Новую онлайн-заразу связывают с RBN

Новую онлайн-заразу связывают с RBN
Специалисты из Websense предупреждают о массовом заражении вебсайтов новым вредоносным кодом. К прошлой пятнице количество таких сайтов достигло 30 000, и их посещение может оказаться весьма пагубным для пользователей, сообщает The Register. При открытии зараженного сайта паразитирующий JavaScript-код незаметно перенаправляет пользователя на сервер, который анализирует программное обеспечение его компьютера. В зависимости от результатов анализа производится попытка использовать одну или несколько из десятка различных уязвимостей и установить лже-антивирус. (Не уточняется, но, очевидно, речь идёт о Windows-системах.) Если же пользователь попался сознательный, и выходит в Сеть с "заплатками", прикрывающими все эти дыры, его пытаются взять хитростью. Всплывающее окно пугает юзера сообщением о том, что его компьютер заражен, и предлагает установить "антивирус" самостоятельно. Предполагается, что на сайты этот вредоносный код проникает за счёт использования какой-то известной уязвимости с помощью SQL-инъекцией. При этом встраиваемый скрипт маскируется под код Google Analytics, что затрудняет его обнаружение. Сам лже-антивирус является полиморфом, что также добавляет головной боли создателям настоящих антивирусов (по данным Virustotal от 29 апреля, эту заразу вычисляли только 4 из 39 антивирусных программ). Также отмечается, что JavaScript активно использует цифровые коды вместо символов. Подобной техникой воспользовались и авторы недавних JavaScript-троянов Gumblar/Martuz, которые, по прикидкам Websense, захватили в короткий срок около 60 000 сайтов. Однако, несмотря на некоторую схожесть, новый вредонос, как считают специалисты, не имеет отношения к Gumblar. Напротив, не исключена возможность, что он каким-то образом связан с русским хостингом RBN, которым зарубежные СМИ пугали общественность полтора года назад. На такую гипотезу сотрудников Websense натолкнуло использование той же тактики, которой придерживались в RBN: JavaScript, если его раскодировать, указывает на веб-адреса, очень похожие на легитимные домены Google Analytics. "Возможно, что RBN как-то связан с этим или же, что более вероятно, поскольку тот код был опубликован, атакующие действуют в очень хитроумной манере, дублируя методы старых атак с целью скрыть собственные атаки", - полагают в Websense.

"Антипиратский" троян портит MP3-файлы
Специалисты Sophos обнаружили любопытную троянскую Windows-программу, созданную некими принципиальными энтузиастами с целью нанести удар по музыкальному пиратству. Троянец маскируется под MP3-файл с записью песни некой индонезийской группы Samsons, являясь при этом исполняемым файлом вида .mp3.exe с пиктограммой от плеера WinAmp. Попытка прослушать эту "песню", запустив файл из Проводника Windows, приводит к ряду вредоносных действий. Так, троян создаёт в системной папке файл winamp.dll.exe и делает несколько записей в системном реестре. При этом, в частности, блокируется работа плеера WinAmp, а также программы regedit, предназначенной для просмотра и редактирования реестра. Кроме того, он цепляется ко всем обнаруженным на жёстком диске компьютера MP3-файлам, превращая их в зараженные exe-шники того же вида (.mp3.exe). Наконец, при каждой загрузке зараженной системы пользователю выдаётся сообщение на индонезийском языке с призывом прекратить воровать интеллектуальную собственность музыкальной индустрии и не использовать больше MP3. В Sophos ничего не говорят о том, умеет ли троян отличать музыкальные файлы, защищённые авторским правом, от тех, на которые действие копирайта не распространяется. Отметим, что в Windows по умолчанию (а значит, учитывая лень пользователей, в большинстве случаев) скрываются стандартные расширения файлов, в том числе исполняемых, так что файлы вида .mp3.exe выглядят в Проводнике как .mp3. Эта практика сохранилась и в релиз-кандидате грядущей ОС Windows 7, к вящему неудовольствию специалистов по кибербезопасности из F-Secure. Можно также порадоваться, что в наше время, когда большинство вирусописателей руководствуются меркантильными интересами, порой всё-таки встречаются вредоносные программы чисто деструктивного характера, прямо как в старые добрые времена. Кстати, несколько месяцев назад в Sophos уже выявляли антипиратского трояна, который, правда, всего лишь блокировал доступ к торрент-сетям при помощи внесения изменений в файл hosts.

К безопасности через виртуализацию

Введение
Все мы знаем, что виртуализация может спасти компаниям деньги и упростить управление IT-ресурсами, но нельзя ли ее использовать также для увеличения надежности наших систем и сетей? От создания виртуальных honeypots и honeynets до использования Hyper-V для изолирования серверных ролей и до непрерывной «игры в песочнице» виртуальных приложений с последней версией VMWare Workstation – ответ положительный. В этой статье исследуются способы использования средств виртуализации для увеличения надежности вашей среды Windows.
Безопасность виртуализации и виртуализация для безопасности

Мы много чего слышим о вопросах безопасности, возникающих в виртуализованных средах, и большинство обсуждений концентрируются на том, как обезопасить ВМ. То, что технология виртуализации сочетает в себе некоторые риски для безопасности – факт, но при правильной реализации виртуализация может также обеспечить многие преимущества для безопасности.

Контроль – существенный элемент в системах безопасности, включая как системы внутри организации, так и те, которые получают доступ к вашим сетевым ресурсам извне (например, портативные компьютеры и мобильные устройства, используемые удаленными пользователями). Виртуализация приложения обеспечивает вас способом задействовать централизованный контроль над приложениями, к которым получают доступ конечные пользователи, а виртуализация рабочего стола позволяет вам создавать безопасные и изолированные компьютерные среды для потенциально вредоносных приложений, вебсайтов и т.д.

Централизация данных упрощает обеспечение надежности информации, а технология виртуализации на основе сервера означает, что важные данные не хранятся на персональных компьютерах или, что еще важнее, на портативных компьютерах, которые легко могут быть потеряны или украдены.
«Игра в песочнице»

«Песочница» - это изолированная среда, которая используется для безопасного запуска программ, могущих представлять угрозу операционной системе, другим приложениям и/или сети. Виртуальная машина не может получать прямой доступ к ресурсам хоста, что делает ее отличной «песочницей». Если у вас есть нестабильное приложение или имеющее дыры в безопасности, или попросту непроверенное и неизвестное, вы можете установить его в виртуальной машине, так что даже если оно сбоит или становится дискредитированным, это не влияет на работу остальной части системы.

Поскольку веб-браузер часто является каналом, по которому идут вредоносные программы и атаки, хорошей практикой с точки зрения безопасности будет запуск браузера в виртуальной машине. Вы, возможно, также захотите запускать другие программы, связанные с Интернетом (например, почтовый клиент, программы чата и файлообменные программы P2P) в виртуальной машине. ВМ имеет доступ к Интернету, но не к локальной сети компании. Это защищает вашу главную операционную систему и бизнес-программы, которые имеют доступ к локальным ресурсам, от любых атак на ВМ, идущих через Интернет-соединение.

Другим преимуществом является простота, с которой вы можете восстанавливать ВМ в случае дискредитации. ПО ВМ предусматривает моментальные снимки машин в определенные моменты времени, и вернуться ко времени, когда дискредитации еще не произошло, очень просто.
Непрерывные виртуальные приложения и возможности работы с рабочим столом с VMWare Workstation 6.5

В последней версии VMWare Workstation (v6.5) обеспечивается глубокая интеграция рабочего стола с помощью свойства «Unity», которое позволяет вам просматривать индивидуальные приложения с ВМ на рабочем столе хоста, так, как будто они были запущены в ОС хоста. Для пользователей это означает намного более плавную интеграцию виртуальных приложений и, таким образом, намного более приятную работу. Поскольку вы можете перетаскивать и оставлять или копировать и вставлять между ВМ и хостом, пользователь может даже не заметить, что приложение работает в ВМ. Это означает, что теперь нет «барьерного фактора» при «игре в песочнице», как, например, в случае с веб-браузером в ВМ.

Это новое ПО также позволяет вам настраивать виртуальную машину так, что она может охватить несколько мониторов. Это особенно полезно, когда вам нужно запустить несколько приложений одновременно в ВМ. Или вы можете установить несколько ВМ, так чтобы каждая отображала свой монитор, упрощая отслеживание того, с каким именно виртуальным компьютером вы работаете в определенный момент. Вы также можете запускать ВМ в фоновом режиме, не используя пользовательский интерфейс Workstation. Подробнее о новых функциях VMWare Workstation 6.5 вы можете прочитать тут: VMWare Workstation 6.5
Изоляция сервера

Консолидация сервера – это основная причина, по которой во многих бизнесах используется виртуализация. Конечно, вы можете запустить несколько серверных ролей на одной машине без виртуализации; ваш контроллер домена может также функционировать в качестве сервера DNS, сервера DHCP, сервера RRAS и т.д. Но при использовании нескольких ролей на одном сервере (особенно если речь идет о контроллере домена) вы сталкиваетесь со значительными рисками надежности. Виртуализация позволяет вам запускать все те же роли на одной физической машине при изоляции серверов друг от друга, так как они будут работать на различных виртуальных машинах.

В Microsoft создана роль Hyper-V для предотвращения неавторизированного взаимодействия между индивидуальными ВМ. Каждая ВМ запускается в отдельном рабочем процессе в родительском разделе, и они запускаются с ограниченными привилегиями в пользовательском режиме. Это помогает защитить родительский раздел и гипервизора. Другие механизмы обеспечения безопасности путем изолирования ВМ включают в себя отдельные виртуальные устройства, отдельную шину ВМ от каждой ВМ к родительскому разделу и никакого разделения памяти между ВМ. Более подробно о том, как все это работает, вы можете прочитать в дискуссии презентации Джефа Вулси (Jeff Woolsey), старшего менеджера программ по Hyper-V в Microsoft: blog.scottlowe.org

ЗАМЕЧАНИЕ:Важно отметить, что если операционные системы ВМ передают содержимое между собой и разделяют ссылки на локальные ресурсы, это создает уязвимость и нейтрализует некоторые эффекты изоляции при использовании ВМ.
Honeypots и Honeynets

Honeypots – это компьютеры, настроенные на приманивание хакеров, а honeynet – это целая сеть, состоящая из honeypots. Honeynet извне выглядит как производственная сеть. Ее цель тройная:

* Перенаправить атакующих от ваших реальных производственных сетей
* Предупредить вас заранее о типах предпринимаемых атак, чтобы у вас было время на подготовку защиты ваших реальных сетей и систем
* При возможности собрать информацию для идентификации атакующих

Honeypots и honeynets могут создаваться с помощью физических машин, конечно же, но это достаточно дорого и сложно в управлении. Пользуясь технологией виртуализации, большая honeynet может быть создана на единственной физической машине, что гораздо проще и дешевле. Виртуальные компьютеры могут бродить по сети с целью обнаружения вредоносного ПО и вирусов, от которых ваше ПО не защищено.

ЗАМЕЧАНИЕ:Наилучшей с точки зрения безопасности практикой является запуск honeypots, предназначенных для предотвращения атак через Интернет, на специальной физической машине, не соединенной с вашей реальной производственной сетью, либо отделенная от ней брандмауэром. Honeynet чаще всего располагается в ДМЗ или в периметрической сети. Другим подходом является помещение honeypot во внутреннюю сеть для выявления атак от инсайдеров.

Поскольку в настоящее время уже много организаций, которые запускают производственные серверы консолидированно на ВМ, виртуальная среда уже не служит сигналом для атакующих, означающим что-либо иное кроме подлинной производственной сети. Рики Мегалаес (Ricky Magalhaes) более подробно описал виртуальные honeynets в следующей статье: Understanding Virtual Honeynets
Итоги

Правильно развернутые технологии виртуализации могут обеспечить дополнительный уровень безопасности машинам в вашей сети. Для увеличения надежности к операционным системам и приложениям, запускаемым на ВМ, должны применяться те же меры безопасности, как и на индивидуальных физических машинах. Виртуализация должна быть всего лишь одним из многих инструментов в вашем арсенале надежности.

Несколько лет пользуюсь Eset nod32 smart security и пока не жалуюсь . нира ни че не случалось с компом

каспер лучший нечего и гадать и тормозит систему не больше других пользуюсь еще с 6 версии сейчас кис 2010

Microsoft выпустила очередной комплект патчей

Корпорация Microsoft, как и планировалось, в минувший вторник выпустила набор "заплаток" для своих программных продуктов.
В общей сложности устранена 31 уязвимость в ОС Windows различных версий, офисных приложениях и браузере Internet Explorer. Многие "дыры" названы "критически опасными", то есть они могут быть использованы с целью захвата полного контроля над удаленным компьютером и выполнения на нем произвольного вредоносного кода.
Патчи выпущены для Windows ХР и Windows Vista, веб-обозревателя IE восьмой версии, пакета Office 2008 для ПК на базе Mac OS X, набора серверов Internet Information Services (IIS) и другого ПО. Загрузить их можно через службы Windows Update, Microsoft Update и встроенные в Windows средства автоматического обновления.
Одновременно с "Майкрософт" порцию "заплаток" опубликовала компания Adobe: в продуктах Reader и Acrobat заделаны тринадцать "дыр", которые теоретически позволяют спровоцировать аварийное завершение работы приложения на атакуемом ПК или захватить контроль над машиной жертвы. Уязвимости присутствуют в Adobe Reader и Acrobat версии 9.1.1 и более ранних модификациях программ. Пользователям настоятельно рекомендуется скачать их обновленные варианты с индексом 9.1.2.
Подготовлено по материалам Microsoft и Adobe.

Антивирус Аваст - Вас никогда не предаст! Сам пользуюсь и Вам советую!

Ненужно громких слов, лучше глянь в суть программы

Обновление Firefox 3.0.11 с исправлением 9 уязвимостей

Объявлено о выходе новой версии web-браузера Firefox 3.0.11. В новой версии устранено 9 уязвимостей, из которых 4 представляет критическую степень опасности, а 1 - серьезную. Кроме проблем безопасности, можно отметить включение в состав ряда патчей повышающих стабильность работы хранилища SQLite, устраняющих несколько ошибок приводящих к краху и решающих проблему с повреждением БД закладок.
В Firefox 3.0.11 исправлены опасные уязвимости:
· MFSA 2009-32 - возможность выполнения JavaScript кода злоумышленника с повышенными привилегиями в контексте браузера (c правами объекта chrome);
· MFSA 2009-29 - после выполнения операции чистки мусора, можно добиться ситуации, когда определенный элемент документа примет значение null. В этом случае через задействование связанных с этим элементом обработчиков событий можно организовать выполнения JavaScript кода вне текущего контекста, например, в контексте браузера;
· MFSA 2009-28 - при определенных условиях злоумышленник может использовать "эффект гонки" (Race Condition в виде ухода на другую страницу в момент пока не успел загрузиться Java-апплет) для доступа к закрытым данным JavaScript враппера системного объекта NPObject. Потенциально проблему можно использовать для выполнения кода злоумышленника на компьютере жертвы;
· MFSA 2009-24 - устранено несколько причин крахов из-за выхода за допустимые границы областей памяти. Проблемы потенциально могут быть использованы для организации выполнения кода злоумышленника;
MFSA 2009-27 - при SSL запросе через CONNECT запрос поверх прокси, в случае ответа с кодом отличным от 200, текст ответа некорректно отображается в контексте указанного в запросе "Host:" заголовка. Атакующий может перехватить CONNECT запрос и организовать отправку фиктивного ответа от имени защищенного сайта.

В интернете распространяются два новых вредоносных кода под Mac OS X

Эксперты по сетевой безопасности из компании Sophos предупредили о появлении двух новых атак, ориентированных исключительно на пользователей операционной системы Mac OS X. В сети зафиксированы сразу новый троян и новая версия ранее известного сетевого червя. Оба вредоносных кода пытаются завлечь пользователей бесплатными порнографическими ресурсами, которые на поверку оказываются мошенническими ресурсами. В случае с сетевым червем, Sophos обнаружила новую версию MacOS X Tored. Что касается трояна, то здесь был зафиксирован код OSX/Jahlavc. Оба кода при их загрузке ведут на фишинговый сайт, подделывающий ресурс PornTube, когда пользователь пытается открыть какой-либо ролик, то система выдает сообщений, что в системе не хватает видеокодека и предлагает загрузить якобы новую версию QuickTime, которая оказывается кодом, крадущим информацию.