Вирус шифрует пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит. К названиям зашифрованных файлов вирус добавляет подпись ._CRYPT и оставляет в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщается о проведенном шифровании и предлагается купить у преступника дешифратор.

Расшифровать файлы обратно можно, лишь располагая секретным ключом, которым в настоящее время, вероятно, обладает только автор данного вируса.

В это время коварный вирус запускает Internet Explorer, который переходит на инфицированную страницу, где пользователю предлагается скачать и установить некий файл, выдаваемый за новый кодек, который нужен для воспроизведения аудиофайлов.

Если пользователь опрометчиво соглашается на установку, то на компьютер начинает загружается троянская программа Trojan-Proxy.Win32.Agent.arp. Именно с ее помощью злоумышленник может получить контроль над атакованной машиной.

До этого формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом.

Вредоносная программа, удаленная Malicious Software Removal Tool, называлась W32/FakeSecSen. На различных компьютерах она маскировалась под такие антивирусные продукты, как Micro Antivirus 2009, MS Antivirus, Spyware Preventer, Vista Antivirus 2009, Advanced Antivirus, System Antivirus 2009, Ultimate Antivirus 2009, Windows Antivirus, XPert Antivirus, Power Antivirus, и Ultra Antivirus 2009.

Пользователь, чей компьютер заражен W32/FakeSecSen, постоянно получает предупреждения в виде всплывающих окон, что его машина заражена вирусом. Предупреждения будут появляться до тех пор, пока пользователь не заплатит злоумышленникам.

Увеличение потока новых вирусов на съемных устройствах объясняется популярностью AutoIt - свободно распространяемого языка автоматизации задач Microsoft Windows). Его характеризуют легкость программирования и широкие возможности, которые он предоставляет авторам вирусов для действий в инфицированной системе пользователя.

В результате действия подобных вирусов после преобразования исходного текста программы получается не скрипт, но полноценный исполняемый файл. Кроме того, у вирусописателей существует возможность упаковывать все части конечного файла, за исключением скрипта, с помощью различных упаковщиков, что также затрудняет их анализ.

«Кроме использования многочисленных упаковщиков исполняемых файлов, злоумышленники применяют такие методы, как обфускация программного кода и скриптов. В частности, авторы вирусов все чаще применяют особенности скриптового языка AutoIt, на что мы оперативно реагируем. К примеру, в поисковом модуле Dr.Web версии 5.0, свободное бета-тестирование которой мы запустили несколько дней назад, реализована функция декомпиляции программ, написанных на AutoIt. Она позволяет анализировать AutoIt-скрипты и распаковывать исполняемые файлы, содержащиеся в AutoIt-червях», - отметил Владимир Мартьянов, вирусный аналитик компании «Доктор Веб».

По оценкам специалистов «Доктор Веб», проблема передачи вирусов посредством съемных устройств становится все острее, что, в частности, подтверждается все более строгими мерами, принимаемыми крупнейшими компаниями и государственными структурами различных стран. К примеру, как сообщают иностранные СМИ, в армии США введен временный запрет на использование съемных устройств. На многих предприятиях применяется ПО, ограничивающее использование съемных устройств на рабочих местах.

Ежедневно через сеть проходят 200 млрд электронных писем, содержащих спам, приводит данные ИТАР-ТАСС. Основной источник навязчивой рекламы - США. В Соединенных Штатах генерируется 17,2% объемов мирового спама. Второе и третье место заняли Турция (9,2%) и Россия (8%).

Каждый год злоумышленники выходят на качественно новый уровень и обнаруживают свежие способы для совершения преступлений в интернете, отмечает глава отдела безопасности компании Патрик Петерсон. Сейчас, например, зараженные вирусными программами компьютеры рядовых пользователей создают особые роботизированные сети "ботнет", которые занимаются рассылкой спама в автоматическом режиме.

PandaLabs поделилась вирусными прогнозами на 2009 год. Прежде всего о росте числа вредоносных модулей – снижения никак не ожидается, ведь только в прошлом году было обнаружено столько новых видов вредоносного ПО, сколько за последние 17 лет вместе взятые.

Доминирующим типом останутся банковские трояны, кампанию им составят набирающие популярность фальшивые антивирусы. Последние как правило якобы обнаруживают на компьютере угрозу и предлагают перечислить определенную сумму за возможность ее удаления.

Среди методов распространения наиболее перспективным PandaLabs считает социальные сети.

SQL-инъекции, не один раз тревожившие IT-общественность в прошлом году, не сбавят обороты. Их применение означает заражение юзера при простом посещении страницы, что делает данный способ особенно привлекательным для хакеров.

"Несомненно, популярной в 2009 году станет техника использования заказных упаковщиков и усложнителей. Эти инструменты используются для того, чтобы добиться сжатия вредоносных кодов, что затрудняет процесс их обнаружения", - отмечает PandaLabs.

Среди новых тенденций – так называемые "защитные" модули: "приготовьтесь встречать вирусы, предназначенные для сокрытия троянов, используемых для кражи банковской информации".

Главным аргументом в выборе цели атак для хакеров была и остается популярность той или иной платформы. В этом свете традиционно лидировала Windows, но в последнее время большое распространение получили Mac OS Leopard X, Linux или iPhone.

"Если каждый экземпляр кода разослать миллиону людей, то из них заразятся около 3%, очевидно, что гораздо продуктивнее разослать его для платформ, используемых миллионами пользователей, чем для менее популярных платформ, предполагающих гораздо меньшее число потенциальных жертв", - прокомментировал Луис Корронс, технический директор PandaLabs.

Компьютерный червь Downadup, также известный как Conficker и Kido, заразил каждый шестнадцатый Windows-компьютер в мире, сообщает Computerworld со ссылкой на данные компании Panda Security, занимающейся компьютерной безопасностью.

По данным Panda Security, шесть процентов Windows-компьютеров, проверенных с помощью ее антивирусных продуктов, оказались заражены Downadup. Всего инструментами Panda Security было проверено около двух миллионов машин, из которых более чем 110 тысяч содержали Downadup.

Представители Panda Security подчеркивают, что шесть процентов Windows-компьютеров, зараженных Downadup, это минимум. Если учесть пользователей, не работающих с антивирусами и не охваченных в исследовании Panda Security, то количество зараженных Downadup компьютеров может возрасти до 20-30 процентов от всех машин с Windows.

Впервые атака этого червя была зафиксирована около недели назад. По данным на 14 января, червем Downadup было заражено 3,5 миллиона компьютеров. К 16 января этим червем было заражено как минимум 8,9 миллиона компьютеров.

«Лаборатория Касперского» предупреждает о существенном росте числа заражений несколькими версиями полиморфного сетевого червя Kido.

Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации.

Червь отключает функцию System Restore, блокирует доступ к сайтам, посвящённым информационной безопасности, и скачивает на заражённые компьютеры дополнительные вредоносные программы.

«Лаборатория Касперского» рекомендует пользователям убедиться в том, что их антивирус использует новейшие базы данных. Для устранения критической уязвимости компания Microsoft выпустила необходимые патчи для ОС Windows.

Специалисты по компьютерной безопасности предупреждают о росте количества спам-писем с небезопасными поздравлениями ко Дню святого Валентина. Эксперты Websense Security Labs зафиксировали массовые рассылки сообщений, в которых злоумышленники предлагают получателям посетить определенный веб-сайт и просмотреть открытку с поздравлениями к празднику всех влюбленных.

Когда же пользователь соглашается перейти по указанной в теле письма ссылке, ему демонстрируется изображение двух щенков и сердца. После этого потенциальной жертве рекомендуется скачать некий файл и приготовить подарок для близкого человека. На самом деле файл оказывается вредоносной программой Waledac: попав на компьютер, червь собирает адреса электронной почты и рассылает по ним свои копии.

Мошенники также активно распространяют спам со ссылками, указывающими непосредственно на поздравительные открытки. Переход по таким ссылкам грозит пользователю порцией шпионских модулей и троянских программ.

Традиционно в подобных случаях специалисты рекомендуют не открывать вложения, если письмо пришло с неизвестного адреса, не переходить по подозрительным ссылкам и применять антивирусные программы с регулярно обновляемыми базами данных.

Злоумышленники выпустили новую версию червя Conficker, также известного как Downadup и Kido, сообщает IDG News.
Она называется Conficker B++ и была обнаружена несколько дней назад компанией SRI International.

Эксперты подчеркивают, что для неопытного пользователя новая версия червя практически не отличается от старой. Однако в В++ используются новые методы загрузки программного обеспечения на зараженный компьютер, что расширяет возможности злоумышленников.

В частности, к 297 подпрограммам старой версии Conficker в новой прибавилось еще 39. Кроме того, три из ранее существующих подпрограмм были изменены.

Возможно, появление Conficker B++ стало ответом создателей червя на действия группы Conficker Cabal. Последняя блокирует домены, с которыми связывается червь для получения инструкций.

Впервые атака червя Conficker была зафиксирована около недели назад. В течение нескольких дней он заразил десять миллионов компьютеров. Ботнет, образованный зараженными компьютерам, является одним из крупнейших в мире.

PandaLabs зафиксировала за последние дни рост числа инфекций вирусом Sality.AO,а также случаи заражения новыми вариантами данной угрозы при использовании подобной технологии. В связи с этим лаборатория советует пользователям быть готовыми к возможной массовой атаке.

Sality.AO –это вирус, который сочетает характеристики традиционных вирусов (заражение файлов и нанесение вреда как можно большему количеству компьютеров) и новых вредоносных программ, которые нацелены на получение финансовой выгоды киберпреступниками.

24 02
Trojan-Spy.Win32.Zbot.ikh

24 02
Trojan-Downloader.Win32.Agent.mee

20 02
Trojan-Downloader.Win32.Small.ydh

20 02
Trojan-Downloader.Win32.Agent.ahoe