Правила Форума редакция от 22.06.2020 |
|
|
|
|
|
Опции темы | Опции просмотра | Language |
22.01.2007, 16:18 | #16 |
ViP
Пол: Регистрация: 17.05.2006
Адрес: Молдова
Сообщений: 199
Репутация: 1274
|
Советы по защите от фишинга от PandaLabs
Советы по защите от фишинга от PandaLabs Антивирусная лаборатория PandaLabs опубликовала список советов для всех пользователей, которые совершают покупки через интернет и выполняют другие финансовые операции. Кража банковских данных – фишинг – является одним из самых популярных нынче типов мошенничества. Как правило, кража данных происходит следующим образом: пользователь получает сообщение по электронной почте, которое содержит ссылку на специальный вредоносный сайт. Подобные сайты часто делают похожими на сайты настоящих банков, чтобы пользователи не догадались, что перед ними подделка. Специалисты PandaLabs рекомендуют никогда не обращать внимания на сообщения, полученные якобы от банка, в которых запрашиваются какие-либо пароли, поскольку банк никогда не станет рассылать такие письма. Когда вы находитесь на странице, где нужно ввести какие-либо данные, нужно проверить, действительно ли веб-страница, на которой вы находитесь, принадлежит банку, который вы хотите посетить. Домен страницы должен полностью совпадать с доменом банка. Кроме этого, соединение должно быть защищенным - в строке состояния браузера должен отобразиться небольшой закрытый замок, а веб-адрес должен начинаться с https://. Если остаются сомнения, убедитесь, что сертификат веб-страницы действителен, дважды щелкнув по замку. Еще один способ убедиться в том, что вы установили безопасное соединение с реальным веб-сайтом компании: ручной набор полного веб-адрес банка в браузере. Не заходите на эту страницу, щелкая по ссылкам, они могут вести на мошеннические сайты. Наконец, нужно периодически проверять банковскую статистику, чтобы убедиться в отсутствии каких-либо неверных транзакций с вашего счета. Если вы увидели в своей статистике какие-то непонятные операции, рекомендуем связаться с банком, через который были совершены транзакции, чтобы получить о них более подробную информацию. |
Сказали спасибо: |
Реклама: | москва плес теплоход расписание | Вся техника в KNSneva.ru - 243V7QDAB - КНС Санкт-Петербург - мы дорожим каждым клиентом! | баннер на стойке как называется | Интернет-магазин КНС предлагает руиджи коммутаторы - Подарок каждому покупателю! | канальный датчик температуры stk-3. |
03.03.2007, 02:45 | #17 |
Новичок
Пол: Регистрация: 03.02.2007
Адрес: Солигорск (РБ)
Сообщений: 20
Репутация: 11
|
Жертвы "Червей"
Исследовательская лаборатория TrendLabs компании Trend Micro сообщает о черве WORM_ZHELATIN.CH, жертвой которого становятся пользователи крупных почтовых провайдеров, таких как AOL, Gmail, Yahoo!, Hotmail, EarthLink, Mail.Ru, а также популярных российских ресурсов Mail.Ru и Rambler.
WORM_ZHELATIN.CH – разновидность червя из семейства Zhelatin. Чаще всего червь появляется в системе из файла, прикрепленного к письму, иногда – загружается по ссылке из программ обмена мгновенными сообщениями. Заражение компьютера происходит следующим образом: после приведения червя в действие в системе появляется троянская программа, которая в свою очередь запускает файл .DLL. Когда компьютер подсоединеняется к сети, этот файл регистрируется в качестве системного драйвера Layered Service Provider (LSP) и вписывается в Windows TCP или обработчик IP в качестве связующего звена в цепочке. С помощью этих действий WORM_ZHELATIN.CH перехватывает сетевой трафик и направляет пользователя на «нужный» веб-сайт. Кроме этого, данный червь загружает со специального сайта текст сообщений для рассылки по электронной почте. Некоторое время назад уже появлялись сообщения о различных разновидностях семейства Zhelatin. Так, в начале февраля были массовые рассылки WORM_ZHELATIN.o. Тот червь заражал исполняемые exe-файлы и файлы экранных заставок (.scr), найденные в системе, и тоже распространялся в виде вложений. Инструмент фильтрации интернет-адресов Trend Micro успешно блокирует зловредные ссылки, относящиеся к этому виду вредоносного ПО, однако специалисты TrendLabs рекомендуют пользователям настороженно относиться к письмам от неизвестных отправителей и не заходить по подозрительным ссылкам, даже если они получены от знакомых. |
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение: |
03.03.2007, 20:14 | #18 |
Новичок
Пол: Регистрация: 03.02.2007
Адрес: Солигорск (РБ)
Сообщений: 20
Репутация: 11
|
Статистика вирусов за февраль 2007 !!!!
В феврале самыми активными вирусами в Интернете были Worm.Win32.NetSky.t и Worm.Win32.Bagle.gt, сообщает HiTech.Expert "Лаборатория Касперского".
Лидером стал вирус, занимавший в январе 4 место, Worm.Win32.NetSky.t, переместив январского лидера Worm.Win32.Bagle.gt на второе место. Они заняли 15,82% и 11,85% соответственно в общем объеме распространенных в феврале вирусных программ. Аналитики отметили высокую активность нового семейства вредоносных программ Zhelatin в феврале, которая привела к большим изменениям в февральской двадцатке наиболее распространенных вредоносных программ. В частности, из 9 новичков рейтинга 6 представляют Zhelatin. 3-е место занял новый "червь" Worm.Win32.Zhelatin.dam с долей 8,19%, переместив Worm.Win32.NetSky.аа с долей 3,27% на 7 место. Занимавший 2 место в январе Worm.Win32.NetSky.q опустился на 4 место с долей 7,92%. 5 и 6 места заняли новые вирусы Worm.Win32.Zhelatin.o и Worm.Win32.Warezov.ls с долями в общем объеме распространенных в феврале вирусных программ 6,83% и 5,03% соответственно. Worm.Win32.Zhelatin.o переместил вирус Worm.Win32.Bagle.gеn на 19 место с долей 1,26%, а Worm.Win32.Warezov.ls вообще вытеснил из февральской двадцатки Win32.Small.dam. Помимо большого количества новичков, аналитики также отметили вернувшихся из небытия в двадцатку лидеров Worm.Win32.Nyxem.e (15 место, доля - 1,66%), Worm.Win32.Scano.gen (14 место, доля - 1,83%) и Worm.Win32.NetSky.b (16 место, доля - 1,59%). Также они отмечают значительный процент прочих вредоносных программ от общего числа перехваченных - 12,86%, что указывает на большое количество прочих "червей" и "троянских программ", относящихся к другим семействам. |
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение: |
06.03.2007, 17:10 | #19 |
Неактивный пользователь
Регистрация: 06.03.2007
Сообщений: 4
Репутация: 6
|
Re: Вирусные эпидемии! Будь бдителен!
В феврале программа Analog closk при синфронизации с сервером точного времени принесла червя Worm.Win32 поймать не удалось пришлось сносить систему Будьте осторожны у меня стоял Avast 4 7
|
Эти 3 пользователя(ей) сказали cпасибо за это полезное сообщение: |
13.03.2007, 22:09 | #20 |
Новичок
Пол: Регистрация: 03.02.2007
Адрес: Солигорск (РБ)
Сообщений: 20
Репутация: 11
|
Re: Вирусные эпидемии! Будь бдителен!
Троян ShotOne становится причиной целого ряда проблем. С модификациями реестра Windows, этот троян может блокировать обновления Windows и доступ к пункту меню Файл в Internet Explorer или Windows Explorer. Кроме того, он прячет содержимое папок "Мои документы" и "Мой компьютер".
Среди других вредоносных действий данного трояна - отключение на панели задач меню, вызываемого правой кнопкой мыши, и кнопки "Пуск", скрытие значков в области уведомления и отключение опций "Запуск" и "Поиск" в меню "Пуск". Троян запускается вместе с загрузкой системы. При запуске он выбрасывает целую серию окон. Более того, троян перезагружает включенный компьютер, зараженный им, каждые три часа. Троян Yabarasu, который запускается при загрузке системы. Yabarasu копирует себя в зараженную систему. Он прячет расширения всех файлов и всплывающие подсказки (информационные окна, которые появляются в Windows при наведении курсора на файл). Yabarasu также прячет папки на диске C, а вместо них размещает свои копии с идентичным названием и значком. При запуске подобного файла, пользователь фактически запускает трояна. И ShotOne, и Yabarasu попадают на компьютеры через электронную почту, файловые загрузки, зараженные запоминающие устройства и др. На этой неделе PandaLabs зарегистрировала несколько вариантов червей семейства Rinbot: Rinbot.B, Rinbot.F, Rinbot.G и Rinbot.H. Эти черви распространяются копируя самих себя на съемные носители и сетевые ресурсы совместного пользования. Они также записывают свои копии на USB-устройства (MP3-плейеры, карты памяти, и т.п.), подключаемые к компьютеру. Некоторые из разновидностей используют для распространения уязвимости. Rinbot.B, например, пользуется уязвимостями LSASS и RPC DCOM. Недавно появились патчи для устранения этих брешей безопасности. Rinbot.G использует брешь SQL Server и проходит идентификацию как пользователь. Как только червь попадает в компьютер, он через FTP загружает свою копию. А затем запускается в системе. Rinbot.H также использует для своего распространения уязвимость. Он ищет серверы с уязвимостью MS01-032, которую можно устранить с помощью одноименного патча от Microsoft. Черви семейства Rinbot предназначены для открытия порта в зараженном компьютере и установления подключения к серверу IRC. Благодаря этому, хакер может удаленно контролировать компьютер. Кроме того, червь загружает из интернета трояна под названием Spammer.ZV, который начинает рассылать спам по всем адресам, найденным на зараженном компьютере. И, в конечном счете, он изменяет настройки безопасности и системные разрешения Internet Explorer, что снижает уровень безопасности компьютера. Интересной отличительной чертой кода Rinbot.B стало то, что в его состав входит запись, которая была сделана, по его утверждению, во время интервью CNN с создателями данного семейства червей, где последние объясняют причины, побудившие их к творению. Expiro.А. поражает исполняемые файлы (.exe) в папке и подпапках Program Files. Свою копию он также оставляет в директории Windows. Когда пользователь запускает зараженный файл, вместе с ним запускается и вирус. Этот прием применяется для того, чтобы пользователи не заметили никаких видимых признаков инфицирования. Expiro.A завершает все свои процессы, если у него появляется подозрение, что компьютер сканируется с помощью решения безопасности. Несколько разделов данного вредоносного кода зашифрованы для того, чтобы его было сложнее обнаружить. |
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение: |
08.05.2007, 18:30 | #21 |
Re: Вирусные эпидемии! Будь бдителен!
03.03.2007
Trojan.Win32.StartPage.anh Видимые проявления: Подмена стартовой страницы на http://www.infocontainer.com Троянская программа, размер исполняемого файла 14848 байт, исполняемый файл не сжат и не зашифрован. В случае запуска скрытно модифицирует стартовую страницу Internet Explorer путем записи в параметр "Start Page" ключа реестра Software\Microsoft\Internet Explorer\Main значения http://www.infocontainer.com. После выполнения данной операции троянская программа завершает работу ================================================== ====== 28.03.2007 Trojan.Win32.Small.kt Видимые проявления: Посторонняя библиотека swmclip.dll Троянская библиотека, размер 4 кб, не сжата и не зашифрована, известна под именем swmclip.dll. В теле библиотеки видны текстовые константы «Передать WM», «с протекцией сделки» и номера кошельков злоумышленника. В момент инициализации библиотека создает поток. Поток выполняет поиск окна с заголовком «Передать WM» и кнопкой внутри. В случае его обнаружения производится открытие буфера обмена и считывание содержащихся в нем данных. Если содержимое буфера обмена начинается с буквы R, Z или E, то в буфер обмена записывается номер R, Z или E кошелька злоумышленника. После этого поток приостанавливает свою работу на 60 мс, после чего процесс повторяется. ================================================== ======= 07.05.2007 Trojan.Win32.VB.atg Троянская программа, написана на Basic, исполняемый файл известен под именем tel.xls.exe. Иконка файла визуально очень похожа на иконку документа Excel, что в сочетании двойным расширением «xls» должно вводить пользователя в заблуждение. Файл не сжат и не зашифрован, размер 45 кб. В случае запуска скрытно выполняет следующие действия: 1. Создает файлы WINDOWS\system32\SocksA.exe, WINDOWS\system32\FileKan.exe, WINDOWS\svchost.exe, WINDOWS\Session.exe. Эти файлы содержат копию трояна. Кроме того, создается файл WINDOWS\BACKINF.TAB, по структуре являющийся файлом AUTORUN.INF с содержимым вида: [AutoRun] open=tel.xls.exe shellexecute=tel.xls.exe shell\Auto\command=tel.xls.exe shell=Auto 2. Регистрирует SocksA.exe в автозапуске через ключ Run реестра 3. Запускает файл WINDOWS\svchost.exe 4. Вызывает проводник – командная строка имеет вид «explorer C:\» , после чего завершает работу 5. Троянский процесс svchost.exe выполняет в цикле операцию 1 из вышеописанного алгоритма и создает в корне диска файлы tel.xls.exe (атрибуты «скрытый», «системный») и AUTORUN.INF (атрибуты «скрытый» и «системный»). Файл AUTORUN.INF ссылается на tel.xls.exe и применяется для автозапуска трояна. Данная операция повторяется с задержкой примерно 5 секунд и применяется в качестве меры защиты от удаления. Кроме того, в трояне предусмотрена модификация параметра CheckedValue ключа реестра SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\SHOWALL. По умолчанию это значение имеет тип REG_DWORD и значение 1. Троян содержит программный код для работы с базой UFSYSTEM.
__________________
Я не волшебник, я только учусь... Последний раз редактировалось Abai; 08.05.2007 в 18:32.. |
|
Эти 3 пользователя(ей) сказали cпасибо за это полезное сообщение: |
15.07.2007, 22:41 | #22 |
Вредоносное ПО (Обзор)
Источник: Sophos.com, cnews.ru Последний раз редактировалось WeNZeeR; 19.07.2007 в 17:22.. |
|
Сказали спасибо: |
15.07.2007, 22:42 | #23 |
Ответ: Вредоносное ПО
Troj/Proxy-HV
Признаки При первом запуске копирует себя в системную директорию Windows под именем ntos.exe. Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = "%System%\userinit.exe,%System%\ntos.exe" Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Загружает из интернета и выполняет другой вредоносный код; Автоматически загружается после запуска Windows. Открывает на компьютере "чёрный ход" Тип: Троян Операционная система: Windows Уровень: низкий |
|
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение: |
15.07.2007, 22:43 | #24 |
Ответ: Вредоносное ПО
Softomate
Признаки Устанавливается в директории %Program Files%\GameAbyss Toolbar\. Копирует в указанную директорию следующие файлы: basis.xml demo_logo.bmp error.html gameabyssnet.dll nav.bmp options.html toolbar.crc version.txt Файл gameabyssnet.dll регистрируется как COM-объект, плагин, панель инструментов (toolbar) и Вспомогательный объект браузера (Browser Helper Object) Microsoft Internet Explorer. Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Работает с браузером Microsoft Internet Explorer: устанавливает панель (toolbar), модифицирует настройки, отображает всплывающие окна с рекламой, связывается с удалённым сервером. Тип: Adware Операционная система: Windows Уровень: низкий |
|
Сказали спасибо: |
15.07.2007, 22:45 | #25 |
Ответ: Вредоносное ПО
W32/Rbot-GSD
Признаки Распространяется, используя критические уязвимости, не требующие для эксплуатации вмешательства пользователя: LSASS (MS04-011), RPC-DCOM (MS04-012), WKS (MS03-049) (CAN-2003-0812), MSSQL (MS02-039) (CAN-2002-0649), RealCast. Копирует себя на сетевые диски, защищённые слабыми паролями на запись. Подключается к IRC-серверу, чей адрес записан в коде, и ожидает команд на одном из каналов. При запуске копирует себя в системную директорию Windows под именем scrov.exe и создаёт в корневой директории файл a.bat. Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Действие Распространяется копированием себя на сетевые диски, в том числе - защищённые слабыми паролями на доступ, а также при помощи уязвимостей, не требующих для эксплуатации вмешательства пользователя. Устанавливает связь с атакующим через канал IRC-сервера, может принимать и выполнять команды. Тип: Троян Операционная система: Windows Уровень: низкий |
|
Сказали спасибо: |
16.07.2007, 21:56 | #26 |
Ответ: Вредоносное ПО
W32/Vanebot-AZ
Червь Операционная система: Windows Уровень: низкий Признаки При первом запуске копирует себя в системную директорию Windows (%System%) под именем lssas.exe (созвучно с существующим в системе файлом lsass.exe). Записывает ссылку на себя в раздел реестра, отвечающий за автозапуск проиложений при старте системы: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \"Local Security Authority Service" = "%System%\lssas.exe" Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Открывает на компьютере "чёрный ход", подключаясь к каналу на IRC-сервере; может выполнять команды атакующего, в частности, загружать и выполнять другой вредоносный код. |
|
Сказали спасибо: |
16.07.2007, 21:57 | #27 |
Ответ: Вредоносное ПО
Trojan.Retvorp
Троян Операционная система: Windows Уровень: низкий Размер: 168.964 байт Признаки При запуске создаёт файл %System%\drivers\mxdispdr.sys. Извлекает из себя DLL-файл и сохраняет его как %System%\msplrct.dll; встраивает его загрузку в процесс winlogon.exe, модифицируя его. Пытается завершить процессы: httplook.exe wireshark.exe windump.exe ehsniffer.exe ethread.exe netxray.exe iris.exe Пытается связаться с сайтами для загрузки и выполнения дополнительных файлов. Сайты: www.provter.com и www.msthott.com. Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Действие Создаёт на диске библиотеку (DLL) и внедряет её в процесс winlogon.exe. Пытается загружать из интернета другой вредоносный код. |
|
Сказали спасибо: |
16.07.2007, 21:59 | #28 |
Ответ: Вредоносное ПО
W32.Atnas.A
Червь Операционная система: Windows Уровень: низкий Размер: 188.390 байт Признаки Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Распространяется посредством копирования себя в файлообменные (P2P) сети; проводит атаки отказа в обслуживании (DoS). |
|
Сказали спасибо: |
16.07.2007, 22:01 | #29 |
Ответ: Вредоносное ПО
W32/Akbot-AS
Червь Операционная система: Windows Уровень: низкий Признаки При старте копирует себя в системную директорию под именем sslms.exe. Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \"WinDll (sslms.exe)" = "rundll32.exe %System%\sslms.exe,start" Использует для распространения критические уязвимости Windows к переполнению буфера, не требующие вмешательства пользователя, в частности, MS04-007. Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Распространяется посредством копирования себя на компьютеры, зараженные W32/Sasser, и эксплуатации уязвимостей в Windows, не требующих вмешательства пользователя. Открывает на компьютере "чёрный ход" Загружает и выполняет дополнительный код из интернета Ослабляет настройки безопасности системы Загружается при старте системы Похищает информацию |
|
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение: |
17.07.2007, 09:41 | #30 |
Ответ: Вредоносное ПО
W32.Himu.A@mm
Червь Операционная система: Windows Уровень: средний Размер: 37.376 байт Признаки Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Удалить из файла hosts записи, сделанные червём Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Распространяется посредством массовой рассылки своих копий по электронной почте, а также копированием на сетевые и совместно используемые диски. Пытается отключить защитные приложения и заблокировать доступ к некоторым сайтам. Источник: Symantec.com |
|
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение: |
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Rapidweaver 3.5: ОБЗОР и доп. темы | DoOo | Mac Os X | 30 | 09.07.2016 16:08 |
Обзор мотоподвесов | ANGEL OF FIRE | Мотоподвесы и позиционеры | 78 | 28.11.2013 21:11 |
ХР тюнинг (Обзор софта) | UlyssesD | Софт для изменения GUI/Design GUI | 28 | 12.02.2011 13:12 |
Обзор шпионских программ | sternev | Хакинг в глобальной сети WWW | 47 | 08.04.2008 11:27 |
|
|