Microsoft предупредила о фальшивом антивирусе

Microsoft предупредила о распространении нового образца вредоносного программного обеспечения MSIL/Zeven, способного автоматически обнаружить браузер пользователя и имитировать страницы о предупреждении с якобы зараженных посещаемых сайтов, открываемых браузерами Internet Explorer, Firefox и Chrome.

Поддельное предупреждение очень похоже на реальные страницы, выдаваемые системами безопасности браузеров, от пользователя требуется предельное внимание, чтобы отличить подделку.

Впрочем, в Microsoft говорят, что злоумышленники используют немудреные методы социальной инженерии, хотя данная тактика для злонамеренного ПО в целом новая. Кроме поддельных предупреждений, реальное ПО способно сканировать файлы, говорить, что антивирусные базы устарели и предлагать сменить настройки безопасности в системе, передает cybersecurity.

Data Software представила топ-10 вирусов за ноябрь

На этой неделе компания G Data Software представила ежемесячный отчет Top 10 самых опасных вирусов и «зловредов» ноября 2010 года.
Эксперты лаборатории безопасности G Data Software отмечают, что в этом месяце наиболее опасные уязвимости были обнаружены в программах Java и Java-Script, которые в новом рейтинге представлены четырьмя «зловредами», два из которых были обнаружены в ноябре. Несмотря на то, что использование уязвимостей в PDF неуклонно снижается, их также не стоит недооценивать.

Доля наиболее опасных нападений из Top 10 составляет всего 9,28% от всех вирусов в мире.

Информация о вредоносном коде из рейтинга Top 10:

Java.Trojan.Exploit.Bytverify.N

Данная угроза использует пробел в системе безопасности в Java Bytecode Verifier, её можно обнаружить в манипулируемых Java-апплетах на различных веб-сайтах. При использовании пробела в системе безопасности может быть исполнен зловредный код, который вызывает, например, загрузку «троянской» программы. Таким образом взломщик может взять под контроль систему жертвы.

Worm.Autorun.VHG

Червь, который распространяется в операционных системах Windows с помощью функции autorun.inf из-за использования сменных носителей информации, таких как, USB-носителей или мобильных жёстких дисков. Он является Интернет-червем и сетевым червем, использующим пробел в системе безопасности Windows CVE-2008-4250.

WMA:Wimad [Drp]

Данный «троянец» выдаёт себя за обычный .wma аудиофайл, который может проигрываться только после установки специальных кодеков/декодеров в системе Windows. Если файл исполняется пользователем, взломщик может установить любой вредоносный код в системе. Инфицированные аудиофайлы распространяются преимущественно через P2P-сети.

Adware.Yabector.B

Adware — это новая программа рейтинга, которую G Data Software относит к разряду потенциально опасных. Это программа устанавливается на ваш компьютер вместе с бесплатным ПО, которое вы намеренно загружаете из Интернета. Причем пользователь зачастую пропускает строку «не устанавливать» Adware, которая появляется в течение нескольких секунд.

Загруженный файл в формате .exe появляется на рабочем столе и при открытии переносит пользователя на платформу электронного аукциона. Такая схема искусственно увеличивает количество посетителей сайта, и делает него более привлекательным для рекламодателей.

Application.Keygen.BI

В данном случае речь идёт о генераторе ключей. Данный вид атак используется в P2P файлообменных сетях и на варез-сайтах, на которых можно получить бесплатно лицензионное ПО. Данные приложения не только вызывают сомнения, но и используют дальнейшие пробелы в системе безопасности.

JS:Pdfka-OE [Expl]

Этот эксплойт атакует компьютер из слабых мест движков JavaScript PDF программ. Пользователю нужно лишь открыть PDF для того, чтобы запустить эксплойт. Если атака на компьютер жертвы произведена удачно, вредоносный код загружается на ПК.

JS: Downloader-AHG [Trj]

Данная вредоносная программа в первую очередь появляется на веб-сайтах. Этот «троян» написан на JavaScript. Если пользователь открывает сайт, который содержит неверный код JavaScript, то он запускается автоматически и может загружать любые вредоносные программы в систему жертвы.

Win32.Sality.OG

Полиморфный инфектор файлов, который модифицирует исполняемые файлы (.exe, .scr) и прячется с помощью руткита в инфицированной системе. Sality.OG распространяется через сеть или носители данных, оставляя файл Autorun.inf в Root меню соответствующего носителя.

Java.Trojan.Downloader.OpenConnection.AI

Этот загрузчик «троянов» расположен в манипулитивных апплетах Java на веб-сайтах. Когда пользователь загружает апплет, URL формируется из параметров апплета. Загрузчик использует его для установки вредоносных исполняемых файлов на компьютер пользователя и запускает его. Такие файлы могут содержать любой вид вредоносного ПО. Загрузчик использует CVE-2010-0840 эксплоит для избежание попадания в «песочницу» Javа.

Win32: FunWeb-C [ПНП]

[ПНП] в название «вредоноса» расшифровывается как «потенциально нежелательная программа». Это ПО представляет собой панель инструментов браузера, которая устанавливается вместе в развлекательными программами (игры, музыка, фильмы и прочее). Это «вредоносное приложение» изменяет стартовую страницу браузера и осуществляет поиск только через поисковую систему MyWebSearch.