| [ | Tags | | | Софт | ] |
| [ | Музыка |
| | Bon Jovi - Bed Of Roses | ] |
На позапрошлой неделе поймал на домашней машине вирус, первый непреднамеренный случай заражения за всё время, что дома стоит комп (преднамеренный это когда есть кряк с вирусом, а кряка без вируса нет, приходится ломать программу, а потом прибивать лишние процессы/файлы :)). Причём вирус попался хороший, он не рассылал спам, не ломился на соседние машины с целью заражения, просто тихо слушал трафик, отлавливая знакомые "слова" в виде паролей к разным ресурсам. В числе прочего он утянул пароль от хостинга, где лежит форум по CS, на чём и погорел :). Он, для размножения, начал пихать в текст страниц php/html свой код, но один из нескольких десятков файлов оказался выбран неудачно, из-за чего при входе в темы начало выдавать ошибку "Parse error: syntax error, unexpected '<'". Дальнейшее уже было делом техники: зайдя на ftp я обнаружил в файле строки, которых там быть не должно, зачистил, провёл по ним поиск в Гугле, понял, что на страницы залез вирус. Источников заражения могло быть три - взломали хостера (маловероятно), вирус пришёл от главного админа (тоже маловероятно, он 99% времени в Линухе) и вирус пришёл от меня (маловероятно, на работе антивирус, дома я не лажу по левым сайтам), проверить первые два в тот момент не представлялось возможным, потому на всякий случай я решил всё же проверить свой комп, и нашёл там непрошеного постояльца :). Главный вопрос - источник заражения, за день до этого я шастал в ИЕ по сайтам в поисках трансляции Лиги Чемпионов (кабельное решило отключиться) и вполне мог подхватить заразу, но есть проблема - файлы вируса датированы 8-ым апреля (чисткой занимался ночью 1-го мая). В то же время 8-го числа я точно нигде не лазил в ИЕ, вероятность заражения через SeaMonkey стремится к нулю, тем не менее, вирус можно подхватить в совершенно неожиданных местах. Вот например ссылка - http://blguanblch.livejournal.com/293035.html, в своё время в этой записи висела фотография, хостинг судя по всему взломали, теперь вместо фотки через браузер скачивается вирус.
В итоге я временно установил на домашнюю машину Касперского 2009, разницы с машиной без антивируса не заметил вообще ни в чём, ни уменьшения скорости, ни пойманных вирусов :)), через месяц закончится тестовый ключ и я его удалю. Общий же итог такой - несмотря на обилие тупых вирусов, которые легко определяются косвенным путём и не могут причинить большего, чем некоторое количество списанных мегабайт трафика, вреда, расслабляться не стоит, если вирус незаметен это не обозначает, что его нет (как быстро люди забыли про Win95.CIH :)), вирус-виртуальная машина пока всё ещё является концептом (на самом деле его просто ещё не поймали :))), но кое-что из тёмного прошлого решило вернуться
Внимание: опасный MBR-руткит
"Лаборатория Касперского" сообщила об успешной реализации детектирования и излечения от новой модификации MBR-руткита Backdoor.Win32.Sinowal. Руткиты вообще очень неплохо прячутся в системе, так что если вы любите побродить по просторам Интернет и заходите на различные сайты, которые могут быть взломаны хакерами или же целенаправленно распространять вирусы - у вас появился неплохой повод для незамедлительной проверки соей системы на наличие вирусов...
Новый вариант вредоносной программы Sinowal, обладающей функционалом скрытия своего присутствия в системе при помощи заражения главной загрузочной записи (MBR, Master Boot Record) жёсткого диска, был обнаружен экспертами компании в конце марта 2009 года.
Новый вариант стал настоящим сюрпризом для исследователей. В отличие от прошлых версий, новая модификация Backdoor.Win32.Sinowal для предотвращения своего обнаружения использует гораздо более глубокий уровень внедрения в систему. Метод скрытия, реализованный в данном варианте, использует перехваты на уровне объектов устройств - самом "глубоком" уровне работы операционной системы. Никогда ранее злоумышленники не обращались к таким продвинутым технологиям. Из-за этого ни один из существовавших антивирусных продуктов на момент появления новой модификации Sinowal не был в состоянии не только вылечить пораженные Backdoor.Win32.Sinowal компьютеры, но и даже обнаружить проблему. После проникновения в систему буткит обеспечивает скрытое функционирование главного модуля, ориентированного на кражу персональных данных пользователей и их различных аккаунтов.
По данным экспертов "Лаборатории Касперского", буткит активно распространяется на протяжении последнего месяца с ряда вредоносных сайтов, использующих набор уязвимостей Neosploit. Одним из основных способов проникновения в систему является использование уязвимости в Adobe Reader, вызывающей исполнение вредоносного PDF-файла, загруженного без ведома пользователя.
Обнаружение и лечение данного буткита является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. "Лаборатория Касперского" реализовала в своих существующих персональных антивирусных решениях детектирование и успешное лечение данного варианта Sinowal. Для того чтобы проверить компьютер на наличие заражения, пользователям персональных продуктов необходимо обновить антивирусные базы и провести полную проверку системы. В случае обнаружения буткита в ходе лечения потребуется перезагрузка компьютера. Кроме этого, эксперты "Лаборатории Касперского" рекомендуют всем пользователям установить необходимые патчи, закрывающие уязвимости в Adobe Reader и используемых браузерах. ©
В общем покупайте продукты "Лаборатории Касперского" будьте бдительны :))
|
![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small}
px_x64
. Казалось бы BSBlast в 2004-ом должен был научить людей следить за обновлениями, но нет - уже в этом году эпидемия Kido проходила по совершенно аналогичному сценарию 
.
, в результате во время восстановления вываливалась ошибка доступа 