Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Выпуск Linux-версии Dr.Web для интернет-шлюзов Kerio 9.0


Антивирусный "хостинг"

Клуб пользователей антивирусных услуг (Saas, Cloud)

добавить на Яндекс
Антивирусы и безопасность (SaaS, Cloud ...)
av-host.net

Выпуск Linux-версии Dr.Web для интернет-шлюзов Kerio 9.0
2014-05-15 23:35

KMM поделился ссылкой

Выпуск Linux-версии Dr.Web для интернет-шлюзов Kerio 9.0

15 мая 2014 года

Компания «Доктор Веб» сообщает о выпуске плагина Dr.Web для интернет-шлюзов Kerio 9.0, предназначенного для работы на компьютерах под управлением Linux. До настоящего времени в линейке продуктов Dr.Web имелась только Windows-версия Dr.Web для интернет-шлюзов Kerio. В Linux-версии плагина также применены наиболее передовые разработки и технологии «Доктор Веб».

Напомним, что Dr.Web для интернет-шлюзов Kerio представляет собой приложение, которое подключается к межсетевому экрану Kerio Control и осуществляет антивирусную проверку файлов, передаваемых по протоколам HTTP, FTP, SMTP и POP3. При обнаружении угроз безопасности к ним применяются действия согласно настройкам Kerio Control.

Плагин осуществляет антивирусную проверку файлов, загружаемых через почту или Интернет, выявляет различные виды вредоносного ПО (от вирусов до программ-шуток). Инфицированные файлы перемещаются в Карантин Dr.Web. Дополнительную защиту от неизвестных угроз обеспечивает эвристический анализатор. Продукт отличает высокая скорость проверки и простота установки.

Более подробная информация о Linux-версии плагина Dr.Web для интернет-шлюзов Kerio 9.0 и системных требованиях для нее, а также рекомендации по установке содержатся в «Примечаниях к выпуску».



DDoS-троянцы атакуют Linux
2014-05-15 23:40

KMM поделился ссылкой

DDoS-троянцы атакуют Linux

15 мая 2014 года

Стереотипное мнение о том, что операционные системы, построенные на базе ядра Linux, в силу особенностей своей архитектуры полностью защищены от проникновения вредоносных программ, заметно облегчает жизнь злоумышленникам, распространяющим подобное ПО. В мае 2014 года специалисты компании «Доктор Веб» выявили и исследовали рекордное по сравнению с предыдущими месяцами количество троянцев для ОС Linux, значительная часть которых предназначена для организации DDoS-атак.

Эти вредоносные программы объединяют общие черты: во-первых, они предназначены для организации DDoS-атак с использованием различных протоколов, а во-вторых, по косвенным признакам можно сделать вывод о том, что большинство исследованных специалистами «Доктор Веб» DDoS-троянцев создано одним и тем же автором.

Так, вредоносная программа, добавленная в вирусные базы Dr.Web под именем Linux.DDoS.3, обладает достаточно широким спектром функциональных возможностей. После своего запуска троянец определяет адрес командного сервера и отправляет на него информацию об инфицированной системе, а затем ожидает получения конфигурационных данных с параметрами текущей задачи (отчет о ее выполнении также впоследствии отправляется злоумышленникам). Linux.DDoS.3 позволяет осуществлять DDoS-атаки на заданный сервер с использованием протоколов TCP/IP (TCP flood), UDP (UDP flood), а также отправляет запросы на серверы DNS для усиления эффективности атак (DNS Amplification).

Еще одна модификация данной угрозы, получившая наименование Linux.DDoS.22, ориентирована на работу с дистрибутивами Linux для процессоров ARM, а Linux.DDoS.24 способен инфицировать серверы и рабочие станции, на которых используются 32-разрядные версии Ubuntu и CentOS. Троянец Linux.DDoS.24 устанавливается в систему под именем pktmake и автоматически регистрирует себя в параметрах автозагрузки ОС. После запуска он также собирает сведения об аппаратной конфигурации инфицированного компьютера — в том числе о типе процессора и объеме памяти — и отправляет ее в зашифрованном виде на принадлежащий киберпреступникам управляющий сервер. Основное предназначение этой вредоносной программы заключается в выполнении DDoS-атак по команде с удаленного узла.

Следующая группа угроз для ОС Linux, исследованных специалистами «Доктор Веб» в текущем месяце, включает троянцев Linux.DnsAmp.1, Linux.DnsAmp.2, Linux.DnsAmp.3, Linux.DnsAmp.4 и Linux.DnsAmp.5. Некоторые вредоносные программы семейства Linux.DnsAmp используют сразу два управляющих сервера и способны инфицировать как 32-разрядные (Linux.DnsAmp.1, Linux.DnsAmp.3, Linux.DnsAmp.5), так и 64-разрядные (Linux.DnsAmp.2, Linux.DnsAmp.4) версии Linux. Подобно другим представителям данного класса DDoS-троянцев, Linux.DnsAmp регистрирует себя в автозагрузке, собирает и отправляет на удаленный сервер сведения о конфигурации инфицированной машины (версия ОС, частота процессора, объем свободной памяти и Swap-кэша, и т. д.), после чего ожидает поступления управляющих команд. Среди возможностей данного класса троянцев необходимо отметить следующие:

  • SYN Flood (отправка специально сформированного пакета на атакуемый узел до тех пор, пока тот не перестанет отвечать на запросы);
  • UDP Flood (устанавливается соединение с атакуемым узлом по протоколу UDP, после чего троянец пытается отправить жертве 1 000 сообщений);
  • Ping Flood (с использованием протокола ICMP формируется эхо-запрос, в котором в качестве идентификатора используется PID процесса, а данные представляют собой hex-значение 0xA1B0A1B0);
  • отправка запросов на серверы DNS (DNS Amplification);
  • отправка запросов на серверы NTP (NTP Amplification — в ранних версиях троянца функция реализована, но не используется).

Также по команде с удаленного сервера Linux.DnsAmp может записать информацию в файл журнала, повторить атаку или обновиться.

Троянцы Linux.DnsAmp.3 (для 32-разрядных версий Linux) и Linux.DnsAmp.4 (для 64-разрядных Linux-дистрибутивов) представляют собой модификации первой версии Linux.DnsAmp с предельно упрощенной системой команд. Фактически, эти реализации троянца могут выполнять только три поступающих с управляющего сервера директивы: начать DDoS-атаку, остановить атаку и записать данные в файл журнала. Следует отметить, что многие из перечисленных выше вредоносных программ используют одни и те же управляющие серверы.

Наконец, следует упомянуть о вредоносной программе для ARM-совместимых дистрибутивов Linux, получившей наименование Linux.Mrblack. Этот троянец также предназначен для выполнения DDoS-атак с использованием протоколов TCP/IP и HTTP. Он имеет довольно примитивную архитектуру и, подобно другим аналогичным угрозам, действует по команде с управляющего сервера.

Командные центры, с использованием которых осуществляется управление упомянутыми троянскими программами, располагаются преимущественно на территории Китая, и реализованные с их помощью DDoS-атаки направлены, в основном, против китайских интернет-ресурсов. Все перечисленные вредоносные приложения детектируются и удаляются Антивирусом Dr.Web для Linux и потому не представляют опасности для пользователей данного продукта.



Малвертайзинг: как реклама может угрожать безопасности вашего веб-сайта
2014-05-16 00:07

KMM поделился ссылкой

Малвертайзинг: как реклама может угрожать безопасности вашего веб-сайта

В Интернете постоянно транслируется больше миллиона рекламных объявлений, несущих в себе вредоносный код или ведущих на сайты с вредоносными программами. Большинство владельцев сайтов-носителей такого рода рекламы даже не подозревают о том, что их ресурс стал прямым распространителем вредоносных программ. В статье рассматривается явление «малвертайзинга», а также результаты исследования компании Solphin о степени распространённости данного явления и связанных с ним угроз.

подробнее



В избранное