты обнаружили новый бэкдор под Mac OS Новый руткит Popureb делает Windows неработоспособной Хакеры взломали сеть при помощи переделанной мыши |
- Новости Информационной, 955.99kb.
- Новости Информационной, 1386.56kb.
- Новости Информационной, 1315.55kb.
- Новости Информационной, 1058.97kb.
- Новости Информационной, 1195.66kb.
- Новости Информационной, 1268.45kb.
- Новости Информационной, 1016.22kb.
- Новости Информационной, 1001.26kb.
- Новости Информационной, 1203.15kb.
- Новости Информационной, 1112.81kb.
Российские специалисты обнаружили новый бэкдор под Mac OS
Специалисты компании "Доктор Веб" выявили новую угрозу для компьютеров, работающих под управлением Mac OS X. BackDoor.Olyx стал вторым известным бэкдором для данной операционной системы. Заражая "мак", эта вредоносная программа дает злоумышленникам возможность управлять компьютером без ведома его владельца: принимать с удаленного сервера команды создания, переноса, переименования, удаления различных файловых объектов, а также некоторые другие директивы.
Количество вредоносных программ под "маки" невелико, особенно по сравнению с угрозами для Windows. Так, бэкдор для Mac OS X до сих пор был известен только один — BackDoor.DarkHole. Эта программа имеет версию как для Mac OS X, так и для Windows.
Запускаясь в операционной системе, она позволяет злоумышленникам открывать на зараженной машине веб-страницы в используемом по умолчанию браузере, перезагружать компьютер и удаленно выполнять различные операции с файловыми объектами. Теперь в вирусной базе Dr.Web к BackDoor.DarkHole присоединился BackDoor.Olyx.
Проникая на компьютер пользователя в виде приложения, предназначенного для "маков" с Intel-совместимой архитектурой, вредоносная программа BackDoor.Olyx создает на диске папку /Library/Application Support/google/, в которую сохраняет файл с именем startp. Затем BackDoor.Olyx размещает в домашней директории файл /Library/LaunchAgents/www.google.com.tstart.plist, с помощью которого после перезагрузки системы запускает данный вредоносный объект.
Вслед за этим программа перемещает себя во временную папку под именем google.tmp с целью удалить исполняемый файл из места его первоначального расположения. Как следует из названия угрозы, BackDoor.Olyx реализует на инфицированном "маке" функционал бэкдора, включающий в себя скачивание и запуск вредоносных файлов на зараженной машине и выполнение различных команд через оболочку /bin/bash. Таким образом, злоумышленники могут получить возможность управления зараженным компьютером без ведома пользователя.
www.cybersecurity.ru
28.06.11 11:12
Новый руткит Popureb делает Windows неработоспособной
Microsoft накануне предупредила пользователей Windows о том, что им придется переустанавливать операционную систему, если их компьютер будет инфицирован новым руткитом, который скрывает от операционной системы главный загрузочный сектор. Речь идет о новом варианте троянца Popureb, который так глубоко размещается в системе, что единственная возможность полностью восстановить систему – это переустановить Windows или воспользоваться диском восстановления.
"Если ваша система была инфицирована Trojan:Win32/Popureb.E, мы советуем вам восстановить MBR при помощи CD восстановления, возвращающего систему к заводским настройкам", – говорит Чан Фенг, инженер Microsoft Windows Protection Center.
Вредоносное ПО Popureb перезаписывает загрузочный сектор – место жесткого диска, которое операционная система начинает считывать в первую очередь после того, как получает управление от BIOS. Popureb отлавливает операции записи, ориентированные на MBR, после чего размещает там свой код. Троянец имитирует часть системных функций операционной системы и размещается в бут-секторе, оставаясь невидимым как для операционной системы, так и для антивирусного ПО.
Сейчас на сайте Windows Protection Center размещены инструкции по восстановлению MBR для операционных систем XP, Vista и Windows 7.
Фенг говорит, что в основном троянцы подобного рода размещаются в системе для последующего заражения систем другими образцами вредоносного ПО. В начале 2010 года был зафиксирован троянский код Alureon, направленный на Windows XP и делающей ОС неработоспособной после установки апдейтов из Windows Update.
www.cybersecurity.ru
29.06.11 00:00
Хакеры взломали сеть при помощи переделанной мыши
Когда хакеры из тестовой фирмы Netragard были наняты для проверки брандмауэра клиента на возможность проникновения, они знали, что их работа будет сильно осложнена. Заказчик намеренно закрыл доступ к социальным сетям, телефонам и другим направлениям социального инжиниринга. Получение несанкционированного физического доступа к компьютерам было также под запретом.
Лишенные легкого варианта решения проблемы, хакеры обычно полагаются на дополнительные средства. Так, технический директор компании Netragard, Эдриэл Дисотэлз, позаимствовал идею проникновения прямо из фильма "Миссия невыполнима": он модифицировал популярную стандартную мышь и оборудовал ее флэш-накопителем, а также мощным микроконтроллером, который запускает код атаки и обеспечивает доступ к любому подключенному к нему компьютеру.
Для того, чтобы атака состоялась, модифицированная USB-мышь Logitech должна выглядеть и вести себя в точности так, как и обычное устройство. Но, кроме того, она должна также обладать секретными возможностями, которые позволят ей делать вещи, о которых пользователь не смеет даже мечтать.
"Микроконтроллер действует так, как будто за компьютером сидит человек и набирает что-то на клавиатуре", – объясняет Дисотэлз. "Когда обеспечивается определенный ряд условий, микроконтроллер отсылает команды компьютеру, создавая иллюзию того, что их набрали с помощью клавиатуры или мыши".
Микроконтроллер Teensy, запрограммированный хакерами из компании Netragard, был установлен на 60 секунд ожидания после подключения к компьютеру, после чего начинал вводить команды через клавиатуру, тем самым приводя в исполнение вредоносное ПО, хранящееся на флэш-накопителе, находящемся внутри корпуса мыши Logitech. Чтобы исключить возможность тревоги антивируса McAfee, который защищал компьютеры заказчика, микроконтроллер содержал недокументированный атакующий код, который отключил диалоговые окна антивируса, чтобы избежать обнаружения.
Дисотэлз пояснил, что предпочел этот запутанный метод более простому варианту атаки, который был бы основан на использовании флэш-карты и функциональных особенностях Windows, который автоматически приводит в действие содержимое носителя при подключении к компьютеру. Как было сообщено ранее, число вредоносных программ, использующих функцию Autorun, резко сократилось после того, как Microsoft отключила данную функцию.
Однако модифицированная мышь не была заблокирована, так как она не использует функцию Autorun для запуска вредоносного ПО. Фактически, программируемый микроконтроллер действовал как вредоносный шпион, находящийся целиком и полностью под контролем исследователей по проникновениям из компании Netragard, которые и создали его. Так как атакующий код запускается мини-компьютером с карты Teensy, устройство может функционировать против разнообразных операционных систем, а не только против Windows. Более того, для него не требуется никаких драйверов.
"Вы подключаете компьютерное устройство, будь то клавиатура или мышь, а оно обладает собственным разумом", – говорит Дисотэлз. "И от этого нет никакой защиты. Подключи одно из таких устройств и считай все пропало".
Чтобы заставить кого-нибудь из компании-цели использовать модифицированную мышь, компания Netragard заранее обзавелась списком сотрудников с именами и прочей информацией. После определения нужного сотрудника они отправили ему модифицированную мышь, которую положили в первоначальную упаковку и добавили к ней рекламные материалы, заставив посылку выглядеть как часть рекламной акции. Три дня спустя вредоносное ПО, содержащееся внутри мыши, подключилось к серверу, контролируемому компанией Netragard. Большинство вредоносных программ, использованных для атаки, было впервые придумано исследователем по безопасности Эдриеном Креншо.
Подробный отчет компании Netragard об атаке опубликован как результаты недавнего исследования министерства внутренней безопасности США, которое показало, что 60% сотрудников, которые обнаружили диски или USB-карты на парковочных стоянках правительственных зданий и частных подрядчиков, немедленно подсоединяли их к своим компьютерам.
www.xakep.ru
29.06.11 00:00