В Германии разгорелся скандал вокруг полицейских из Баварии, которые использовали незаконные способы слежки за подозреваемыми. Группе программистов удалось взломать программу-шпион, созданную стражами закона. Приложение собирало личные данные с компьютеров пользователей, включая изображения с веб-камер, звук с микрофонов и тексты, набираемые на клавиатуре. В дело даже пришлось вмешаться канцлеру Германии.
Зачем ставить микрофоны или микрокамеры, если у большинства интернет-пользователей они и так есть. Нужно лишь заставить компьютер шпионить за своим хозяином. Так можно без лишних хлопот подслушивать разговоры, или подглядывать за подозрительными лицами.
Страхи любителей теорий заговоров о том, что всевидящее око госмашины следит за любыми передвижениями граждан, оказались реальностью. Профессиональная ассоциация хакеров, в Германии есть и такая, объявила: им в сети в глобальной сети попалась программа-шпион. Ее взломали. Оказалось, данные пользователей ворует полиция.
"Страна стала как вездесущий локатор. Она использует технику, которая до сих пор была неизвестна. Вполне возможно, что с ее помощью можно считывать мысли владельцев компьютеров", - говорит представитель ассоциации хакеров Германии Констанц Курц.
Это называется онлайн-обыском. Все, что вы написали на клавиатуре, все, что сказали или скачали, может быть известно офицеру уголовной полиции Баварии, а может, и не только ему. Немецкие интернет-пользователи пришли в ужас.
"Если мы говорим о реальных случаях, должно быть проведено тщательное расследование, а также необходимо определить четкие правила, в которых будет указано, когда и в каких ситуациях этот тип программного обеспечения может быть использован", - говорит Сабине Лойтхойссер-Шнарренбергер, министр юстиции.
Программа-шпион подлинная. В сеть утекли официальные документы. В письме в одну компьютерную фирму из министерства юстиции Баварии указаны требования к робо-шпиону. Основная цель - прослушка разговоров частных лиц через Интернет.
Скандал дошел до канцлера Германии Ангелы Меркель. Она поручила провести всестороннее расследование. Баварским полицейским пришлось признаться. Да, шпионили, но с лучшими намерениями.
"Троянский вирус был внедрен в компьютер в ходе судебного разбирательства для предотвращения преступления. Мы не принимаем упреки в хакерстве", - сказал министр внутренних дел Баварии Йоахим Херманн.
Оказалось, всего вредоносных программ на службе Германии 5. Они рыскают по Интернету с апреля этого года. Влезают в личную почту, фотографии, переслали в полицию более 30000 снимков экранов компьютеров немецких интернет-пользователей. Все это якобы для борьбы с мошенничеством в Сети. Другое дело, что и сами эти программы имеют доступ к паролям и банковским счетам немецких граждан.
И самое главное - персональные данные немцев покидали Германию, отправлялись на сервер в США. А это прямое нарушение закона. И оправдать его борьбой с интернет-мошенниками не получится.
Пресса: ЧП в информационной сфере Германии
Уголовная полиция ФРГ запустила в Сеть программу, которая лишает пользователей контроля над их компьютерами. Неизбежные политические последствия коснутся глубинных основ общественной жизни, считает немецкая пресса.
Газета Frankfurter Allgemeine пишет:
Масштабы ущерба новы. Наглядные иллюстрации случившегося пока отсутствуют. Государственные органы, насколько известно в настоящее время, игнорировали принятое Федеральным конституционным судом в 2008 году недвусмысленное решение, которое позволяет вести наблюдение исключительно за телекоммуникационными процессами. Выходящее за эти рамки вмешательство в сферу безопасности частных данных является нарушением Конституции.
Однако следователи запустили в электронную Сеть программу, лишающую пользователей контроля над их компьютерами. Ноутбуки, персональные компьютеры, любые сетевые приборы можно прочесывать в поисках малейших следов частной информации. Хуже того - дистанционный доступ позволяет тайно устанавливать на компьютеры, за которыми ведется слежка, новые программы или загружать в них данные, служащие доказательствами преступлений. И, что еще хуже, любому, кто хоть что-либо смыслит в сфере информационных технологий, программы-шпионы открывают дверь, ведущую к находкам следователей.
Доступ к коллективному неосознанному машин открыт до предела. Стражи охраняют его крайне плохо. Если где-либо в мире происходит ЧП в химической или энергетической промышленности, то в демократических республиках от этого выигрывают партии и союзы, ориентированные на охрану природы. Информационная безопасность в Германии сегодня переживает свое первое чрезвычайное происшествие. Неизбежные политические последствия случившегося затронут самые глубинные основы общественной жизни.
В ближайшее время и социальная, и политическая жизнь будут зависеть от правил, регулирующих доступ человека к информации и энергии. Но только демократически контролируемые формы управления позволят избежать вспышек ужасающей борьбы за перераспределение ресурсов. В этом, а не только техническом, смысле программа-шпион, которую удалось взломать Союзу компьютерных экспертов и профессиональных хакеров (Chaos Computer Club, CCC), сильно отстает от требований современности. Она - творение деспотизма.
Тему продолжает газета Die Welt:
Анализ "бундестроянца", только что обнародованый Союзом компьютерных экспертов и профессиональных хакеров (CCC), вне всякого сомнения, интересен. Профессионалы поражены тем, что шпионское программное обеспечение - если, конечно, информация ССС достоверна - не соответствует современному уровню техники и разработано халатно. Неужели у нас и впрямь нет ничего лучшего? Или, может, это - устаревшая версия?
Однако в качестве первой реакции на публикацию ССС по праву возникают иные вопросы: позволимо ли использовать этот инструмент в борьбе с преступностью в Германии? Кто поручил его создать? На основании каких законов? Министру внутренних дел ФРГ и его коллегам в федеральных землях следует немедленно и подробно высказаться по этому поводу. Ведь речь идет ни много ни мало о том, что важнее: безопасность или свобода?
На тему свободы Федеральный конституционный суд высказался еще в 2008 году. По его решению, в Германии запрещено использовать "бундестроянцев", подобных ныне обнаруженному. А вот на тему безопасности такого же четкого решения, увы, пока нет. Поэтому наши органы безопасности и оказались перед дилеммой: в то время как у любого мошенника вскоре появятся все средства для ведения электронной войны, немецкие борцы с преступностью подчиняются категоричному приказу - "не вмешиваться". Арсеналы явно не одинаковы.
Пока не хлынул поток возмущения, необходимо выяснить, откуда взялись "бундестроянцы" и применяли ли их вообще. Если следственные органы запустили какую-то вшивую программку по своей инициативе, избежать последствий не удастся. Но если речь идет о старой версии программы, использовавшейся еще до постановления Федерального конституционного суда, тогда дискуссию о современных средствах борьбы с преступностью следует продолжить с того места, на котором ее прервали еще до разоблачений ССС. И она должна наконец привести к каким-то результатам.
Шпионская система Эшелон ( Echelon )
Хакеры обвиняют немецкие власти в использовании шпионского ПО
В Германии разгорается новый скандал, связанный с незаконным сбором информации об интернет-пользователях. На этот раз, как бы это странно ни звучало, хакерская группа обвиняет немецкую полицию в использовании шпионского ПО для слежки за пользователями, а не наоборот.
Обвинение основано на анализе специалистами Chaos Computer Club (CCC) функций программы Bundestrojaner, в числе которых обнаружена возможность скрытой установки на удаленный ПК, отслеживание ввода символов с клавиатуры в браузерах и интернет-пейджерах, создание скриншотов, включение и использование микрофона и веб-камеры без ведома пользователя, а также передача полученной информации на заранее указанный адрес. Кроме того, имеется возможность выполнения произвольного кода на пораженной машине.
Помимо обвинения полиции в превышении полномочий, хакеры указывают на наличие большого числа уязвимостей, как в самой программе, так и в методах ее связи с управляющим центром: стойкость шифрования пользовательских данных низкая, а управляющие команды передаются вовсе без шифрования. В CCC отмечают, что параллельно с представителями полиции пользоваться Bundestrojaner может практически любой желающий, имеющий начальные знания в данной области, что может приводить к худшим, чем просто сбор информации последствиям.
Несмотря на то, что в Германии ПО для тайной записи VoIP-переговоров было легализовано еще в 2008 году, хакеры указывают на то, что в данном случае власти превышают свои полномочия. Но с учетом того, что Bundestrojaner был прислан CCC анонимно, стопроцентно доказать факт его использования полицией не представляется возможным. В свою очередь Министерство внутренних дел Германии отвергло обвинения хакеров. С учетом низкой безопасности самого Bundestrojaner и того факта, что с руки СCC он попал неизвестно откуда, закрадывается подозрение, что это чья-то злая и неумелая шутка, к тому же реализованная на низком техническом уровне, либо провокация, направленная на обострение и без того непростых отношений властей с хакерским сообществом. Сложившаяся ситуация на руку по крайней мере одной организации - Пиратской партии, популярность которой в Германии достигла 8%.
Так или иначе, на текущий момент программа определяется большинством антивирусных программ как вредоносная, ей присвоено имя Backdoor:W32/R2D2.A.
Создаётся впечатление, что в правительства цивилизованных стран попадают только люди, начисто лишённые чести и совести, настоящие ничтожества! Больше всего их интересует личная жизнь граждан и их маленькие гражданские секреты...
В устройствах MicroCell (Cisco) обнаружен встроенный бэкдор
06.04.2012
Изучив прошивку мини-базовых станций MicroCell, предназначенных для расширения зоны покрытия 3G-сетей внутри зданий, исследователи выявиликритические недоработки в безопасности продукта, которые позволяют из внешних сетей без авторизации полностью контролировать устройство.
Оказалось, что конфигуратор устройства поддерживает выполнение внешних команд, используя для этого простой протокол, работающий поверх UDP без какой-либо авторизации. Судя по всему, данный механизм задуман для автоматизации настройки MicroCell со стороны сотового оператора или для выполнения отладочных действий. Примечательно, что одна из поддерживаемых операций, позволяющая выполнить произвольную системную команду с правами root, называется "BackdoorPacketCmdLine", не скрывая, что по сути данный механизм является бэкдором. Команды принимаются не только через локальный порт, но и через WAN-интерфейс (по ошибке осуществляется привязка к адресу 0.0.0.0, хотя вероятно предполагалось только использование совместно с IPSec-туннелем к управляющим серверам AT&T), что позволяет любому злоумышленнику получить контроль над устройством.
Устройства MicroCell производятся компанией Cisco для клиентов AT&T и поставляются под брендом AT&T. Разбор содержимого прошивки показал, что внутри используется ядро Linux 2.6.21, упакованное при помощи LZMA. Корневая ФС хранится в образе initramfs, который монтируется с поддержкой записи, но изменения не сохраняются между перезагрузками. В состав прошивки входит инструментарий Busybox 1.8.2 (по словам обладателей устройства в документации упомянуто, что исходные тексты могут быть предоставлены по письменному запросу). Устройство может использоваться не только в роли 3G-удлинителя, но и выполнять типичные функции сетевого шлюза, поддерживая VLAN, NAT, DHCP, перенаправления DNS-запросов и т.п. Для настройки NAT задействована утилита iptables.
Не менее интересна аппаратная начинка. Устройство комбинирует в себе два SoC - Ralink и picoChip (для обеспечения работы GSM/UMTS и взаимодествия с radio-модулем и Xilinx FPGA). В устройстве также задействован модуль GPS, который используется для получения точного времени и для определения местоположения, которое используется для блокирования работы в необслуживаемых компанией AT&T областях. Для защиты от вмешательства используется 6 джамперов, меняющих настройки при снятии крышки корпуса.
Функция удаленной блокировки процессора в Intel Sandy Bridge снизит риск кражи ноутбука
21.12.2010
Очевидно, будущие процессоры Intel с архитектурой Sandy Bridge, до официального дебюта которых остаются считанные недели, смогут предложить своим пользователям немало интересного помимо возросшей эффективности и большей производительности интегрированной графики. К примеру, согласно информации, озвученной высокопоставленным представителем Intel Дэвидом Алленом (David Allen) в интервью itbusiness.ca, эти 32 нм CPU получат функцию так называемой удаленной блокировки.
Данная функциональность станет частью фирменной технологии Anti-Theft 3.0 и позволит пользователям дистанционно блокировать свой ноутбук в случае потери или кражи, а ее предыдущая версия уже применяется в существующих чипах Intel Core i5 и Core i7, входящих в платформу vPro. Хотя официально подтвержденных сведений о новой опции пока довольно мало, эксперты полагаю, что удаленная блокировка сможет работать, даже если компьютер выключен или не имеет интернет-соединения. В таком случае ее можно будет активировать через 3G сети. Подобные возможности, заметим, вполне могут привести к снижению числа краж ноутбуков, ибо вор в любой момент рискует остаться просто с куском железа, непригодным к использованию.
Источник: itbusiness.ca
Intel Anti-Theft ― отряд специального назначения
Каждые 53 секунды в мире крадут ноутбук. В одних только американских аэропортах число похищенных ноутбуков доходит до 12 тыс. еженедельно. Около половины из них содержат конфиденциальные данные в незашифрованном виде. Такую занимательную статистику приводит компания Intel на официальном сайте.
В своей заметке я расскажу о том, какие шаги сделала Intel в сторону изменения этой печальной статистики.
Для начала — немного громких заголовков об утере конфиденциальной или даже секретной правительственной информации.
В своей заметке я расскажу о том, какие шаги сделала Intel в сторону изменения этой печальной статистики.
Для начала — немного громких заголовков об утере конфиденциальной или даже секретной правительственной информации.
- «В Бостоне украден ноутбук инвестиционной компании Fidelity Investments. Компьютер содержал конфиденциальные данные о почти 2 тыс. счетов своих клиентов».
- «Из автомобиля сотрудника компании Ameriprise Financial Inc. был украден ноутбук с персональными данными более 2 тыс. человек».
- И даже такое:
«Агент MI5 (Британской службы контрразведки) потерял ноутбук, содержащий секретную правительственную информацию».
Технология Intel AT или Anti-Theft Technology призвана покончить с этим безобразием.
Ее поддержка уже реализована в платформах Intel с процессорами Core i3, i5, i7. В настоящее время технология получает активное продвижение в связи с появлением ультрабуков ― легких и удобных для работы в дороге устройств. Так как это в большинстве своем компактные и дорогие гаджеты, вопросы безопасности имеют здесь критическое значение.
Так как же безопасность обеспечивается на деле?
Компьютер, поддерживающий технологию Intel AT, может быть деактивирован так называемой «таблеткой с ядом» (poison pill). Это зашифрованное sms сообщение, которое передается через сеть 3G. Кроме того, в режиме блокировки ноутбук через заданные интервалы времени сообщает свои географические координаты.
Для этой дополнительной функции отслеживания при покупке девайса нужно заранее проверить наличие совместимого 3G/GPS модуля. На фото показан такой модуль от компании Sony-Ericsson.
Взаимодействие между чипсетом и 3G модулем происходит на аппаратном уровне. Таким образом, переустановка операционной системы и даже замена жесткого диска (которая, по сути, немногим сложнее замены сим-карты в мобильном телефоне) не могут отключить защиту ноутбука.
Аппаратная поддержка Intel Anti-Theft заложена в том блоке чипсета, который называется Management Engine (ME). ME управляет ноутбуком до загрузки операционной системы и, в частности, управляет работой системы питания. Также он отвечает за хранение ключей системы шифрования данных. В случае инициализации процедуры блокировки компьютера система не проходит POST.
Немаловажно, что владелец компьютера получает подтверждение его блокировки. Процесс деактивации является обратимым. Если удастся вернуть ноутбук, его можно легко реанимировать.
Ряд других функций:
- На украденный ноутбук администратор может послать сообщение, которое злоумышленник увидит при включении.
- Повторные неудачные попытки авторизации приводят к блокировке системы. Количество разрешенных попыток задается администратором.
- Можно заранее задать географическую область, за пределами которой ноутбук блокируется.
- Еще одна интересная функция — это обязательные “чекины” или “рандеву” с центральным сервером через заранее заданные интервалы. Если компьютер их пропускает, то он блокируется до тех пор, пока администратор его не реактивирует.
Так выглядит экран заблокированного компьютера:
Уже сейчас на рынке представлены решения с поддержкой этой технологии от всех крупных игроков рынка ноутбуков: Acer, Asus Dell, Fujitsu, HP, Lenovo, Sony, и других. Полный список можно посмотреть по ссылке.
Для того чтобы защитить ноутбук, нужно зайти на страницуatservice.intel.com и создать учетную запись, используя код активации с карточки, которая поставляется в комплекте с ноутбуком.
Затем осуществляется привязка компьютера к аккаунту с помощью специального приложения. После того как компьютер зарегистрирован в системе, пользователь через web-интерфейс может настраивать интервалы «рандеву» с сервером, менять сообщение которое показывается в режиме блокировки и, наконец, в любой момент объявить систему в розыск.
Intel AT работает по всему миру, в том числе и в России. К сожалению, на данной момент веб-интерфейс имеет только англоязычную версию.
Заключение.
Казалось бы, данная технология интересна только крупным компаниям, которым нужно обеспечить сохранность своих конфиденциальных данных. Однако вряд ли кому-то из обычных пользователей захочется, чтобы их частная переписка, фото- и видеоматериалы вместе с сохраненными паролями стали достоянием злоумышленников. Поэтому технология в высшей степени востребована, а ее повсеместное внедрение позволит снизить привлекательность ноутбука как объекта кражи. Ведь похищенный девайс с таким встроенным сервисом в худшем случае превратится в бесполезный кирпич, в лучшем — приведет напрямую к грабителю.
Онлайн-шпионаж
Автор – Дарья Ерёмина
Немецкие хакеры взломали правительственную программу для слежки за гражданами
Немецкие хакеры из группы Chaos Computer Club заявили на минувших выходных, что взломали правительственную шпионскую программу «бундестроян», которая позволяет проводить онлайн-обыски в компьютерах граждан и прослушивать звонки по Skype. По закону подобная слежка частично допустима, а скандал разгорелся из-за того, что этот вирус позволяет полиции выходить далеко за пределы своих полномочий и даже незаметно подбрасывать улики.
Программа «бундестроян», по своей природе аналогичная вирусу, следит за интернет-браузером и такими программами, как Skype, электронная почта и чаты. Программа может делать скриншоты, которые в немецких судах рассматриваются в качестве доказательств. Помимо прослушки телефонных разговоров и слежки за перепиской, на заражённом компьютере можно дистанционно включить микрофон или веб-камеру. Таким образом, полиция способна прослушать и увидеть, что происходит в помещении, где стоит ПК.
Кроме того, программа позволяет фиксировать всё, что печатается на клавиатуре, а также просматривать файлы на жёстком диске. Полученные данные, включая записи, сделанные с помощью микрофона и видеокамеры, могут быть сохранены на компьютер, с которого был загружен вирус.
Особенное возмущение общественности вызвало то, что «бундестроян» может не только скачивать данные с заражённых компьютеров, но и загружать их туда. Таким образом, законность тех или иных доказательств, впоследствии представленных полицией в суд, оказывается сомнительной. При этом следы собственного пребывания в чужом ПК программа умеет стирать.
Независимые программисты указывают, что разработчики программы не уделили внимания её защите, и данные со взломанного компьютера могут попасть в руки киберпреступников. Также выяснилось, чтовирус хранит собранные данные на сервере в США, то есть за пределами юрисдикции Германии.
В Германии по закону разрешена онлайн-слежка за подозреваемыми в серьёзных преступлениях, но это касается только переговоров, которые ведутся в онлайн-чатах. Всё остальное является частной жизнью граждан и не касается государства.
Изначально вопрос об онлайн-обысках встал в связи с угрозой терроризма, но в феврале 2008 года Конституционный суд признал противоречащими конституции Германии тайные обыски компьютеров у подозреваемых в террористической деятельности. Решение суда было отражено в основном законе в форме так называемого «Права граждан на сохранение тайны и неприкосновенности информационно-технических систем».
После этого тогдашний министр внутренних дел Вольфганг Шойбле (Wolfgang Schaeuble) и глава Федерального ведомства по уголовным делам Йорг Цирке (Juerg Ziercke) выдвинули идею так называемого «наблюдения за источником коммуникации». Это позволило властям с помощью специальных программ прослушивать разговоры через Skype и следить за интернет-перепиской, которые были зашифрованы и могли скрывать террористические планы.
Бавария созналась первой
Министерство Внутренних Дел Германии поторопилось заявить, что не имеет никакого отношения к программе «бундестроян», и переложило ответственность за еЁ использование на полицию федеральных земель, которая не подотчётна федеральному ведомству. Между тем, отдельные земли уже признали, что такие программы ими внедрялись, но с оговоркой, что права граждан при этом не нарушались – это, впрочем, невозможно проверить.
10 октября министр внутренних дел Баварии Йоахим Геррманн (Joachim Herrmann) заявил, что троян, который взломали хакеры, использовался в ходе расследования 2009 года, проводившегося баварской полицией. Однако он уклончиво отметил, что не знает, была ли это тестовая версия или программное обеспечение, которое впоследствии действительно применялось на практике. Он подчеркнул, что власти действовали в рамках закона, и прав граждан при этом не нарушали. Все эти данные министр привёл в интервью Passauer Neue Presse.
Вслед за ним министр внутренних дел соседней федеральной земли Баден-Вюрттемберг Райнхольд Галль (Reinhold Gall) признался, что его подчинённые используют ту же базовую версию вируса, что и полиция в Баварии. После обвинений в незаконности использования программы Галль, в отличие от своего баварского коллеги, решил приостановить внедрение «бундестрояна», пока его официально не признают легальным.
Власти Рейнланд-Пфальца и Нижней Саксонии также признались, что следователям уже доводилось использовать подобные вирусы. Здесь, как и везде, власти утверждают, что действовали в рамках закона. Следователи Бранденбурга тоже использовали шпионскую программу, чтобы следить за телефонными разговорами подозреваемых. Но там отмечают, что на это было дано судебное разрешение.
При этом, как выяснилось, сама программа была разработана фирмой DigiTask в федеральной земле Гессен. Об этом местной радиостанции hr-iNFO сообщил адвокат Винфрид Зайберт (Winfried Seibert), который представляет DigiTask. Компания ещё осенью 2007 года предложила шпионское программное обеспечение для отслеживания переговоров по Skype баварским следственным органам. В целом, описание программы совпадает с тем, которое предоставили хакеры из Chaos Computer Club.
Скандал вокруг вируса вызвал переполох среди высшего руководства страны. Канцлер Германии Ангела Меркель искренне возмутилась и потребовала провести тщательное расследование. Федеральный уполномоченный по защите личных данных Петер Шаар (Peter Schaar) заявил, что правительство должно использовать только те программы, которые исключают возможности злоупотреблений. Министр юстиции Забинэ Лойтхойсэр-Шнарренбергер (Sabine Leutheusser-Schnarrenberger) в интервью Handelsblattзаявила, что пора пересмотреть правила защиты персональных данных.
«Антибундестроян» и чёрный юмор интернет-пользователей
После сообщений о «бундестрояне» в немецком Интернете мгновенно появились ссылки на то, как распознать, что твой компьютер заражён вирусом, и как с ним бороться. В Сети уже выложены антивирусные программы, которые можно бесплатно установить на свой компьютер. Так, программа «Антибундестроян» находит элементы вируса и предлагает от них избавиться. Разработчики антивирусных программ F-Secure и Sophos заявили, что обновляют базы и добавляют защиту от «бундестрояна». Ожидается, что и другие компании последуют их примеру.
Интересно, что хакеры, взломав вирус, обнаружили в его коде упоминание об астродроиде из «Звёздных войн» R2D2 и ещё одном персонаже этой саги – C3PO. Из-за этого программу уже прозвали R2D2 Trojan. Хакеры дали вирусу и другое, не менее ироничное название – ozaptis. Фразой «O zapft is!», которая в переводе с баварского диалекта значит «Бочка открыта», начинается каждый Октоберфест.
Кроме того, в Интернете особенно активные пользователи уже создали издевательскую официальную страницу «бундестрояна» на www.bundestrojaner.net с лозунгом «Частная жизнь осталась в прошлом». Посетителям сайта предлагается избавить полицию от лишней работы и лично загрузить «бундестроян». До Рождества к «бундестрояну» прилагается пакет услуг «Контроль за гражданами 2.0», который включает бонус – бесплатное подключение к прослушке городского телефона.
P.S. А бесплатно проверить, не заражён ли Ваш компьютер «бундестрояном», как и прочей пакостью, можно тут с помощью известного антивируса: http://www.f-secure.com/en/web/home_global/protection/free-online-tools/free-online-tools
06.12.2011 19:37 Download.Com уличён в распространении Nmap с троянской вставкой
Гордон Лион (Fyodor), автор известного сканера безопасности Nmap, обнаружил, что данная программа распространяется с троянскими вставками крупнейшим в мире каталогом программного обеспечения Download.com, который принадлежит CNET. Технически это реализовано в виде дополнительного инсталлятора, который является оберткой для родного инсталлятора Nmap для Windows. Данный инсталлятор при его запуске скрытно устанавливает различные расширения для браузера Internet Explorer, такие как тулбар "Start Now ", а также изменяет поисковую систему по умолчанию на Microsoft Bing и в качестве домашней страницы устанавливает Microsoft MSN. Троянский инсталлятор создан и продвигается администрацией Download.com с целью получения дополнительного дохода от рекламы и не связан с активностью злоумышленников.
Интересно, что на странице для загрузки на Download.com утверждается, что это оригинальный инсталлятор от Nmap, и даже приводится его правильный размер, несмотря на то, что он не совпадает с размером реально скачиваемого дистрибутива программы. Автор Nmap отправил на проверку инсталлятор CNET в сервис VirusTotal.com, где 10 из 42 антивирусов (в частности Panda, McAfee, F-Secure и другие) обнаружили различные троянские вставки. Подобные случаи обмана описывают и авторы других программ, например, медиаплеера VLC.
Дальше Fyodor гневно объясняет, что код Nmap поставляется под лицензией GPL, расширенной рядом дополнительных требований, в которых явно запрещены подобные манипуляции. Кроме того nmap является зарегистрированной торговой маркой в США, и попытки использовать их названия, программу и логотип сторонними лицами - незаконны. Хуже того, Fyodor говорит, что он и представить себе не мог, что с помощью Nmap будут продвигать сервисы Microsoft (CNET принадлежит CBS, спонсором которой является Microsoft, оплачивая установку подобного стороннего ПО).
Дополнение: версия с троянским инсталлятором убрана с сайта Download.Com, вместо неё размещена классическая сборка Nmap для Windows.
12.07.2011 12:13 Выявлено 20 компаний, распространявших поддельный медиаплеер VLC с троянским кодом
Разработчики проекта VideoLAN обратили внимание на появление в сети около 20 ресурсов, распространяющих сборки медиаплеера VLC, в которые интегрированы посторонние компоненты, показывающие рекламу (adware) или шпионящие за действиями пользователя (spyware). Примечательно, что большинство из подобных сборок позиционируются как оригинальные версии VLC, активно рекламируются через системы контекстной рекламы и выводятся на первых страницах при поиске VLC в поисковых системах.
Распространяющие данные сборки компании не только нарушают принадлежащие проекту VideoLAN торговые марки, вводя пользователей в заблуждение из-за использования того-же названия, но и нарушают лицензию GPL, так как код троянских компонентов остается закрытым. Еще хуже то, что авторы подобных сборок не просто наживаются на чужом труде, но и дискредитируют оригинальный проект в глазах пользователей, которые под именем VLC получают совсем не то, что ожидалось, и без специальных инструментов не могут удалить поддельную сборку.
Разработчики проекта VideoLAN обращают внимание, что загружать медиаплеер VLC следует только с основного сайта videolan.org, не веря похожести названий других доменов. Например, поддельные версии VLC поставляются с таких сайтов, как vlcplayer.net, vlс.us.com, vlсdownload.org, vlс-media-player-blog.com, downloadvlсplayer.net, vlc-mirror.org и т.п.
Microsoft сможет удалять приложения с компьютеров пользователей
09.12.2011
Корпорация Microsoft сможет дистанционно удалять приложения с устройств, работающих наОС Windows 8, если они нарушают авторское право или угрожают безопасности данных пользователей. Такой же политики с марта 2011 года придерживается Google, удаляя неугодные приложения, которые были скачаны из Android Market.
В пользовательском соглашении онлайн-магазина Windows Store говорится, что "при определенных обстоятельствах" Microsoft имеет право на блокировку или удаление любых программ. В этом случае софтверный гигант обязуется возместить уплаченную за приложение сумму.
Кроме того, в соглашении прописано, что вместе с самой программой могут быть удалены все связанные с ней данные. За резервное копирование отвечает только пользователь, ответственности за информацию Microsoft не несет.
О внешнем виде и дате запуска Windows Store в Редмонде рассказали на этой неделе. Увидеть его "вживую" можно будет в конце февраля 2012 года, когда для загрузки откроется первая публичнаябета-версия "восьмерки".
ФБР - "мониторинг" соцсетей
27.01.2012
Федеральное бюро расследований (ФБР) разместило тендер на создание приложения, которое бы автоматически и в режиме реального времени отслеживало "подозрительные" сообщения в социальных сетях и на новостных сайтах.
Согласно описанию, такая система мониторинга должна собирать данные, которые могут представлять угрозу для безопасности США, сразу из нескольких источников, включая Facebook, Twitter, Flickr, YouTube, а также Fox News, CNN и MSNBC, а затем наносить их на онлайн-карту. Как ожидается, ведомство выберет подрядчика до 10 февраля этого года.
"Социальные медиа стали основным источником сбора разведданных, поскольку они первыми реагируют на ключевые события и являются первым сигналом к возможному развитию событий", - говорится в документе. Предполагаемая система, в частности, должна уметь наносить вероятные угрозы на карты Google Maps 3D и Yahoo Maps, иметь автоматизированный поиск по соцсетям и сайтам масс-медиа на основе заданных критериев, а также переводить иностранные "твиты" на английский язык.
Более того, ПО должно иметь встроенный словарь жаргонных слов "Твиттера". На протяжении всего документа ФБР неоднократно подчеркивает, что ПО должно собирать только общедоступные данные,пишет RT.
Троян Flashback заразил более полумиллиона компьютеров Apple
05.04.2012
Новый опасный вирус поразил свыше 600 тысяч компьютеров Appleпо всему миру. Как выяснили эксперты из компании "Доктор Веб", троян под названием BackDoor.Flashback проникает на ПК под управлением операционной системы MacOSX и создает ботнет — сеть из зараженных "маков". Впоследствии злоумышленники могут использовать ее для организации DDoS-атак или рассылки спама.
Как уточняет CNET, FlashBack был обнаружен еще в сентябре 2011 года. Он проникал на "маки" через фальшивый установщик Adobe Flash Player. Новая разновидность вируса (BackDoor.Flashback.39) попадает на ПК с Java-апплетом, который загружают вредоносные сайты.
По подсчету "Доктора Веба", большая часть систем, зараженных трояном, расположена на территории США (56,6%), Канады (19,8%), Великобритании (12,8%) и Австралии (6,1%). Чтобы обезопасить свой компьютер, владельцам "маков" рекомендуют установить последнее обновление безопасности от Apple. Его можно загрузить по адресу support.apple.com/kb/HT5228.
Специалисты из "Доктора Веба" подчеркнули, что обнаруженная уязвимость в очередной раз опровергает заявления некоторых экспертов об отсутствии угроз для пользователей "маков". Напомним, последний крупный вирус для рабочих станций Apple (известен под названиями MacDefender, MacProtector или MacSecurity) был найден в мае 2011 года.
Он проникал на компьютеры через вредоносный код на сайтах, маскируясь под фальшивый антивирус. Самостоятельно установившись на ПК, он под видом "вылечивания" системы получал доступ к данным кредитной карты. По разным оценкам, было заражено от 60 до 120 тысяч ПК.
Intel представит процессор, который можно будет блокировать удалённо
17.12.2010
Intel на январском шоу Consumer Electronics готовится представить своё новое семейство процессоров Sandy Bridge. Самой интересной их особенностью является встроенная возможность их удалённого блокирования.
Sandy Bridge это кодовое имя для процессоров Intel, которые станут преемниками семейства процессоров Nehalem.
«Это наш первый микропроцессор, в котором один миллиард транзисторов», говорит директор дистрибутивных продаж по Северной Америке Intel Дэвид Аллен. «В нём больший тепловой потенциал и повышена производительность. Sandy Bridge будет иметь систему обозначения Core i3, Corei5 и Core i7″.
При новых возможностях производительности улучшена графика, вычисления станут более быстрыми, и будет «улучшенная» безопасность.
Это если ваше понимание безопасности согласуется с «противоугонными» технологиями, которые Intel встроил в свои процессоры. Аллен рассказал ITBusiness.ca, что пользователям теперь не нужно будет беспокоиться, если их ноутбук потеряется или будет украден, потому что с Sandy Bridge его можно будет удалённо блокировать.
Однако надо полагать большинство жертв воровства ноутбуков хотели бы получить свой компьютер назад, а не просто блокировать жуликам возможность лазать по порносайтам с помощью своего любимца.
Конечно Intel бахвалится, рассказывая о том, как их новые микропроцессоры помогут бизнесу создать более эффективные системы данных с использованием облачных вычислений, но возможность удалённой блокировки торчит как красный флаг (здесь – тревожный звоночек; прим. mixednews), и основные новостные источники только вскользь о ней упомянут, поэтому постараемся разобраться в этом вопросе здесь и сейчас.
Прежде всего ITBusiness.ca, вероятно, не самый посещаемый веб-сайт на планете, рассказывающий о технологиях, однако четыре человека, которые были достаточно любезны, чтобы оставить там свои комменты, разделяют те же опасения, что и я. Они не считают эту опцию необходимой, и рассматривают её в качестве ещё одного тоталитарного инструмента для осуществления правительством управления на уровне повседневной жизни.
Раньше считалось, что Большой Брат работает тайно, и его шпионские устройства тайно установлены таким образом, что общественность о них не знает, и следовательно не волнуется. Ну что ж, теперь они работают открыто, и ещё одна большая корпорация облегчила элитам задачу по созданию единого государственного надзора.
Раньше американцы боялись теоретического Большого Брата полицейского государства, что удерживало этого самого брата от аморального использования технологий, опасаясь гнева общественности. Теперь они не только этого не боятся, теперь корпорации с удовольствием убеждают людей, что им всех необходим этот техно-фашизм – и люди покупаются.
Мы все очень хорошо знаем, что в обществе, в котором мы живём, нас всех легко отследить, не могли бы Intel придумать, например, отслеживание лаптопов через систему GPS, чтобы власти хотя бы попытались вернуть краденый компьютер своему законному владельцу?
Ноутбуки недёшевы как вы знаете. Вместо системы блокировки Intel мог бы встроить систему вроде Lo-Jack (система для отслеживания угнанных авто; прим. mixednews). А встраивание системы блокировки выглядит как возможность для них отсекать пользователя от информации по своему усмотрению.
Скрытая мобильная угроза: чем заражают сотовые телефоны
02 мая 2012
Не открывать подозрительные SMS-сообщения: с таким призывом обратились к владельцам сотовых телефонов специалисты Роскомнадзора. На днях мобильные операторы зафиксировали массовую так называемую "спам-рассылку": тысячам абонентов приходят вроде бы рекламные СМС с предложением бесплатно скачать музыку. На самом деле вместо песен на телефон загружается вредоносная программа. С ее помощью мошенники легко крадут и информацию, и деньги со счета.
По сути, большинство современных мобильных телефонов - это маленькие компьютеры. Можно зайти на любой сайт, посмотреть электронную почту, произвести дистанционный платеж, установить полезное приложение. Все это взяли на вооружение мошенники - раз в телефоне есть интернет, значит, аппарат можно заразить компьютерным вирусом.
У Валерии проблемы начались, когда она установила в телефон популярную игру. "Я играла, все было хорошо, но в течение времени начались сбои - перестала работать программа вообще и, помимо этого, очень много денег стали списывать со счета. Не знала, как бороться с этим, пришлось в итоге симку менять и аппарат тоже начал зависать и перестал работать", - рассказывает студентка Валерия Ко.
Специалисты в области компьютерной безопасности отмечают: вредоносных программ для мобильников великое множество. Каждую неделю появляется 50 новых версий. Задачи у вируса простые: заразить как можно больше других абонентов и украсть деньги.
"Чаще всего, это скрытая отправка SMS на короткие номера, либо звонки на платные номера. Также возможна генерация комбинаций клавиш, которые на самом деле не нажимаются, которые вызывают определенные функции по переводу денег со счета мобильного телефона на какую-то платежную систему", - поясняет генеральный директор компании по расследованию компьютерных преступлений Илья Сачков.
Дмитрий случайно открыл незнакомую ссылку. О том, что с телефоном происходит неладное, понял, когда баланс неожиданно ушел в минус. Пришлось нести мобильник в сервисный центр. "Меня это очень сильно расстроило, доставило массу неприятностей, пришлось платить свои деньги каким-то мошенникам, и перепрошивать телефон тоже стоило денег", - рассказывает Дмитрий Орехов.
Самостоятельно бороться с вредоносной программой практически бесполезно, да и о том, что телефон заражен, владелец узнает уже постфактум.
"Дело в том, что вирус будет скрывать свое происхождение. Если он отправляет какие-то SMS-сообщения или еще какую-то активность проявляет, он после себя будет подчищать следы. Соответственно, узнать о том, что у вас ушли деньги, можно только заметив, что изменяется баланс", - поясняет ведущий эксперт компании по расследованию компьютерных преступлений Сергей Никитин.
Так что же делать, чтобы не заразить телефон вирусом? Специалисты отвечают: соблюдать хотя бы элементарную компьютерную гигиену.
"Не стоит открывать ссылки, которые приходят в SMS-сообщениях; следует устанавливать на телефон только проверенные программы с официальных сайтов производителей программ. Не стоит подключать телефон к непроверенному компьютеру, потому что вы не можете на 100% быть уверены, что компьютер не заражен", - советует генеральный директор компании по расследованию компьютерных преступлений Илья Сачков.
Если же вы решили объявить тотальную войну вредоносным программам, на мобильный в обязательном порядке нужно установить лицензированный антивирус и подписаться на услугу автоматического оповещение об изменении баланса вашего телефона в виде SMS.
Иранские компьютеры подверглись кибератаке
30.05.2012
Власти Ирана признали, что в Исламской Республике несколько тысяч компьютеров подверглись атаке новейшим кибероружием — вирусом Flame. Программа предназначена, в первую очередь, для шпионажа: она может считывать данные с жестких дисков, перехватывать и сохранять выводимую на мониторы информацию и даже включать микрофон компьютера, чтобы записывать разговоры его операторов. В Тегеране утверждают, что больше всего от вируса пострадала нефтяная промышленность страны.
Пока ничего не известно о том, кто разработал вредоносную программу. В Иране во всем предсказуемо обвинили Израиль, хотя известно, что компьютеры на израильской территории также оказались заражены вирусом Flame. Кроме того, сообщения о кибератаках приходили из Судана, Сирии, Ливана и с палестинских территорий.
Вести.net: "Лаборатория Касперского" нашла нового компьютерного "червя"
29.05.2012
"Лаборатория Касперского" обнаружила новое кибероружие. Речь идет о вирусе под названием Flame. Он представляет собой набор инструментов для организации кибератак. Эксперты говорят, что новый вирус значительно превосходит по сложности известные троянцы Duqu и Stuxnet, выводившие из строя центрифуги на иранских заводах по обогащению урана. В результате этой кибердиверсии ядерная программа Ирана была отброшена на несколько лет назад.
Александр Гостев, главный антивирусный эксперт "Лаборатории Касперского" поясняет: "Если червь Stuxnet имел размер порядка 1 МБ, то червь Flame имеет несколько модулей – это несколько десятков различных файлов, которые он устанавливает в системы, с которыми работает. Их суммарный объем составляет порядка 20 МБ, то есть это в 20 раз больше, чем Stuxnet".
В отличие от целей Stuxnet, основной задачей Flame был кибершпионаж. Вирус позволяет похищать данные, которые вводятся при помощи клавиатуры – например, электронную переписку, информацию о системах–объектах атак, файлы, хранящиеся на компьютере, записывать разговоры его владельца и раз в несколько секунд делать скриншоты экрана.
"Последствия вообще его применения могут быть самыми неожиданными, — продолжает Александр Гостев. — Если мы говорим именно о шпионской функции — то, что было украдено при его помощи, может иметь самые далеко идущие последствия. Никто ведь не знает, что конкретно было украдено, в чьи руки это попало, и какие выводы были сделаны на основе этой информации".
Вирус был обнаружен в результате запроса международного института электросвязи, подведомственного ООН. Специалисты "Лаборатории Касперского" пытались найти вирус, который атаковал Иран в конце апреля, но вместо него обнаружили Flame. Принцип работы вируса известен, но его детальный анализ потребует несколько месяцев.
"Мы все прекрасно понимаем, что во всех этих историях мы оказываемся значительно позади атакующих, — отмечает Александр Гостев. — С нашей точки зрения Flame существовал как минимум с 2010 года и оставался незамеченным".
Основным очагом распространения троянца вновь оказался Иран, однако на этот раз инфицированные компьютеры были обнаружены в Палестинской автономии, Судане, Сирии, Ливане, Саудовской Аравии, Египте и некоторых европейских странах. Всего заражению подверглось около 1000 машин. В лаборатории считают, что за созданием вируса стоят государственные структуры, вероятно, спецслужбы. "Это не работа традиционных киберпреступников, цель которых — банальное зарабатывание денег, — добавляет Александр Гостев. — Здесь речь идет об интересах национальной безопасности".
За последние два года это уже третий случай обнаружения кибероружия, созданного по заказу государств. А значит, кибервойны – уже не фантастика, а объективная реальность. Разработка компьютерных вирусов стоит в тысячи раз дешевле производства бомб или ракет, но при этом их разрушительная сила вполне сопоставима с реальным оружием. Очевидно, что распространение кибероружия необходимо контролировать. Эксперты по интернет-безопасности считают, что для этого придется создать новую международную организацию – например, КиберМАГАТЭ.
Евгений Касперский предостерег мир от киберкатастрофы
06.06.2012
Евгений Касперский, сооснователь и генеральный директор "Лаборатории Касперского", признался, что напуган масштабами киберэпидемии, которая грозит человечеству. Об этом, как сообщает РИА Новости, эксперт по борьбе с вирусами заявил шестого июня в ходе выступления в университете Тель-Авива.
"Я боюсь, что это только начало игры, и очень скоро множество стран по всему миру в этом убедятся", - заявил Касперский, говоря о вирусе-шпионе Flame, атаковавшем компьютеры ряда стран на Ближнем Востоке. Троян был обнаружен "Лабораторией Касперского" в конце мая и, по оценкам компании, является "возможно, самым сложным" вирусом.
"Боюсь, что это будет концом того мира, каким мы его знаем", - заявил Касперский, заметив, что "на планете так много компьютерных систем, и так велика наша зависимость от них". Эксперт указал, что создать вирус, аналогичный Flame, могут многие страны. Его разработку он оценил в 100 миллионов долларов и добавил, что даже если государство не в состоянии само создать троян, оно может нанять специалистов, похитить их или обратиться к хакерам.
Последствиями киберэпидемии, по мнению Касперского, могут стать тотальный интернет-блэкаут (невозможность использования Сети вообще) или атака на ключевые объекты инфраструктуры. В мире пока не существует адекватной системы защиты, заметил он, добавив, что единственным выходом видит международное сотрудничество в этой сфере.
Вирус Flame предназначен для кражи документов с компьютеров, однако по команде с управляющего сервера может подгружать модули с дополнительными функциями. Наибольшее количество зараженных компьютеров было зафиксировано в Иране, а Тегеран заявил, что Flame был нацелен на нефтяную промышленность страны. Спустя несколько дней после обнаружения вируса "Лабораторией Касперского" иранский Центр по противодействию киберугрозам (CERT) выпустил антивирус, позволяющий удалить Flame с компьютера.
Доподлинно неизвестно, кто именно создал троян, однако "Лаборатория Касперского" утверждала, что разработка такой программы под силу только властям какой-либо из стран. По неофициальным данным, к появлению вируса причастны США.
Ссылки по теме
- ФБР проверит обстоятельства утечки о кибератаках США – Lenta.ru, 06.06.2012
- Обама распорядился начать кибервойну с Ираном – Lenta.ru, 01.06.2012
- Иран создал инструмент для борьбы с "самым сложным" вирусом – Lenta.ru, 30.05.2012
- "Лаборатория Касперского" нашла "самый сложный" вирус – Lenta.ru, 28.05.2012
- ФБР проверит обстоятельства утечки о кибератаках США – Lenta.ru, 06.06.2012
- Обама распорядился начать кибервойну с Ираном – Lenta.ru, 01.06.2012
- Иран создал инструмент для борьбы с "самым сложным" вирусом – Lenta.ru, 30.05.2012
- "Лаборатория Касперского" нашла "самый сложный" вирус – Lenta.ru, 28.05.2012
"Самый сложный вирус в мире" оказался разработкой США и Израиля
20.06.2012
Разработку "самого сложного вируса в мире" Flame,заразившего сотни компьютеров в ряде стран Ближнего Востока, совместно вели израильские спецслужбы и разведка США, включая ЦРУ и Агентство национальной безопасности (АНБ). Об этом пишет газета TheWashingtonPost, ссылающаяся на неназванные источники среди чиновников.
По данным издания, США и Израиль вместе создали кибероружие с целью замедлить развитие ядерной программы Ирана. В отличие от вируса Stuxnet, проникшего в компьютерные системы этой страны в 2010-м и 2011 годах, Flame не причинял физического вреда системам, а использовался для слежки и сбора информации.
О том, что к созданию Flame причастны спецслужбы США, также сообщает агентство Reuters со ссылкой на собственные источники. Представители ЦРУ, АНБ, Пентагона и аппарата Директора Национальной разведки от комментариев отказались.
Flame обнаружила российская антивирусная компания "Лаборатория Касперского" в конце мая, назвав его самой сложной на сегодняшний день программой для компьютерного шпионажа. Отмечалось, что первые следы активности трояна приходятся на август 2010 года.
С тех пор жертвами вируса-шпиона стали свыше 600 объектов в Иране, Судане, Сирии, Ливане, Саудовской Аравии и Египте. Нападению подверглись компьютеры частных лиц, компаний, образовательных и правительственных учреждений.
Flame проникает на компьютер с "флешки" или по локальной сети. Он способен менять настройки на ПК, включать микрофон, перехватывать пароли, нажатия клавиш, делать скриншоты экрана.
По мнению "Лаборатории", Flame создавала та же группа, что и Stuxnet — вирус, который в июне 2010 года заразил компьютеры на Бушерской АЭС в Иране и разрушил двигатели сотен урановых центрифуг, резко снижая и увеличивая частоты вращения конвертера. Некоторые эксперты полагают, что Stuxnet смог отбросить развитие ядерной программы Ирана на несколько лет назад.
Также по теме:Иранские компьютеры подверглись кибератаке
"Лаборатория Касперского" нашла "самый сложный вирус в мире"
"Лаборатория Касперского" нашла "самый сложный вирус в мире"
В Сети нашли "математика", который крадет финансовую информацию
09.08.2012
Эксперты "Лаборатории Касперского" обнаружили банковского троянца государственного масштаба. Еще одну сложную вредоносную программу, которую отнесли к классу кибероружия, нашли на Ближнем Востоке.
Особенность нового троянца, названного по имени немецкого математика Иоганна Карла Фридриха Гаусса, состоит в том, что он, помимо прочего шпионского функционала, направлен на кражу финансовой информации пользователей зараженных компьютеров.
Gauss скрытно пересылает на сервера управления пароли, введенные или сохраненные в браузере, файлы cookie, а также подробности конфигурации инфицированной системы. "Наличие в Gauss функционала банковского троянца является уникальным случаем, ранее никогда не встречавшимся среди вредоносных программ, которые принято относить к классу кибероружия", — поясняют эксперты.
Gauss был обнаружен в ходе масштабной кампании, инициированной Международным союзом электросвязи (International Telecommunication Union, ITU) после выявления Flame. Ее глобальной целью является сокращение рисков, связанных с применением кибероружия, и сохранение мира в киберпространстве.
Обнаружение Gauss стало возможным благодаря наличию в троянце ряда черт, объединяющих его со сложной вредоносной программой Flame. Сходства прослеживаются в архитектуре, модульной структуре, а также способах связи с серверами управления.
Основной шпионский модуль новой вредоносной программы был назван создателями (которые пока остаются неизвестными) в честь немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца также носят имена известных математиков: Жозефа Луи Лагранжа и Курта Гёделя.
Проведенное исследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011 года. Однако командные сервера вредоносной программы прекратили свою работу только в июле 2012 года.
Многочисленные модули Gauss предназначены для сбора информации, содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах. Кроме того, атакующие получали детальную информацию о зараженном компьютере, в том числе подробности о сетевых интерфейсах, дисковых накопителях, а также данные BIOS.
Троянец Gauss может красть конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal.
Еще одной важной особенностью Gauss является то, что он заражает USB-накопители, используя ту же самую уязвимость, что и Stuxnet, и Flame. Однако процесс инфицирования флэшек отличается от предшественников наличием определенной интеллектуальной составляющей.
Так, используя съемный накопитель для хранения собранной информации в одном из скрытых файлов, при определенных условиях Gauss может удалить себя и все украденные данные. Еще одной характерной чертой троянца является установка специального шрифта Palida Narrow. Однако ее смысл пока не ясен.
"Несмотря на то, что Gauss и Flame имеют много общего по своей структуре, их география заражения серьезно разнится. Максимальное количество компьютеров, пораженных Flame, приходится на Иран, тогда как большинство жертв Gauss находится в Ливане. Число зараженных также значительно отличается. По данным облачной системы мониторинга Kaspersky Security Network, Gauss заразил порядка 2,5 тысяч компьютеров, в то время как жертв Flame было всего около 700", — говорят эксперты "Лаборатории Касперского".
Хотя точный способ заражения еще не установлен, эксперты уверены, что распространение Gauss происходит по иному сценарию, нежели Flame или Duqu. Однако стоит отметить, что так же, как и у более ранних кибершпионов, процесс распространения троянца является строго контролируемым, что говорит о намерении как можно дольше оставаться незамеченным.
Хотя точный способ заражения еще не установлен, эксперты уверены, что распространение Gauss происходит по иному сценарию, нежели Flame или Duqu. Однако стоит отметить, что так же, как и у более ранних кибершпионов, процесс распространения троянца является строго контролируемым, что говорит о намерении как можно дольше оставаться незамеченным.
"Gauss очень похож на Flame по структуре и коду. Собственно, именно это и позволило нам его обнаружить, – говорит Александр Гостев, главный антивирусный эксперт "Лаборатории Касперского". – Так же, как Flame и Duqu, Gauss представляет собой сложную программу, предназначенную для ведения кибершпионажа с особым акцентом на скрытность действий. Однако цели недавно обнаруженного троянца совсем иные: Gauss заражает пользователей в четко определенных странах и крадет большие объемы данных. Причем, особый интерес для него представляет финансовая информация".
В настоящее время "Лаборатория Касперского" успешно детектирует, блокирует и удаляет троянца Gauss. В антивирусной базе он классифицируется как Trojan-Spy.Win32.Gauss.
Комментариев нет:
Отправить комментарий