GPS-БАЙКАЛ - Карты Сибири: Берегитесь!

У каждого, видимо, предпочитаемый им антивирусник. У меня, уж извините, DrWeb. Пока не жалуюсь. Этот пост - не реклама DrWeb. Просто, они (DrWeb) регулярно рассылают пользователям подобные предупреждения. Так что, если Ваш антивирусник рассылает нечто подобное, то, плиз, размещать их здесь. Итак:
Trojan.SkynetRef подменяет веб-страницы в браузере

6 октября2011 г.

Компания«Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей об участившихся случаях заражения троянской программой Trojan.SkynetRef.1, представляющей собой локальный http-прокси сервер, основное назначение которого — подмена веб-страниц в окне браузера.

Для распространения своего детища вирусописатели не поленились создать несколько полноценных веб-сайтов, с использованием которых осуществляется раздача вредоносного программного обеспечения. Среди них следует отметить портал fvsn.org,а также сайты operadownload.info, downloadutorrent.info,downloadflashplayer.biz и др.

При попытке получить какое-либо приложение с одного из принадлежащих злоумышленникам интернет-ресурсов пользователю предлагается скачать и запустить специальную программу-установщик. Это приложение всегда одинаковое, однако, его имя может различаться в зависимости от выбранного пользователем объекта для последующей загрузки. По собственному имени установщик и определяет, что именно желает скачать пользователь: если изменить имя этого файла (как раз это и происходит вслучае его проверки различными автоматизированными службами), установщик прекращает работу. Если же имя оказывается верным, он загружает и устанавливает на компьютере пользователя не только выбранную им легитимную программу, но и троянца Trojan.SkynetRef.1.

Троянец помещается в папку %windir%\system32\ под именем SystemPropertiesAdvancedViewer.exe, после чего загрузчик запускает это вредоносное приложение на выполнение. В результате оно устанавливается в качестве системной службы с именем SystemPropertiesService. Затем, троянец сообщает об успешном завершении инсталляции на удаленный управляющий сервер, а также передает злоумышленникам сведения о собственной версии, версии операционной системы и используемого браузера. Для всех обнаруженных на компьютере браузеров Trojan.SkynetRef.1 прописывает в настройках прокси-сервер 127.0.0.1, работающий на порту 3129. Конфигурацию прокси-сервера троянец сохраняет в файле %windir%\system32\NTIONET6.SYS. После этого вредоносная программа может подменять в браузере страницы просматриваемых пользователем сайтов согласно параметрам, указанным в ее конфигурационном файле.

Сигнатура этой угрозы уже добавлена в вирусные базы Dr.Web, а адреса сайтов, используемых злоумышленниками для распространения вредоносного ПО, включены в базы веб-антивирусаSpIDer Gate. К сожалению, после удаления троянца, в настройках браузера сохраняется ссылка на прокси-сервер, в связи с чем, доступ к веб-страницам по протоколу http может быть затруднен. Пользователям, пострадавшим от действий этой вредоносной программы, рекомендуется изменить данный параметр:

• в Internet Explorer следует сбросить флажок «использовать прокси-сервер для локальных подключений» в окне «Настройка параметров локальной сети» («Сервис» – «Свойства обозревателя» – «Подключения» – «Настройка сети»);
• в Firefox — установить переключатель «Настройка прокси для доступа в Интернет» в позицию «Без прокси» («Инструменты» – «Настройки» – «Дополнительные» – «Сеть» – «Соединение» – «Настроить»);
• в Google Chrome открыть окно «Настройка и управление» – «Параметры» – «Расширенные» – «Изменить настройки прокси-сервера» и, нажав на кнопку «Настройка сети», сбросить флажок «использовать прокси-сервер для локальных подключений»;
• в Opera открыть окно «Настройки» - «Общие настройки», перейти ко вкладке «Расширенные» - «Сеть», нажать на кнопку «Прокси-серверы» и удалить все имеющиеся в открывшемся окне настройки.

С уважением,
Служба информации
компании «Доктор Веб»
www.drweb.com

Ещё одно предупреждение от DrWeb:

В социальной сети «В контакте» появилась новая мошенническая схема
19 октября 2011 .

Октябрь оказался богат на новые мошеннические схемы, направленные против пользователей социальной сети «В контакте». 18 октября специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — обнаружили еще одну такую схему, жертвой которой уже стали многие пользователи этого популярного портала.

Процесс вовлечения пользователя социальной сети «В контакте» в мошенническую схему начинается с того, что он получает содержащее ссылку сообщение от одного из людей, занесенных в его список друзей.
 vkontakt1.1.png (3.42К)
Количество загрузок:: 8


Щелкнув мышью на этой ссылке, пользователь перенаправляется на принадлежащий «Твиттеру» специализированный сервис, предназначенный для сокращения гиперссылок, а уже оттуда — на встроенное приложение, опубликованное на одной из страниц социальной сети «В контакте». Любопытно, но факт: в процессе подобной переадресации пользователь не получает никаких предупреждений.

Созданное злоумышленниками приложение демонстрирует значок учетной записи жертвы и пояснение, сообщающее, что в Интернете опубликован видеоролик с его участием. Интересная особенность данной мошеннической схемы заключается в том, что на этой же странице выводятся комментарии пользователей из списка друзей жертвы, причем комментарии весьма интригующего содержания: «Вот это да!», «Кто это придумал?» и т. д. Комментарии, естественно, генерируются программой автоматически на основе заданного злоумышленниками шаблона. Там же опубликована ссылка на сам «ролик» — она состоит из имени жертвы и расширения .avi.
 vkontakt2.1.png (15.44К)
Количество загрузок:: 9


По щелчку мышью на предложенной злоумышленниками ссылке происходит перенаправление пользователя на принадлежащий мошенникам сайт, при этом на экране появляется диалоговое окно с предложением указать логин и пароль учетной записи социальной сети «В контакте». Если жертва выполняет данное требование, эта информация передается злоумышленникам, а учетная запись оказывается скомпрометированной. Следует отметить, что попытка перехода по внешней ссылке из встроенного приложения, по всей видимости, не фиксируется программным обеспечением социальной сети, поэтому предупреждение не появляется. Вместе с тем сайт злоумышленников выводит на экран поддельное предупреждение, в тексте которого указан адрес популярного видеосервиса youtube, на который якобы переходит пользователь.
 vkontakt3.1.png (13.06К)
Количество загрузок:: 6


После заполнения указанной формы жертва кибермошенников перенаправляется на сайт поддельной файлообменной сети, требующей перед скачиванием файлов указать номер мобильного телефона и подписывающей таким образом доверчивых пользователей на платные услуги, за предоставление которых с их счета будет регулярно взиматься абонентская плата.

Администрация «В контакте» уже предупреждена о наличии на страницах социальной сети вредоносного приложения, однако не исключено появление других аналогичных программ в дальнейшем. Ссылки на мошеннические ресурсы включены в базы нерекомендуемых сайтов Dr.Web. Компания «Доктор Веб» еще раз призывает пользователей проявлять бдительность, не поддаваться на сомнительные предложения сетевых мошенников и с осторожностью переходить по ссылкам, даже полученным от знакомых людей, которым вы доверяете, — их учетные записи вполне могут быть взломаны злоумышленниками.

С уважением,

Служба информации
компании «Доктор Веб»
www.drweb.com

Ещё одна страшилка от Доктор Веба. А вдруг, правда???!!! Лучше уж поостеречься. Предупреждён, значит, вооружён!!!

13 февраля 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует об обнаружении нового бэкдора, получившего наименование BackDoor.Webcam.9. Этот троянец позволяет выполнять на инфицированной машине различные команды, поступающие от удаленного сервера злоумышленников, а также перехватывает изображение с подключенной к инфицированному компьютеру веб-камеры. Таким образом личная жизнь пользователей может быть скомпрометирована.

Механизмы проникновения троянца BackDoor.Webcam.9 пока выявляются, но уже хорошо известен механизм заражения компьютера. Запустившись на исполнение, бэкдор копирует себя в системную папку для хранения временных файлов и прописывается в одну из ветвей системного реестра, отвечающую за автоматический запуск приложений. Затем троянец проверяет наличие копии самого себя на зараженной машине. После этого вредоносная программа отправляет на удаленный командный сервер серию запросов, передавая злоумышленникам ряд сведений об инфицированном компьютере, включая его IP-адрес, тип учетной записи пользователя, количество подключенных к системе веб-камер, имя компьютера и версию ОС, а затем ожидает поступления новых команд.

Кроме того, BackDoor.Webcam.9 создает в системной временной папке несколько вспомогательных файлов, используемых им в процессе работы. Все они имеют имена, начинающиеся с rundll_.*, и хранятся во временном каталоге ОС Windows.

Троянец способен выполнять поступающие от удаленного сервера команды, в частности, команду перезапуска самого себя, смены управляющего сервера, создания снимка экрана. Кроме того, троянец способен перехватывать и передавать злоумышленникам изображение, полученное с подключенной к инфицированному компьютеру веб-камеры.

BackDoor.Webcam.9 представляет существенную опасность для пользователей, так как их личная жизнь может быть скомпрометирована.

Сигнатура этой угрозы добавлена в вирусные базы Dr.Web.

Но почему же страшилка - обычный вирус.

А что он будет делать в компьютере, это зависит только от фантазии его разработчика.....

Дорогие друзья! Пожалуйста, непременно прочтите-это КРАЙНЕВАЖНО!!!

Касается любой Интернет-почты.Эта информация прибыла сегодня утром,
прямо от Microsoft и от Norton.Перешлите эту информацию всем друзьям,
кого знаете и у кого есть доступ к интернету. Вы можете получить
безопасное с виду сообщение-электронную почту под названием "Mail
Server Report" Если вы откроете это письмо,то на Вашем экране появится
сообщение "Теперь слишком поздно. Ваша жизнь больше не прекрасна" (lt
is too late now. Life is no longer beautiful). В последствие вы
потеряете на своём компьютере всё, а человек пославший почту Вам,
получит доступ к Вашему имени, электронной почте и паролю. Это новый
вирус, который начал циркулировать в субботу днём. AOL уже подтвердил
серьёзность, и антивирусное программное обеспечение ещё не способно
его ликвидировать. Вирус был создан хакером, который называет себя
"владельцем жизни".Разошлите копию этого сообщения всем Вашимдрузьям,
и попросите, чтобы они немедленно передали его всем своим
корреспондентам.****



****




************************************************************************************
This footnote confirms that this email message has been scanned by
PineApp Mail-SeCure for the presence of malicious code, vandals & computer
viruses.<br style="mso-special-character:line-break"><br style="mso-special-character:line-break">

Harold (24 February 2012 - 17:44) писал:

Что-то на вирусинфо про ето ни слова...

Какая-нибудь ихняя зараза, AOL-овская....