![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Раритетная травка с огорода лихой молодости рок-н-ролла )))
( Текст песни МЕХОВЫЕ ПОМИДОРЫ (А. Фролов, группа 27-Й КИЛОМЕТР) )
( Текст песни МЕХОВЫЕ ПОМИДОРЫ (А. Фролов, группа 27-Й КИЛОМЕТР) )
26 Apr 2012
Опять отбивалась полночи от троянца Carberp (( Обратите внимание на то, что в последнее время тварь (с апреля 2012) стала изобретательна и внедряется через браузер на раз-два. Всем рекомендую скачать и установить триал Malwarebytes Anti-Malware, после тщательной полной проверки компа может высняиться много неожиданного. Затем как следует почистить кэш и всё возможное с помощью Wise Disk Cleaner (прога на оф.англ.сайте + инструкция по применению на русском). Перезагрузиться и прогнать полную проверку штатным антивирусом, после чего опять удалить из кэша и отовсюду все временные файлы всё тем же Wise Disc'ом.
Особенно насторожиться тем, у кого резко стало всё тормозить (особенно браузер) или появлялись неожиданные уведомления об обновлении Java (с его помощью эксплойт влезает в закрома).
Статья от профессионалов:
( На этой неделе известный набор эксплойтов Blackhole обновился до версии 1.2.3 и в его составе появился новый эксплойт для Java на уязвимость CVE-2012-0507 (Java/Exploit.CVE-2012-0507). Первыми обратила внимание общественности на актуальность этой уязвимости компания Microsoft, которая опубликовала в своем блоге сообщение об интересном способе выполнения Java-кода за пределами песочницы JRE (Java Runtime Environment). ЧИТАТЬ ДАЛЬШЕ >>> )
На всякий случай - её содержание вкратце и с минимумом спецтерминов:
* появился новый эксплойт для Java на уязвимость CVE-2012-0507 (Java/Exploit.CVE-2012-0507)
* Отдельно стоит отметить его кроссплатформенность и возможность эксплуатации на системах Windows, Linux, Solaris и OSX (т.е. не застрахован никто)
* распространяется Win32/TrojanDownloader.Carberp через популярные веб-ресурсы, посредством внедрения iFrame-конструкций для перенаправления на ресурс с набором эксплойтов
* среди заражённых ресурсов замечены даже lifenews.ru и izvestia.ru
* в обоих случаях заражение компьютера пользователя происходило при загрузке страниц, в составе которых находился URL вида:
hxxp://izvestia.ru/banners/index.php?p=55
hxxp://lifenews.ru/banners/index.php?p=2
Что наводит на мысли об инфекции через баннерную сеть, использующуюся на обоих ресурсах.
Каковы методы твари Java/Exploit.CVE-2012-0507:
* создаётся некий программный объект для выполнения кода за пределами безопасного пространства привычной Java;
* выполняется некий метод, создающий код класса, который впоследствии тоже будет выполнен за пределами безопасного пространства; код этого класса зашифрован простым перестановочным алгоритмом щифрования и перед выполнением происходит его расшифровывание, которое в итоге приводит к появлению DownloadAndExec, который уже за пределами изолированной среды скачивает "полезную нагрузку" в виде троянца Carberp в каталог вида %TEMP%\vdsh89\gyu и выполняет его.
И всё. И тут уж кто вперёд - вы успеете заметить странную активность в своём компе, или троян успеет сделать всё, что ему, сцуке, надо. А чем оно чревато и чего ему надо - я уже писала (вкратце - ищет и передает злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана и т. д. Кроме того, троянец имеет встроенный модуль, позволяющий обрабатывать поступающие от удаленного командного центра директивы. Благодаря этому Trojan.Carberp.1 может предоставлять злоумышленникам возможность анонимного посещения различных сайтов, превратив компьютер жертвы в прокси-сервер, загружать и запускать различные файлы, отправлять на удаленный узел снимки экрана и даже уничтожить операционную систему - см. подробнее)
Особенно насторожиться тем, у кого резко стало всё тормозить (особенно браузер) или появлялись неожиданные уведомления об обновлении Java (с его помощью эксплойт влезает в закрома).
Статья от профессионалов:
( На этой неделе известный набор эксплойтов Blackhole обновился до версии 1.2.3 и в его составе появился новый эксплойт для Java на уязвимость CVE-2012-0507 (Java/Exploit.CVE-2012-0507). Первыми обратила внимание общественности на актуальность этой уязвимости компания Microsoft, которая опубликовала в своем блоге сообщение об интересном способе выполнения Java-кода за пределами песочницы JRE (Java Runtime Environment). ЧИТАТЬ ДАЛЬШЕ >>> )
На всякий случай - её содержание вкратце и с минимумом спецтерминов:
* появился новый эксплойт для Java на уязвимость CVE-2012-0507 (Java/Exploit.CVE-2012-0507)
* Отдельно стоит отметить его кроссплатформенность и возможность эксплуатации на системах Windows, Linux, Solaris и OSX (т.е. не застрахован никто)
* распространяется Win32/TrojanDownloader.Carberp через популярные веб-ресурсы, посредством внедрения iFrame-конструкций для перенаправления на ресурс с набором эксплойтов
* среди заражённых ресурсов замечены даже lifenews.ru и izvestia.ru
* в обоих случаях заражение компьютера пользователя происходило при загрузке страниц, в составе которых находился URL вида:
hxxp://izvestia.ru/banners/index.php?p=55
hxxp://lifenews.ru/banners/index.php?p=2
Что наводит на мысли об инфекции через баннерную сеть, использующуюся на обоих ресурсах.
Каковы методы твари Java/Exploit.CVE-2012-0507:
* создаётся некий программный объект для выполнения кода за пределами безопасного пространства привычной Java;
* выполняется некий метод, создающий код класса, который впоследствии тоже будет выполнен за пределами безопасного пространства; код этого класса зашифрован простым перестановочным алгоритмом щифрования и перед выполнением происходит его расшифровывание, которое в итоге приводит к появлению DownloadAndExec, который уже за пределами изолированной среды скачивает "полезную нагрузку" в виде троянца Carberp в каталог вида %TEMP%\vdsh89\gyu
И всё. И тут уж кто вперёд - вы успеете заметить странную активность в своём компе, или троян успеет сделать всё, что ему, сцуке, надо. А чем оно чревато и чего ему надо - я уже писала (вкратце - ищет и передает злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана и т. д. Кроме того, троянец имеет встроенный модуль, позволяющий обрабатывать поступающие от удаленного командного центра директивы. Благодаря этому Trojan.Carberp.1 может предоставлять злоумышленникам возможность анонимного посещения различных сайтов, превратив компьютер жертвы в прокси-сервер, загружать и запускать различные файлы, отправлять на удаленный узел снимки экрана и даже уничтожить операционную систему - см. подробнее)
Запланированные в Кемеровской области, Юрге, Тюмени и Омске концерты группы ДДТ отменены. По словам Юрия Шевчука, за этим стоят местные власти. Политический обозреватель "Коммерсантъ FM" Станислав Кучер считает, что чиновниками движет не что иное, как страх перед свободным человеком.
То, что произошло с концертами Шевчука незадолго до начала операции "Путин. Перезагрузка", очень символично. За поведением перестраховщиков, позорящих имя "Сибиряк", стоит банальный страх. Тот самый страх, который не даст стране развиваться даже если Путин вдруг поменяется телами (или, скорее, душами) с Ходорковским и затеет революционные реформы.
Потому что этот страх глубже, чем осмеянная еще Чеховым позиция "кабычегоневышло". Конечно, местные "князьки" помешали не всенародно любимому артисту Юрию Шевчуку. Они целенаправленно помешали "музыканту Юре", которого два года назад "не узнал" на встрече с "интеллигентами" сам "царь Владимир". Но, помимо желания угодить "царю", есть, повторяю, нечто более сильное и глубокое, что подсознательно движет региональными чиновниками. Возможно, кстати, именно это роднит их и собственно с чиновником №1.
Это чувство называется страх перед свободным человеком. "Общество часто прощает преступников, но никогда не прощает мечтателей", заметил Оскар Уайльд. Шевчук прав: если бы он орал со сцены матом, снимал штаны и размахивал гениталиями, ему бы никто ничего не запрещал. Больше того, ( читать дальше >>> )