Эксперты по сетевой безопасности отмечают колоссальный рост активности вируса Gumblar. Червь заражает интернет-сайты и компьютеры пользователей.

Специалисты из Sophos, компании, занимающейся разработкой антивирусного ПО, бьют тревогу: в сети появился еще один опасный червь. За последнюю неделю вирус побил все рекорды по скорости размножения: согласно статистике, на его счету 42% всех атак, зафиксированных в интернете на этой неделе.

Масштабы наступления просто поражают: всего за неделю рост активности червя составил 188%, при этом каждые 4,5 секунды вирус заражает новый сайт.

Gumblar, также известный как JSRedir-R, распространяется через веб-страницы, прописывая свой код в самых разных скриптовых файлах на сервере. При каждом просмотре сайта на компьютер жертвы загружается копия червя, с помощью которой злоумышленники получают полный контроль над зараженной машиной.

1. Кто и когда обнаружил червь?
2. Зачем был создан psyb0t?
3. Эксперты говорят, что этот червь уникален. Почему?
4. Кто больше всех рискует быть инфицированным червем psyb0t?
5. Как узнать, если я инфицирован червем psyb0t?
6. Как предотвратить заражение?
7. Как удалить psyb0t?

Компания F-Secure в своем отчете за I квартал 2009 г. сообщила об обнаружении первого, по мнению ее специалистов, SMS-червя для смартфонов. Новый червь под названием Sexy View, так же как и социальный червь Koobface, распространяющийся в социальных сетях Facebook и MySpace, использует в своих целях контакты, которые хранятся в памяти смартфона, для своего распространения.

Червь посылает текстовое сообщение контактам пользователя, в котором им предлагается перейти по указанной веб-ссылке с интересными картинками. Сообщение приходит от имени пользователя, поэтому, как правило, не вызывает каких-либо сомнений у получателя.

После перехода по ссылке на смартфон предлагается установить вполне безобидное приложение, которое по сути является тем же червем. Обосновавшись в памяти устройства, червь посылает данные о смартфоне своим создателям, включая телефонный номер владельца. Эти данные используются злоумышленниками для рассылки SMS-спама.

На прошлой неделе появилась новая версия червя Conficker, также известного как Downadup и Kido. Она, в частности, загружает на компьютер поддельный антивирус, который требует от пользователя 50 долларов за очистку компьютера от вредоносного ПО, сообщает "Лаборатория Касперского".

Поддельный антивирус, SpywareProtect2009, загружается с серверов, находящихся на Украине. Попав на компьютер, он периодически выводит на экран сообщение, например, об обнаруженных в системе вирусах. Кроме того, Conficker загружает на зараженные компьютеры червя Iksma, также известного как Waledac. Он появился в январе 2009 года.

Предназначение Iksma - кража персональных данных и рассылка спама. В среднем один компьютер, зараженный Iksmas, отправляет в сутки 80 тысяч спам-сообщений. Практически все домены, с которыми связываются Iksmas для получения инструкций, находятся в Китае. Впервые атака червя Conficker была зафиксирована в начале 2009 года. В течение нескольких дней он заразил десять миллионов компьютеров.

За субботу и воскресенье социальная сеть Twitter была атакована, по меньшей мере, тремя червями. Руководство службы микро-блогов пообещало пользователям исправить ошибки кода. Ответственность за проведенные атаки взял на себя 17-летний Майкл Муни (Michael Mooney), известный также под именем Mikeyy.

По словам Микко Хиппонена (Mikko Hypponen) из компании F-Secure, в субботу некоторые пользователи сервиса начали жаловаться на то, что от их имени создаются записи, рекламирующие сайт StalkDaily.com. Их друзья, которые прошли по ссылке попадали на действующий по этому адресу javascript, который использовал XSS уязвимость для заражения их профилей на Twitter.

После этого сообщения с рекламой StalkDaily.com начинали автоматически рассылаться от вновь зараженных профилей. Более того, заразиться пользователи Twitter могли, просто просмотрев страничку с инфицированным профилем.

Уровень проникновения вредоносного кода в России во втором полугодии 2008 г. вырос более чем наполовину: с этим показателем наша страна вышла на второе место в мире. А вот самыми злостными распространителями вредоносов по-прежнему остаются США и Китай.

Индекс проникновения вредоносного кода в России во второй половине 2008 года вырос на 58% по сравнению с первым полугодием и составил 21,1. С этим показателем Россия занимает второе место в мире.

Напомним, что по итогам первого полугодия прошлого года в России этот показатель составлял 13,6 - на 16,9% выше, чем во второй половине 2007 г. Такие данные Microsoft представила в новом выпуске своего глобального отчета Security Intelligence Report (SIR).

В последние несколько дней одно за другим стали появляться сообщения о DDoS-атаках на ряд не связанных между собой российских сайтов и хостинг-провайдеров (впрочем, и не российских тоже). Массовые атаки могут быть связаны с активизацией бот-сети из миллионов компьютеров, созданной червями Conficker (Kido).

СМИ и блоги сообщают, что из-за атак оказались недоступны сайты НБП (с 3 апреля), Roem.ru (3 апреля), Tonks.ru (с конца марта), "ХабраХабр" (с 5 апреля), сайт МТС (6 апреля), "Линк Трафф" (4 апреля) и других. Между тем, именно на начало апреля, по мнению специалистов в области безопасности, была запланирована активизация - в форме DDoS-атак, рассылки спама и массового заражения новых пользовательских компьютеров - суперботнета, созданного семейством червей Conficker.

Стоит добавить, что некоторые эксперты высказывались против этого предположения, отмечая, что "создатель данного вируса пытается найти и использовать новые уязвимости "нулевого дня", чтобы распространять инфекции, но произойдет это в тот момент, когда наша защита будет не готова к этому, а пользователи постепенно успокоятся".

О черве стало известно в конце ноября 2008 года. Достаточно быстро Conficker стал распространяться по компьютерам - общее число инфицированных машин, по последним данным, оценивается более чем в 10 млн. За поимку авторов червя корпорация Microsoft назначила награду в размере 250 тысяч долларов.

Описание:
Утилита предназначена для удаление сетевого червя Win32.Kido (Conficker, Downadup)

По мнению экспертов антивирусной компании Trend Micro, сетевой сетевой червь Conficer все-таки начал проявлять первые признаки активности и серверы компании уже на протяжении нескольких суток фиксируют растущие объемы пирингового трафика между инфицированными компьютерами.

Одновременно с этим, в блоге компании появилось сообщение об обнаружении нового варианта сетевого червя Conficker Worm_Downnad.E, который распространяется при помощи технологии P2P. Сообщается, что действию данного сетевого червя уязвимы только пользователи операционной системы Windows.

Девид Перри, директор по информационному образованию Trend Micro, говорит, что компания сейчас занята исследованием образов кода, но уже ясно, что он как минимум работает в качестве кейлоггера и похищает закрытую информацию с зараженной машины.

Компания Eset сообщила о том, что с 1 апреля возможно резкое увеличение DDoS- и спам-атак с использованием крупнейшей в истории Интернета ботсети, состоящей из компьютеров, инфицированных семейством червей Conficker.

По данным Eset, новая версия сетевого червя – Сonficker.X – взаимодействует с управляющим пулом из 50 тыс. доменов. Это существенно усложняет борьбу с угрозой, поскольку при таком количестве постоянно обновляемых url-адресов отследить и блокировать команды от владельцев бот-сети компьютерам-зомби будет практически невозможно. Эксперты предполагают, что 1 апреля станет датой начала широкомасштабных атак на ПК пользователей. Это могут быть DDoS-атаки, рассылка спама, действия, направленные на заражение новых компьютеров и увеличение бот-нета.

Компания «Доктор Веб» сообщила о появлении новой модификации полиморфного сетевого червя Win32.HLLW.Shadow.based (также известного под именами Kido/Conficker), обеспечивающего основной функционал бот-сети Shadow. По прогнозам «Доктор Веб», с 1 апреля бот-сеть перейдет на новый режим работы.

Как пояснили в антивирусной компании, на компьютерах, инфицированных прежде различными модификациями полиморфного сетевого червя Win32.HLLW.Shadow.based, появившимися в феврале и марте этого года, будет произведено обновление вредоносного Программного Обеспечения, в результате чего будет запущен генератор адресов к заранее подготовленным сайтам для получения с них инструкций по дальнейшей работе. Каждые сутки будет генерироваться 50 000 адресов, среди которых будет выбираться 500 адресов, через которые будут происходить попытки обновления вредоносного Программного Обеспечения . При этом процесс обновления будет тщательно регулироваться таким образом, чтобы не создавать значительную нагрузку на хостинг-серверы, на которых расположены данные вредоносные серверы. Такой работе бот-сети воспрепятствовать будет значительно сложнее, считают в «Доктор Веб».

Напомним, что Win32.HLLW.Shadow.based для своего распространения использует сразу несколько каналов, среди которых выделяются съёмные носители и сетевые диски. Сетевой червь также может распространяться с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067.