News ProLogic.Su

Основным источником DDoS-атак являются интернет-пользователи стран СНГ

Wed, 22 Feb 2012 20:17:43 +0000

Во второй половине 2011 г. Интернет захлестнула новая волна DDoS-атак, основными источниками которых оказались интернет-пользователи стран СНГ - Россия (16% мирового DDoS-трафика) и Украина (12%). Меньшую угрозу в этот период представляли Таиланд (7%) и Малайзия (6%). В общей сложности 90% зарегистрированных атак велись с компьютеров, расположенных в 23 странах мира, сообщили в специалисты «Лаборатории Касперского».

В конце первой половины 2011 г. на вершине рейтинга, где сейчас прочно обосновалась Россия, располагались США, Индонезия и Польша. Изменение в тройке лидеров частично связано с усилением мер по защите от DDoS-угроз. Речь идет о системах фильтрации, которые во время атаки блокируют трафик из всех стран кроме той, где живет большинство пользователей сайта. Такие действия вынуждают злоумышленников создавать ботсети там же, где находятся их жертвы. Поэтому для атак в Рунете, заказов на которые традиционно много, все больше ботнетов создается на территории именно России. Количество компьютеров в ботсетях также увеличивается. Это отразилось и на средней мощности DDoS-атак, которая за полгода выросла на 57%, сообщили эксперты. Примечательно, что активизация зараженных машин, как правило, совпадает с началом рабочего дня - 9-10 часов по местному времени, пик активности приходится на его середину - около 16 часов, а заканчиваются «трудовые будни» ботов в районе 4 утра.

Главной мишенью преступников по-прежнему остаются сайты интернет-торговли - на них пришлась четверть зафиксированных атак. Следом по популярности идут электронные торговые площадки и игровые сайты - 20% и 15% случаев соответственно. Постепенно растет и количество атак на государственные ресурсы (2%), мотивами которых, как правило, являются политические протесты. DDoS-атаки являются средством недобросовестной конкуренции не только на рынке реальных товаров и услуг, но и в теневом бизнесе. Во втором полугодии максимальное количество атак - 384 - было направлено на ресурс, торгующий поддельными документами, сообщили исследователи.

«В конце 2011 г. мы наблюдали несколько важных тенденций, продолжение которых можно ожидать и в будущем. Например, рост количества протестных DDoS-атак, наиболее громкие из которых вновь прошли под знаменем Anonymous, - прокомментировал Юрий Наместников, ведущий антивирусный аналитик «Лаборатории Касперского». - Несмотря на усиление мощности атак, сверхбольших ботнетов в 2012 г. мы практически не увидим. Они легко попадают в поле зрения правоохранительных органов, а значит, теряют свою привлекательность среди злоумышленников, которые скорее будут прибегать к одновременному использованию нескольких ботсетей, нацеленных на один ресурс».

Кроме того, учитывая востребованность DDoS-атак, владельцы этого незаконного бизнеса будут совершенствовать свои технологии, уверены эксперты. В дальнейшем архитектура ботсетей будет усложняться, и P2P-сети начнут вытеснять централизованные ботнеты. Кроме этого, в 2012 г. злоумышленники будут искать новые механизмы осуществления DDoS-атак, без использования зомби-сетей.

Trojan.Winlock угрожает шариатским судом арабским пользователям

Mon, 13 Feb 2012 15:52:57 +0000

Антивирусные аналитики зафиксировали распространение новой модификации Trojan.Winlock, угрожающей жителям арабских стран. Напомним, что трояны этого семейства приобрели широкую известность в России в 2010 году. Позднее появились модификации Trojan.Winlock для зарубежных пользователей. В частности, совсем недавно был обнаружен Trojan.Winlock.5490, угрожающий французским пользователям ОС Windows. В последнее время появилось множество версий троянов-блокировщиков, демонстрирующих жертвам сообщения на английском, французском, немецком и других европейских языках. Как правило, они имеют различную архитектуру и разные механизмы разблокирования операционной системы: либо с помощью специально введенного кода, либо автоматически по истечении определенного промежутка времени. На их фоне Trojan.Winlock.5416 — более чем примитивная программа-вымогатель: она не располагает ни кодом разблокировки, ни механизмом проверки локали операционной системы, а потому запускается в ОС Windows с любой языковой версией интерфейса. Версия блокировщика Trojan.Winlock.5416 выводит на экран пользователя текст на арабском языке, в котором говорится о том, что данный компьютер заблокирован в связи с просмотром порнографических сайтов и сцен насилия над детьми, что является нарушением законодательства Королевства Саудовская Аравия. Под угрозой шариатского суда пользователю предлагается заплатить 300 долларов путем покупки карты предоплаты Ucash, код которой следует ввести в окне программы-блокировщика. Данный код направляется на сайт злоумышленников (территориально расположенный в Латвии). Больше никаких деструктивных действий данный троян не выполняет. Следует отметить, что это — первый образец трояна-блокировщика на арабском языке, известный на сегодняшний день антивирусным специалистам. Процедура удаления Trojan.Winlock.5416 вполне стандартна для вредоносных программ такого типа и потому не заслуживает отдельного описания.

Новый троян распространяет спам в социальных сетях

Wed, 08 Feb 2012 13:27:14 +0000

Цитата

Компания «Доктор Веб» сообщила о широком распространении троянской программы Trojan.Spamer.46, рассылающей в социальных сетях «ВКонтакте», «Одноклассники», а также «Мой мир@Mail.Ru» сообщения с рекламой мошеннических сайтов. Данный троян, написанный на языке С++, распространяется через торренты вместе с архиватором WinRAR. После инсталляции программы-архиватора в папке установки появляется «лишний» файл RarExtr.dll, который вызывается при запуске архиватора. Загрузившись в память, данная вредоносная библиотека сохраняет в папку Windows\System32 файл kbdfv.dll, содержащий в себе троянскую программу Trojan.Spamer.46. Затем троян ищет среди запущенных в системе процессов firefox.exe и, если находит, встраивает в него содержимое своей библиотеки. После этого Trojan.Spamer.46 начинает осуществлять фильтрацию исходящего трафика в поисках форм отправки сообщений сайтов vkontakte.ru, odnoklassniki.ru и my.mail.ru, добавляя в отправляемые пользователем сообщения текст «Кстати, глянь: [ссылка]». Гиперссылка ведет на мошеннический сайт, предлагающий услугу предсказания судьбы по линиям ладони за платное SMS-сообщение. В «Доктор Веб» рекомендуют внимательнее относиться к программам, получаемым из недостоверных источников, и по возможности использовать ПО, загруженное с официальных сайтов производителя. Сигнатура данной угрозы уже добавлена в вирусные базы, вследствие чего Trojan.Spamer.46 не представляет опасности для пользователей антивирусных программ Dr.Web.

Организатора белорусской кардерской группировки поймали в Украине

Mon, 06 Feb 2012 17:31:10 +0000

Цитата

Совместными усилиями белорусских правоохранителей и работников Управления борьбы с киберпреступностью МВД Украины была пресечена деятельность международной кардерской группировки, об этом сообщили в МВД. Как уточняется, кардеры не только использовали конфиденциальную банковскую информацию для похищения чужих денег, но даже продавали эти сведения пользователям закрытых интернет-форумов. «Члены этого криминального сообщества занимались незаконными операциями с чужими банковскими счетами. Пользуясь похищенной финансовой информации, злоумышленники в течение 2010 года осуществляли несанкционированные банковские операции, чем нанесли нескольким американским и европейским банкам убытки, эквивалентные 15 млн. грн. (около 2 млн. долл. США - прим. ред.)», – сообщили в МВД. Похищенные со счетов деньги кардеры анонимно переводили через иностранные процессинговые центры, а в дальнейшем «отмывали» и распределяли теневые доходы между собой. По данному факту правоохранителями Республики Беларусь было возбуждено уголовное дело. Активных участников преступной группы оперативники задержали на территории Беларуси. Один из организаторов группы - гражданин этой страны - на протяжении прошлого года скрывался на территории нескольких государств, однако последнее время находился на территории Украины. Злоумышленник попытался получить через посредника визу для выезда в страны Евросоюза и пакет поддельных документов, однако покинуть территорию Украины не успел: он был задержан сотрудниками милиции. Во время задержания у кардера обнаружили и изъяли 3 персональных компьютера, носители информации, средства связи, деньги и документы. Сейчас злоумышленник задержан, решается вопрос о его экстрадиции на родину для проведения дальнейшего следствия в рамках возбужденного уголовного дела.

Критическая уязвимость в PHP 5.3.9, позволяющая выполнить код на сервере

Thu, 02 Feb 2012 22:09:48 +0000

Цитата

В PHP обнаружена одна из самых серьёзных уязвимостей за время существования данного языка. Уязвимость проявляется только в PHP 5.3.9 и позволяет удалённому злоумышленнику выполнить свой код на сервере, независимо от того какие PHP-скрипты используются.

По иронии судьбы, уязвимость связанна с некорректным устранением менее опасной проблемы безопасности в прошлой версии PHP. Для защиты от совершения DoS-атаки, которая может быть вызвана проблемой с предсказуемыми коллизиями в реализации алгоритма хэширования, в PHP 5.3.9 была добавлена директива max_input_vars, позволяющая ограничить число входящих параметров для поступающих HTTP-запросов. В реализации данной директивы была допущена досадная ошибка, которая сделала возможным совершение более опасной атаки.

Суть проблемы в том, что при портировании кода с поддержкой директивы max_input_vars был пропущен блок "else" с освобождением памяти и выходом из функции. Без этого блока, при превышении заданного директивой max_input_vars лимита, который по умолчанию установлен в 1000, если превышающая лимит переменная является массивом (например, "a[]=1"), то эта переменная оказывается на месте указателя, который в дальнейшем получает управление.

Всем пользователям PHP 5.3.9 рекомендуется в экстренном порядке наложить патч или вернуться на более ранний выпуск PHP. Официального уведомления и исправления пока не выпущено. Проблему усугубляет то, что поддержка директивы max_input_vars была портирована из PHP 5.3.9 многими дистрибутивами и включена в пакеты с более старыми версиями PHP. Например, в обновлении пакета php5-5.3.3-7+squeeze6 для debian Squeeze имеется поддержка директивы max_input_vars. Та же самая ситуация наблюдается в Red Hat Enterprise Linux 5 и 6, а также в Fedora Linux.

Уязвимость выявлена Стефаном Эссером (Stefan Esser), создателем проектов Hardened-PHP и Suhosin. Комментируя решение проекта Debian отказаться от использования Suhosin, Стефан указал на то, что уязвимость в PHP пришлась весьма кстати, так как она хорошо демонстрирует необходимость в использовании Suhosin, который значительно снижает возможность эксплуатации, даже в стандартной конфигурации.

Власти Украины закрыли крупнейший файлообменник страны

Wed, 01 Feb 2012 06:15:41 +0000

Украинские власти прекратили деятельность крупнейшего файлообменника страны ex.ua за нарушение прав интеллектуальной собственности. Об этом сообщает управление связей с общественностью МВД.
Во вторник, 31 января, сотрудниками МВД Украины был проведен ряд обысков в офисе и дата-центрах файлообменного ресурса. Во время обысков оперативники изъяли 200 серверов с общим объемом информации более 6 тыс. терабайт. Доменное имя ex.ua было снято с обслуживания.
Выяснено, что администрацию ресурса возглавлял гражданин Латвии. Милиция допрашивает 16 работников компании.
Основанием для возбуждения уголовного дела послужили обращения в МВД официальных представителей ведущих мировых производителей программного обеспечения, в частности международных корпораций Adobe Systems Inc., Microsoft Corporation, Graphisoft Inc., программные продукты которых незаконно распространялись через сайт.
Дело возбуждено по ч.2 ст.176 Уголовного кодекса Украины (нарушение авторских прав). Наказание по вышеупомянутой статье предполагает до 5 лет лишения свободы с конфискацией изъятого имущества.
Примечательно, что после сообщения о закрытии файлообменника, "упал" официальный портал МВД страны. "Проблемы с сайтом возникли из-за большого количества посетителей в связи с информацией о закрытии интернет-ресурса ex.ua, а также в связи с возможными DDОS-атаками", - объяснили в МВД.

P.S. Да ясно что DDOS ...

В создании ботнета Kelihos заподозрили автора антивирусов из России

Thu, 26 Jan 2012 20:43:26 +0000

Корпорация Microsoft подозревает в причастности к созданию ботнета Kelihos жителя Санкт-Петербурга Андрея Сабельникова, который на протяжении нескольких лет был сотрудником антивирусных компаний. Об этом пишет Computerworld со ссылкой на информацию со страницы Сабельникова в соцсети LinkedIn.

С 2005 по 2008 годы Сабельников работал в компании Agnitum, самым известным продуктом которой является фаерволл Outpost Firewall Pro. Факт сотрудничества питерского программиста с Agnitum подтвердил представитель компании, сообщивший, что Сабельников уволился оттуда в ноябре 2008 года по собственному желанию.

С ноября 2008 по декабрь 2011 года предполагаемый создатель Kelihos был сотрудником компании Returnil, выпустившей утилиту Returnil Virtual System. Утилита создает копию ОС Windows в изолированной среде, тем самым защищая исходную систему от действий подозрительных программ. Последние два месяца Сабельников работал в консалтинговой компании Teknavo. Одним из направлений ее деятельности является создание ПО для финансовой и банковской сфер. При этом издание Digit.ru со ссылкой на представителей Teknavo утверждает, что программист был принят туда на работу месяц назад. На момент публикации заметки на странице Андрея Сабельникова в LinkedIn отсутствовала какая-либо информация о месте работы. Единственное, что сообщается в соцсети - то, что Сабельников с 2000 по 2003 год обучался в Санкт-Петербургском университете аэрокосмического приборостроения.

О возможной причастности Сабельникова к созданию ботнета Kelihos стало известно из сообщения в блоге Microsoft. Компания указала, что подала против программиста иск в окружной суд штат Вирджиния. Сабельников, по данным Microsoft, мог "создавать или принимать участие в создании" Kelihos, а также управлять ботнетом. Доказательства причастности эксперты обнаружили, проанализировав вредоносную программу.

Ботнет Kelihos, объединявший десятки тысяч компьютеров, был обезврежен в сентябре совместными усилиями компаний Microsoft, Kyrus и "Лаборатория Касперского". В том же месяце Microsoft подала в суд на жителя Чехии Доминика Александра Пьятти (Dominique Alexander Piatti) и принадлежащую ему компанию dotFREE Group, предположив, что они причастны к регистрации доменов, использовавшихся для управления ботнетом. В октябре стороны заключили мировое соглашение, и Пьятти согласился сотрудничать со следствием.

Источник

Microsoft представила новую файловую систему для Windows 8

Wed, 18 Jan 2012 12:23:23 +0000

Microsoft представила новую файловую систему для вычислительных машин на платформе Windows. Она получила название Resilient File System (ReFS), что можно перевести как «Отказоустойчивая файловая система». Вице-президент Microsoft Стивен Синофски (Steven Sinofsky) рассказал в корпоративном блоге, что раз с Windows 8 они «заново изобретают» Windows, то этот подход должен касаться и отношения к данным.

ReFS использует основные принципы NTFS, самой популярной файловой системы на рынке, представленной около 19 лет назад. Однако новая система была создана «с нуля», сообщается в официальном блоге. Главная цель: поддержка систем хранения данных будущих поколений и новых сценариев работы с информацией. Разрабатывая ReFS, инженеры преследовали следующие задачи: заимствовать у NTFS все лучшее и отсечь все сложные моменты (например, были исключены сжатие данных и квоты); наделить систему возможностью проверять и автоматически исправлять данные, максимизировать возможности масштабирования, наделить систему возможностью бесперебойной работы за счет изоляции проблемных участков и обеспечить работу новой технологии Storage Spaces. Представленная несколько дней назад технология Storage Spaces позволяет из нескольких накопителей с разными интерфейсами подключения создавать единые логические пространства для хранения данных, например, «Документы», «Мультимедиа», «Архив» и т.д. При этом существует возможность в любое время подключить к пространству дополнительный накопитель для увеличения суммарной емкости. ReFS позволит детектировать потерю фрагментов данных и неверную адресацию фрагментов - с помощью контрольных сумм.

Также будет добавлена технология отслеживания деградированных данных («bit rot») - тот вид потерь, который сложнее всего заметить. Данные деградируют из-за того, что ячейки накопителя используются в процессе эксплуатации неравномерно. Для выявления таких фрагментов в операционную систему будет добавлен процесс, который будет регулярно сравнивать данные с данными в резервных копиях и выявлять расхождения. В случае повреждения файлов при невозможности их восстановления из резервной копии (например, если система из-за какой-либо ошибки повредила все копии файла) он будет автоматически удаляться из пространства имен. Таким образом он будет «отрезан» от ОС и не станет причиной последующих сбоев. ReFS будет поддерживать пространства емкостью до 4 ПБ. В одной системе может быть неограниченное количество пространств. При этом будет обеспечена совместимость с NTFS - доступ к ReFS сможет получить любое устройство, способное работать с файловой системой предыдущего поколения.

К выходу Windows 8 новая файловая система ReFS будет полностью законченной. Однако использоваться она первоначально будет только на Windows Server. Это стандартный подход, который Microsoft применяет для внедрения новых файловых систем: сначала они появляются на серверной версии платформы, затем - на клиентской. Кроме того, на первоначальном этапе ReFS нельзя будет использовать на внешних накопителях. Сроки, касающиеся поэтапного развития новой системы, в корпорации не уточнили.

Яндекс не любит домены в зоне .РФ?

Thu, 17 Nov 2011 10:39:35 +0000

Алексей Королюк – ген. директор REG.RU заявляет о том, что поисковик Яндекс значительно тормозит распространение доменов .рф. По его мнению, Яндекс неравноценно анализирует сайт в доменной зоне .ru и .рф и как он говорит, отдает свои предпочтения первой зоне. В пример яндексу подается поисковые механизмы Google, который по словам Алексея не различает .рф и .ru. Королюк заявляет, что ситуация требует вмешательства общества.
Руководитель маркетинга поисковых запросов компании Яндекс, Ростислав Шоргин, отмечает что все обвинения Королюка неверны. Ростислав заявляет, что их поисковик одинаково относился к обоим доменным именам и ранжируя их по степени полезности. Для пользователя, как и для поисковика не имеет никакого значения, в какой доменной зоне расположен ресурс.
Заявление Королюка прозвучало на конференции «Домен .рф – год в открытом доступе», проходившей 14ого ноября. На конференции Марина Никерова, председатель Координационного центра национального домена сети Интернет сообщила о том , что ожидается рост зарегистрированных доменов в зоне .рф ожидается в районе 12%. Предполагается, что к концу 2012 года будет зарегистрировано 1 млн доменов в зоне .рф. На данный сегодняшний момент, в этой зоне зарегистрировано более 920 тыс. доменных имен.

Американский центр управления беспилотниками заражён кейлоггером, который не могут вылечить

Sun, 09 Oct 2011 13:06:08 +0000

Компьютерный вирус, улавливающий информацию, вводимую на клавиатуре, заразил систему контроля американских беспилотников, передает Associated Press. Сообщается, что вирус не смог остановить полеты БЛА, и никакая секретная информация не была утеряна. Однако специалистам Пентагона пока не удалось его уничтожить.

Уточняется, что вирус поразил компьютеры на базе ВВС США "Крич", расположенной в штате Невада. С помощью этих компьютеров осуществляется управление беспилотниками Predator и Reaper.

P.S. Серьёзно кто-на писал что вылечит не могут ...