Зловреды для Windows

Недавно мы обнаружили новый буткит — зловред, заражающий загрузочный сектор жесткого диска – Rookit.Win32.Fisp.a. Для рапространения буткита используется Trojan-Downloader.NSIS.Agent.jd. Этот зловред попадает на компьютеры пользователей, которые опрометчиво пытаются скачать видеоролик на фальшивом китайском порносайте. Загрузчик примечателен тем, что скачивает другие зловреды с помощью NSIS-движка, а все ссылки хранит в соответствующем NSIS-скрипте. Фрагмент NSIS-скрипта зловреда Trojan-Downloader.NSIS.Agent.jd

В ноябре 2010 мы опубликовали блогпост о новой разновидности программы-вымогателя Gpcode. Сегодня «Лаборатория Касперского» обнаружила новый вариант зловреда в виде обфусцированного выполняемого файла. Дальнейшая информация доступна в техническом описании. Благодаря Kaspersky Security Network, угроза была автоматически обнаружена как UDS:DangerousObject.Multi.Generic. Было добавлено специфическое детектирование; теперь зловред распознается как Trojan-Ransom.Win32.Gpcode.bn. Заражение происходит при посещении вредоносного сайта (drive-by

13 января мой коллега Вячеслав Закоржевский опубликовал блогпост об опасностях, связанных с использованием взломанных программ и генераторов ключей, в котором рассказал о зловредах, предназначенных для кражи регистрационных ключей к популярным программным продуктам и паролей к онлайн-играм. Несколько дней назад мы обнаружили новую вредоносную программу, названную ее авторами Kaspersky Trial Resetter и выдающую себя за утилиту

В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского» было заблокировано 70 465 949 попыток заражения через веб, обнаружено и обезврежено 252 187 961 вредоносных программ.

В начале декабря экспертами Лаборатории Касперского были обнаружены экземпляры вредоносной программы TDL4, которые используют 0-day уязвимость CVE: 2010-3888 для повышения привилегий в системах Windows.

В прошедшем месяце наибольшую опасность для пользователей представляли drive-by загрузки.

Обнаружена троянец-вымогатель, перезаписывающий MBR и требующий денег для получения пароля, необходимого для восстановления оригинального MBR

Мы получили несколько сообщений, в которых пользователи из разных стран просят нас помочь им справиться с заражениями вредоносной программой, которая очень похожа на троянца-шифровальщика GpCode образца 2008 года.

«Лаборатория Касперского» предлагает вниманию пользователей октябрьские рейтинги вредоносных программ. В целом месяц прошёл относительно спокойно, однако хочется обратить внимание на несколько интересных событий. В начале октября был обнаружен вирус Virus.Win32.Murofet, которым были заражены многие PE-файлы. Его основная особенность заключается в генерировании ссылок с помощью специального алгоритма, который основывается на текущих времени и дате на инфицированном

Исследователи Webroot обнаружили разновидность кейлоггера, который заставляет браузер сохранять все пароли, вводимые в формы, собирает их и отсылает злоумышленнику. Троянец модифицирует файл nsLoginManagerPrompter.js из папки Firefox: добавляет несколько строчек кода в обеспечение автоматического сохранения логинов/паролей и блокирует вывод запроса на их сохранение при регистрации на сайтах. Функция автосохранения в Firefox активирована по умолчанию, но многие

В дикой природе обнаружен резидентный файловый вирус, снабженный генератором доменных имен для загрузки и исполнения вредоносных ехе-файлов из интернета. PE_LICAT, или Murofet (ЛК детектирует его как Virus.Win32.Murofet), является приложением Windows и инфицирует ре-файлы во время их запуска, внедряя свой код в конец первой секции файла. Основная подпрограмма заражения прописывается в адресном пространстве процесса explorer.exe и

«Лаборатория Касперского» представляет вниманию пользователей сентябрьские рейтинги вредоносных программ.

Группы киберпреступников, распространяющие фальшивые антивирусы, в последние годы столкнулись со значительными трудностями, однако история на этом не заканчивается… Некоторые преступные группы были арестованы. Деятельность других, включая разработку кода и поддержку колл-центров, была пресечена. Какие-то группы соблазнились легкой добычей, привлекли к себе слишком много внимания и в результате были вынуждены оставить свои ботнеты. В ряде случаев

Packed — особый тип детектируемых объектов, используемый для определения зловредных файлов, защищенных вредоносным упаковщиком. Главная цель вредоносного упаковщика — максимальное усложнение детектирования на различных уровнях. Модификация Packed.Win32.Katusha.n появилась в конце мая 2010 года. Ее характерным признаком стала оперативная техническая поддержка: детектирование вирусописатели пытаются сбивать в течение кратчайшего времени после выхода свежих антивирусных баз. Динамика распространения

Прошедший месяц запомнился ростом количества случаев эксплуатации уязвимости CVE-2010-2568. Она используется как нашумевшим сетевым червем Worm.Win32.Stuxnet, так и троянцем-дроппером, устанавливающим на зараженный компьютер последнюю модификацию вируса Sality.