22 nov 2008 año - Вирус Rustock.C

Descripción:

Rustock.C, вирус, который был обнаружен сотрудником компании «Доктор Веб» Вячеславом Русаковым (с 2008 года работает в «Лаборатории Касперского»), представляет собой руткит с расширенными возможностями, существовал в интернете с октября 2007 года и был использован для создания крупной бот-сети[2].
Июнь: Новая версия GPCode шифрует пользовательские файлы с расширениями DOC, TXT, PDF, XLS, JPG, PNG, CPP, H и др. на жестких дисках посредством алгоритма RSA с ключом длиной 1024 бита. В настоящее время[когда?] возможности восстановить зашифрованную зловредом информацию, не поддаваясь на требования шантажиста, не существует. Теоретически на расшифровку алгоритма шифрования понадобится работа кластера из 15’000’000 ПК на протяжении одного года. В работе вируса была замечена особенность, которая позволяет восстановить зашифрованные данные. Перед шифрацией файла вирус создаёт его копию, которую затем удаляет. Единственная на данный момент[когда?] возможность восстановления данных — это попытка восстановления копии файла, которую создаёт вирус. «Лаборатория Касперского» рекомендует для этой цели использовать утилиту PhotoRec, а также в помощь PhotoRec рекомендуется использовать утилиту StopGpcode.
Июнь: Червь, получивший название Email-Worm.Win32.Lover.a, распространяется по каналам электронной почты — пользователю приходит письмо с вложенным файлом to_my_love.scr, при запуске которого на экран выводится яркая демонстрация, напоминающая скринсейвер «Геометрический вальс». Картинка генерируется в реальном времени с использованием фрактальной геометрии. Однако данный файл не является скринсейвером, а представляет собой кейлоггер, записывающий всё, что пользователь набирает на клавиатуре при работе с веб-браузерами, почтовыми и IM-клиентами (Opera, Firefox, Internet Explorer, The Bat!, MSN Messenger, ICQ, QIP и другими). Механизм сокрытия присутствия червя Email-Worm.Win32.Lover.a в системе реализован оригинальным образом. Для заражения он использует программный код, которым инфицирует исполняемые файлы вышеупомянутых программ, разделяя код инфекции для каждого из приложений на несколько частей, что серьёзно затрудняет его обнаружение. При запуске заражённого приложения программный код вируса занимает 4 Кб памяти, где собирает своё тело, и далее записывает в папке Windows файл с именем ia*.cfg. В этот файл сохраняются коды нажатых пользователем клавиш. Червь Email-Worm.Win32.Lover.a применяет нетипичную для таких программ маскировку своего основного функционала, скрываясь за красивыми картинками и выдавая себя за скринсейвер. Лексика, обнаруженная в коде вредоносной программы, даёт основания предположить, что автор червя является русскоговорящим.
21 ноября 2008 года: Kido (также известен как Downup, Downadup и Conficker) — один из опаснейших из известных на сегодняшний день компьютерных червей. Вредоносная программа была написана на Microsoft Visual C++ и впервые появилась в сети 21 ноября 2008 года. Атакует операционные системы семейства Microsoft Windows (от Windows 2000 до Windows 7 и Windows Server 2008 R2). На январь 2009 года вирус поразил 12 миллионов компьютеров во всём мире. 12 февраля 2009 Microsoft обещал 250 000 долларов за информацию о создателях вируса. Столь быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из Интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам. Также он может распространяться через USB-накопители, создавая файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например: c:\windows\system32\zorizr.dll. Также, прописывает себя в сервисах со случайным именем, состоящим из латинских букв. Червь использует уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. Первым делом он отключает ряд служб: автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, а также блокирует

доступ к сайтам ряда производителей антивирусов. Периодически червь случайным образом генерирует список сайтов (около 50 тыс. доменных имён в сутки), к которым обращается для получения исполняемого кода. При получении с сайта исполняемого файла червь сверяет электронно-цифровую подпись и, если она совпала, исполняет файл. Кроме того, червь реализует P2P-механизм обмена обновлениями, что позволяет ему рассылать обновления удалённым копиям, минуя управляющий сервер.

Añadido al timeline:

11 nov 2018

0

0

826

История развития компьютерных вирусов

fecha:

Fotos: