Названия вирусов будут стандартизированы
Американская организация US-CERT, занимающаяся проблемами в области компьютерной безопасности, предложила использовать стандартные названия для интернет-червей и других вредоносных программ, сообщает
(http://www.vnunet.com/vnunet/news/2143314/security-industry-gathers)
сайт vnunet.com.

Члены US-CERT назвали свою программу "Общая классификация вредоносных программ" (CME). Цель программы - не вводить
пользователей в заблуждение, используя разные названия для одних и тех же вирусов. Например, червь W32.Zotob.E по классификации Symantec в классификации McAfee называется W32/IRCbot.worm!MS05-039, а Trend Micro называет эту программу WORM_RBOT.CBQ.

Сейчас многие вирусы получают свои названия на основании описания или информации, включенной в код программы их создателями. В новой системе вирусы будут использовать номера CME. Первый вирус получит название CME-1.

Подобная система классификации уже существует для описания уязвимостей в программном обеспечении. Общий идентификатор уязвимостей включает себя порядковый номер и год, в котором уязвимость была выявлена. В идентификатор вирусов не включат дату, потому что пользователи часто неправильно воспринимают эту информацию. Они считают, что уязвимость с ранней датой менее опасна, чем уязвимость, выявленная позже.

Инициаторы предложения о CME допускают использование и старых вирусных имен, но надеются, что их система улучшит обмен информацией между антивирусными разработчиками и антивирусным сообществом в целом. Проект уже поддержали Computer Associates, McAfee, Microsoft, Symantec и F-Secure.

Новым инструментом фишеров стала фальшивая панель Google
Фальшивая панель Google стала новым инструментом для проведения фишинг-атак, сообщает (http://securitypipeline.com/news/171203839) сайт Security Pipeline со ссылкой на компанию Facetime. По данным исследователя Facetime Криса Бойда (Chris Boyd), фишеры активно
распространяют две ссылки на фальшивую Google-панель через каналы мгновенного обмена сообщениями.

Обе ссылки ведут на сайт, который устанавливает фальшивую Google-панель, заменяет файлы в системной папке HOSTS и ставит на компьютер антишпионскую программу World Antispy. Вредоносная программа перенаправляет пользователя с большинства Google-адресов на сервер мошенников и выводит дополнительное окно с просьбой ввести данные кредитной карты.

Компания IMlogic, разрабатывающая системы безопасности для программ мгновенного обмена сообщениями, уточняет, что ссылки на фальшивую Google-панель распространяются только через Yahoo Messenger. При этом фишеры используют часть уязвимостей в Internet Explorer, которые ранее использовали создатели другой фишинг-программы - Cool WebSearch.

Facetime выявила три версии вредоносной программы, каждая из которых использует уникальную уязвимость и устанавливает свой специфический вариант кода. По данным IMlogic, число атак с использованием программ мгновенного обмена сообщениями с начала этого года возросло в 14 раз.
Только в 3-м квартале число атак с использованием ICQ или ее аналогов в 10 раз превысило число атак, случившихся за весь 2004 год.

 Касперский: обзор вирусной активности - сентябрь 2005 -
"Лаборатория Касперского" предлагает вашему вниманию обзор вирусной активности за сентябрь 2005 года.

Тотальное наступление червей Mytob в сентябре внезапно сменилось относительным затишьем. Причины этого достаточно очевидны. Во-первых, это обнаружение в августе 2005 года очередной уязвимости в Microsoft Windows (в службе Plug´n´Play) MS05-039, что моментально изменило вектор приложения усилий вирусописателей в сторону сетевых, а не почтовых червей, которые традиционно служили объектами рассмотрения «двадцаток». Во-вторых, упомянутая атака Mytob привлекла внимание и правоохранительных органов, результатом чего стал арест в Марокко и Турции двух молодых людей, которые обвиняются в создании червей семейства Mytob. Являются ли они истинными авторами программы, покажет следствие, но уже сейчас можно констатировать тот факт, что в сентябре, после ареста, количество новых вариантов Mytob снизилось весьма значительно, хотя и не до нулевой отметки.

На этом фоне и случилось основное событие сентябрьской двадцатки - смена лидера. Вопреки всем ожиданиям и логике, им стал Zafi.d. Данный червь впервые был обнаружен в октябре 2004 года и в хит-парадах декабря 2004-января 2005 года уже лидировал. Затем он постепенно снижал свои показатели и в августе 2005 года занимал всего 6% от общего вирусного трафика. Сентябрьский рост на 3 позиции до 11% стал «вторым рождением» вируса и продемонстрировал, что сдавать позиции этот венгерский червь не собирается.

Третье место удержал еще один представитель семейства Zafi - Zafi.b. Возможно, это как-то связано с обнаружением совершенно нового червя Zafi.e в конце сентября. Новых представителей этой группы вредоносного ПО специалисты не регистрировали почти год, и вот неожиданно произошло пополнение семейства. С большой долей вероятности можно ожидать, что и Zafi.e скоро станет традиционным участником вирусных отчетов «Лаборатории Касперского».

Отдельного рассмотрения заслуживает ситуация вокруг самого распространенного и опасного семейства червей прошлого года - NetSky. Этим летом они вели весьма упорную войну с червями Mytob за долю в почтовом трафике и, похоже, ее проиграли. Нынешние показатели лидера прошлого года NetSky.q - 8 место, 2.99%, минус 6 позиций за месяц - свидетельствуют о том, что в вирусной двадцатке наступает перелом и, несмотря на пятое место еще одного представителя NetSky - варианта .b, в скором времени этот клан может покинуть пределы первой десятки.

Продолжает удивлять LovGate.w: 2004 год - стабильные показатели в пределах десятки, 2005 год - падение до 15 места в июле и ожидание полного исчезновения, но вышло наоборот. Август - 8-е место, сентябрь - уже четвертое. А ведь кроме него в двадцатке оказался еще один LovGate - .ae, неведомо как попавший в список сентябрьских «возвращенцев», где кроме него находятся еще один NetSky и два Mytob.

Семейство последних ведет ротацию своего состава. Практически все варианты, попавшие в двадцатку за последнюю пару месяцев, увеличили свою долю присутствия. В то же время, подавляющее большинство вариантов, появившихся в рейтинге еще в начале лета или весной этого года, снижают свои показатели. Относительно стабильным остается только положение Mytob.c, а вот Mytob.q начинает вплотную подбираться к вершине вирусного хит-парада.

В целом же, конечно, клан Mytob удерживает доминирующие позиции и занимает больше половины всех строчек в двадцатке - 11 мест.

В сентябре было обнаружено более двух десятков новых вариантов червя Bagle. В отдельные дни они причиняли значительное беспокойство антивирусным компаниям, появляясь партиями по 5-6 вариантов всего за пару часов. Казалось бы, подобная активность и «успех» червей данного семейства в прошлом должны были найти свое отражение в сентябрьском хит-параде. Однако этого не произошло. Трудно определить истинную причину подобного снижения темпов распространения. Их может быть много: и оперативная реакция антивирусных компаний, погасивших эпидемию в стадии зарождения, и внимательность пользователей, не запускавших присланных им копий червя, и ошибки в его коде, из-за которых он мог не работать на некоторых системах. Скорее всего, барьер на пути победного шествия Bagle воздвигла совокупность всех перечисленных факторов. Однако не стоит ослаблять внимание, поскольку авторы этого червя известны своей склонностью к регулярной организации таких кратковременных эпидемий.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (16,69) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам. 

StarForce объявляет о запуске новой продуктовой линейки - FrontLine -
Компания StarForce объявляет о выпуске FrontLine - новой линейки продуктов по защите ПО, предназначенной для разработчиков и издателей программного обеспечения, а также Интернет-магазинов и поставщиков электронного контента.

FrontLine включает FrontLine Basic для базовой защиты от копирования лицензионных дисков, FrontLine Pro для профессиональной защиты программных продуктов от промышленного пиратства и FrontLine Elite - инновационное решение, представляющее собой совокупность технологий защиты ПО и услуг по мониторингу и контролю эффективности политики безопасности для защищенных продуктов.

В основе решений FrontLine лежат надежные и проверенные не одной сотней наименований программных продуктов технологии препятствия нелегальному копированию лицензионных дисков, защиты кода программных продуктов от взлома, а также технологии DRM (Digital Rights Management), позволяющие обеспечить контроль за распространением лицензий на программные средства.

Решения в составе новой продуктовой линейки поддерживают все наиболее популярные способы доставки защищенного ПО: традиционно принятые у издателей защищенные оптические носители (CD/DVD/CD-R), обычные диски и самые современные носители, а также приобретающая популярность электронная доставка ПО.

Решения в составе линейки FrontLine делятся по принципу возрастания степени защиты, а также увеличения количества дополнительных сервисов, поставляемых совместно с лицензией на использование того или иного продукта. Так, FrontLine Basic предназначен в основном для издателей недорогих программных продуктов, желающих предотвратить нелегальное копирование лицензионных дисков в домашних условиях; FrontLine Pro - это профессиональное решение для разработчиков и издателей, устанавливающих защиту собственными силами. FrontLine Elite - это инновационное решение в области защиты продуктов, позволяющее обеспечить гарантию действенности технологий защиты под конкретный продукт и точно рассчитать эффективный период ее действия. Помимо этого клиентам предоставляется широкий набор разнообразных сервисов, включающих защиту обновленных версий продукта, управление лицензиями, распределение полномочий между участниками процесса установки защиты и проч.

Установка защиты осуществляется с рабочего места заказчика и не требует дополнительного оборудования для печати защищенных дисков. Для удобства специалистов, осуществляющих установку защиты FrontLine, StarForce предоставляет бесплатный инструмент - универсальную платформу Protection Studio, позволяющую выбрать максимально эффективную политику защиты для конкретного продукта и условий бизнеса и осуществить ее установку в минимально возможные сроки.

"Лаборатория Касперского" подтверждает слухи об уязвимости в своих антивирусных продуктах -
Начиная с недавнего времени, широкий резонанс в СМИ получило сообщение независимого исследователя Алекса Вилера (Alex Wheeler) об обнаружении уязвимости в антивирусных продуктах "Лаборатории Касперского", связанной с обработкой архивов формата CAB. Учитывая пристальное внимание компьютерного сообщества, "Лаборатория Касперского" считает необходимым предоставить официальные комментарии по данному инциденту.

Действительно, компания подтверждает существование уязвимости в одном из модулей Антивируса Касперского, обеспечивающем обработку архивированных файлов типа CAB. Использование данной уязвимости приводит к сбою в работе антивирусной программы. Этот эффект проявляется исключительно при работе в среде Windows, и не затрагивает другие ОС.

В то же время, специалистами "Лаборатории Касперского" был предпринят ряд мер, направленных на устранении угрозы, связанной с уязвимостью CAB-модуля. Прежде всего, после получения соответствующих данных командой антивирусных аналитиков в сжатые сроки был создан пакет сигнатур, обнаруживающих возможные для данной уязвимости эксплойты (процедуры использования уязвимости для проникновения на компьютер).

Этот набор сигнатур был добавлен в антивирусные базы Антивируса Касперского 29 сентября, что значительно снижает вероятность успешного использования эксплойтов CAB-уязвимости. Более того, на данный момент не зарегистрировано ни одной попытки создания и распространения подобных эксплойтов. В этой связи необходимо отметить, что сам Алекс Вилер, обнаруживший данную уязвимость, не предоставил использующий ее демонстрационный код.

В совокупности перечисленные факторы позволяют утверждать, что фактическая опасность, представляемая CAB-уязвимостью, является минимальной и неспособна повлиять на уровень антивирусной защиты продуктов "Лаборатории Касперского".

На данный момент эксперты "Лаборатории Касперского" осуществляют разработку экстренного обновления антивирусных продуктов компании, содержащих подверженный уязвимости CAB-модуль. Уточненный список этих продуктов включает следующие: Антивирус Касперского Personal 5.0, Антивирус Касперского Personal Pro 5.0, Антивирус Касперского 5.0 для Windows Workstations, Антивирус Касперского 5.0 для Windows File Servers, Kaspersky Personal Security Suite 1.1. При этом антивирусные продукты версии 4.5 не подвержены воздействию уязвимости. Обновления для всех указанных программ, устраняющих CAB-уязвимость, будут выпущены во второй половине 5 октября 2005 года, и станут доступными для установки с помощью стандартных процедур загрузки обновлений.

Panda Software: Sober возвращается -
Антивирусная лаборатория Panda Software зафиксировала появление новой версии червя Sober - Sober.Y, которая распространяется, используя методы социальной инженерии. Этот червь был перехвачен технологией Panda Software TruPrevent, для чего не потребовалось предварительной идентификации, поэтому она была в состоянии защитить своих пользователей с самого начала атаки.

Для распространения червь использует два вида писем: первое - письмо на английском языке с темой "Your new password" (Ваш новый пароль), которое пытается заставить пользователей поверить в то, что это уведомление об изменении пароля, содержащее во вложенном файле данные для ознакомления - pword_change.zip. Второе - письмо на немецком, якобы содержащее фотографии старых школьных друзей в файле KlassenFoto.zip. Оба сжатых файла содержат исполняемый файл PW_Klass.Pic.packed-bitmap.exe, который является копией самого червя.

Если этот файл запущен, выводится ложное сообщение об ошибке CRC, при этом вредоносные действия продолжаются. Червь ищет электронные адреса на зараженном компьютере в файлах с определенными расширениями и, используя собственный SMTP-механизм, рассылает себя по ним. В случае, если адрес оканчивается на .de (Германия), .ch (Швейцария), .at (Австрия) или .li (Лихтенштейн), он отправляет немецкую версию письма.

В связи с резким увеличением числа инцидентов, вызванных новым Sober.Y, Panda Software предоставляет пользователям бесплатную утилиту PQRemove, которая обнаруживает и уничтожает этого червя с любого зараженного компьютера. Ее можно скачать по этому адресу.

Для более подробной информации об этих и прочих компьютерных угрозах, посетите Вирусную энциклопедию Panda Software.

 Новозеландский эксперт усомнился в эффективности антиспама
 Заявления о том, что схемы идентификации пользователей электронной почты снизят поток спама - не просто неправильны. Они исходят от людей с"неправильными головами". Такого мнения придерживается новозеландский эксперт в области информационной безопасности Ник Фицджеральд (Nick FitzGerald), сообщает
(http://www.theregister.co.uk/2005/10/10/spam_user_authentication_is_ineffective/)сайт Register.com.

Схемы идентификации вроде SPF или Sender ID позволяют проверить, было ли отправлено письмо из домена, из которого его позволено отправлять. Но"это не говорит вам, кто был истинным отправителем и ничего неговорит о спамерском характере письма". Самым худшим вариантом Фицджеральд считает возможный обход системы идентификации пользователей.

По его мнению, в этом случае "идентификация пользователей -хуже, чем вообще ничего. Например, SPF будет взломана еще до начала работы. Она не просто доступна для взлома, она взламывается тривиально", - заявил новозеландец на информационной конференции в Дублине.

Несмотря на то, что сейчас сети зомби-машин не взламывают SPF, их создателям не составит труда добавить несколько строк кода в свои вредоносные программы и взломать механизм идентификации.

Не все участники конференции выразили согласие с Фицджеральдом. В частности, представитель антивирусной компании FRISK считает, что SPF, по крайней мере, позволит провайдерам выявлять зараженные машины.

Новозеландец же убежден, что подобная идентификация обойдется провайдерам слишком дорого и потому не может использоваться для массовых операций по лечению машин.

В Нидерландах ликвидирована банда хакеров
Полиция Нидерландов арестовала трех человек, подозреваемых в создании сети так называемых "зомби-машин" из более, чем 100 тысяч компьютеров, сообщает
(http://www.theregister.co.uk/2005/10/07/dutch_police_smash_zombie_network/) сайт Register.com. Задержанные использовали зараженные компьютеры для проведения DDoS-атак и взлома банковских счетов и учетных записей платежной системы Paypal.

Возраст главного подозреваемого - 19 лет, его сообщникам - 22 года и 27 лет. Все они были арестованы в собственных домах. В ходе задержания полицейские конфисковали несколько компьютеров, документы, банковские реквизиты, наличные деньги и спортивный автомобиль. В ближайшее время в деле ожидаются новые аресты.

Все зараженные машины были инфицированы троянской программой W32.Toxbot (Backdoor.Win32.Codbot). По данным полиции, несколько тысяч инфицированных компьютеров находились в Нидерландах. Следствие зафиксировало, по меньшей мере, одну DDoS-атаку, направленную против неназванной американской компании. Подозреваемые, возможно, также причастны к взлому большого количества учетных записей PayPal и eBay. Контроль над этими учетными записями позволял преступникам заказывать товары и расплачиваться за них средствами других пользователей.

По словам полиции Нидерландов, члены группировки играли в кошки-мышки с антивирусными производителями: "Toxbot фиксирует всю информацию, введенную с клавиатуры и посылает ее киберпреступникам. Хакеры часто обновляли троянскую программу, чтобы их нельзя было обнаружить с помощью антивирусов".