Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 293 сообщений
Cообщения с меткой

доктор веб - Самое интересное в блогах

Следующие 30  »
Александр_Баловацкий

ДЛЯ ДРУЗЕЙ...

Понедельник, 05 Марта 2018 г. 10:43 (ссылка)














































 





Никто не сомневается: для заражения компьютера нужно куда-то нажать, что-то запустить или хотя бы не устанавливать обновления, чтобы хакеры могли воспользоваться уязвимостями. Также общеизвестно, что если компьютер выключен, то ни один хакер не сможет проникнуть на него и что-то поменять (случаи физического доступа не считаем).



«Антивирусная правДА!» не раз выступала в роли разрушителя легенд. Настало время сделать это еще раз.



На самом деле записать что-то на выключенный компьютер вполне возможно.



Читатели наших выпусков вряд ли столкнутся с подобным, но кто знает – ведь когда-то и вирусы считались теоретическими изысками.



Дело в том, что в свое время компания Intel представила технологию Intel vPro:




Технология Intel vPro, а точнее, входящая в ее состав технология Intel AMT, предоставляет доступ к управляемому компьютеру даже в том случае, если он отключен.



Естественно, в этом состоянии данная система должна иметь активные компоненты, способные обеспечить такую возможность, – и на него должно подаваться дежурное напряжение, то есть система попросту должна быть подключена к электрической сети.



Чипсет Intel Q35 Express был специально создан с учетом названных требований и, имея ряд специализированных интегрированных компонентов — управляющее ядро (Management Engine, ME) и гигабитный сетевой контроллер, работающий в тандеме с чипом PHY-уровня Nineveh 82566DM), — позволяет получить удаленный доступ к информации и настройкам AMT, хранящимся в энергонезависимой памяти как при включенном, так и при выключенном компьютере.



http://compress.ru/article.aspx?id=18538




Технология была предназначена для системных администраторов. В частности, описанная выше возможность позволяла бы удаленным администраторам работать с компьютерами, которые вопреки некоему распоряжению выключили – или у которых были обнаружены проблемы, приводящие к невозможности запуска (скажем, произошло заражение или повреждение жесткого диска).




В качестве демонстрационного стенда выступали два ноутбука на базе процессоров Yonah, один из которых имитировал клиентский компьютер, второй – компьютер администратора. Оба ноутбука были соединены через сетевой интерфейс. Клиентская машина была заражена вирусом, который полностью парализовал работу операционной системы, – даже сетевые протоколы не работали.



Доступ к ресурсам зависшего компьютера по специально выделенной части сетевого канала обеспечила технология iAMT, которая поддерживается на аппаратном уровне, а потому не зависит от операционных систем. Главное условие – администрируемое устройство должно быть исправно на аппаратном уровне. Администратор в данном примере смог победить вирус и дистанционно отдать команду на перезагрузку клиентской системы. Более того, в корпоративной сети администратор может автоматически рассылать и устанавливать на клиентских компьютерах патчи и обновления – сотрудники даже не будут подозревать, что ведется какая-то фоновая работа.



https://www.overclockers.ru/hardnews/19175/Intel_demonstriruet_rabotu_iAMT_na_primere_Yonah.html



http://www.thg.ru/mainboard/intel_vpro/print.html



http://compress.ru/article.aspx?id=18538



Особенно приятно то, что можно подключиться к удаленной машине по VNC даже в том случае, если там слетели драйвера сетевой карты (ведь vPro работает на более низком уровне, чем ОС) и прямо через VNC поставить все драйверы.



Есть еще одна интересная возможность под названием IDE-R, которая позволяет загружаться с внешнего источника, как будто это внутренний жесткий диск. То есть можно подключиться по VNC, указать образ для загрузки и загрузиться в заведомо рабочей системе.



https://habrahabr.ru/company/intel/blog/138377




Последнее звучит просто замечательно – ведь даже если вы полностью настроили защиту своей ОС, некто может удаленно загрузиться с внешней системы и проанализировать ваши данные, а ваша защита даже об этом не узнает – ведь ОС не загружена!



#безопасность #удаленный_доступ #технологии






Dr.Web рекомендует



Защититься можно далеко не от всех угроз. Другое дело, что в некоторых случаях угрозы могут оказаться скорее теоретическими. Новые технологии появляются чуть ли не каждый день. Современные компьютеры, операционные системы и программы обладают многими возможностями, которые мы не используем. Считается, что обычный пользователь задействует не более 20% возможностей ПО или компьютера вообще. Но это означает, что оставшиеся 80% нам не нужны и, возможно, представляют угрозу – о чем мы уже неоднократно писали.



Отключить возможность использования Intel vPro (если она имеется на вашем компьютере) можно в настройках BIOS:




https://ok.ru/dk?cmd=logExternal&st.cmd=logExt...&st._aid=WideFeed_openLink














 



 




Алекс





 

Метки:   Комментарии (4)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

«Доктор Веб»: M.E.Doc содержит бэкдор, дающий злоумышленникам доступ к компьютеру

Вторник, 04 Июля 2017 г. 19:54 (ссылка)

Аналитики компании «Доктор Веб» исследовали модуль обновления M.E.Doc и обнаружили его причастность к распространению как минимум еще одной вредоносной программы. Напоминаем, что, по сообщениям независимых исследователей, источником недавней эпидемии червя-шифровальщика Trojan.Encoder.12544, также известного под именами NePetya, Petya.A, ExPetya и WannaCry-2, стал именно модуль обновления популярной на территории Украины программы для ведения налоговой отчетности M.E.Doc.



В сообщениях утверждается, что первоначальное распространение червя Trojan.Encoder.12544 осуществлялось посредством популярного приложения M.E.Doc, разработанного украинской компанией Intellect Service. В одном из модулей системы обновления M.E.Doc с именем ZvitPublishedObjects.Server.MeCom вирусные аналитики «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCU\SOFTWARE\WC.







Специалисты «Доктор Веб» обратили внимание на этот ключ реестра в связи с тем, что этот же путь использует в своей работе троянец-шифровальщик Trojan.Encoder.12703. Анализ журнала антивируса Dr.Web, полученного с компьютера одного из наших клиентов, показал, что энкодер Trojan.Encoder.12703 был запущен на инфицированной машине приложением ProgramData\Medoc\Medoc\ezvit.exe, которое является компонентом программы M.E.Doc:







id: 425036, timestamp: 15:41:42.606, type: PsCreate (16), flags: 1 (wait: 1), cid: 1184/5796:\Device\HarddiskVolume3\ProgramData\Medoc\Medoc\ezvit.exe



source context: start addr: 0x7fef06cbeb4, image: 0x7fef05e0000:\Device\HarddiskVolume3\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorwks.dll



created process: \Device\HarddiskVolume3\ProgramData\Medoc\Medoc\ezvit.exe:1184 --> \Device\HarddiskVolume3\Windows\System32\cmd.exe:6328



bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0



curdir: C:\Users\user\Desktop\, cmd: "cmd.exe" /c %temp%\wc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18o EJeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6 UGTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad9 2ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvD X0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra



status: signed_microsoft, script_vm, spc / signed_microsoft / clean



id: 425036 ==> allowed [2], time: 0.285438 ms



2017-Jun-27 15:41:42.626500 [7608] [INF] [4480] [arkdll]



id: 425037, timestamp: 15:41:42.626, type: PsCreate (16), flags: 1 (wait: 1), cid: 692/2996:\Device\HarddiskVolume3\Windows\System32\csrss.exe



source context: start addr: 0x7fefcfc4c7c, image: 0x7fefcfc0000:\Device\HarddiskVolume3\Windows\System32\csrsrv.dll



created process: \Device\HarddiskVolume3\Windows\System32\csrss.exe:692 --> \Device\HarddiskVolume3\Windows\System32\conhost.exe:7144



bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0



curdir: C:\windows\system32\, cmd: \??\C:\windows\system32\conhost.exe "1955116396976855329-15661177171169773728-1552245407-149017856018122784351593218185"



status: signed_microsoft, spc / signed_microsoft / clean



id: 425037 ==> allowed [2], time: 0.270931 ms



2017-Jun-27 15:41:43.854500 [7608] [INF] [4480] [arkdll]



id: 425045, timestamp: 15:41:43.782, type: PsCreate (16), flags: 1 (wait: 1), cid: 1340/1612:\Device\HarddiskVolume3\Windows\System32\cmd.exe



source context: start addr: 0x4a1f90b4, image: 0x4a1f0000:\Device\HarddiskVolume3\Windows\System32\cmd.exe



created process: \Device\HarddiskVolume3\Windows\System32\cmd.exe:1340 --> \Device\HarddiskVolume3\Users\user\AppData\Local\Temp\wc.exe:3648



bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0



curdir: C:\Users\user\Desktop\, cmd: C:\Users\user\AppData\Local\Temp\wc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18oE JeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6U GTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad92 ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvDX 0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra



fileinfo: size: 3880448, easize: 0, attr: 0x2020, buildtime: 01.01.2016 02:25:26.000, ctime: 27.06.2017 15:41:42.196, atime: 27.06.2017 15:41:42.196, mtime: 27.06.2017 15:41:42.196, descr: wc, ver: 1.0.0.0, company: , oname: wc.exe



hash: 7716a209006baa90227046e998b004468af2b1d6 status: unsigned, pe32, new_pe / unsigned / unknown



id: 425045 ==> undefined [1], time: 54.639770 ms




Запрошенный с зараженной машины файл ZvitPublishedObjects.dll имел тот же хэш, что и исследованный в вирусной лаборатории «Доктор Веб» образец. Таким образом, наши аналитики пришли к выводу, что модуль обновления программы M.E.Doc, реализованный в виде динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. Дальнейшее исследование показало, что этот бэкдор может выполнять в инфицированной системе следующие функции:




  • сбор данных для доступа к почтовым серверам;

  • выполнение произвольных команд в инфицированной системе;

  • загрузка на зараженный компьютер произвольных файлов;

  • загрузка, сохранение и запуск любых исполняемых файлов;

  • выгрузка произвольных файлов на удаленный сервер.





Весьма интересным выглядит следующий фрагмент кода модуля обновления M.E.Doc — он позволяет запускать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1:







Именно таким образом на компьютерах жертв был запущен троянец-шифровальщик, известный как NePetya, Petya.A, ExPetya и WannaCry-2 (Trojan.Encoder.12544).



В одном из своих интервью, которое было опубликовано на сайте агентства Reuters, разработчики программы M.E.Doc высказали утверждение, что созданное ими приложение не содержит вредоносных функций. Исходя из этого, а также учитывая данные статического анализа кода, вирусные аналитики «Доктор Веб» пришли к выводу, что некие неустановленные злоумышленники инфицировали один из компонентов M.E.Doc вредоносной программой. Этот компонент был добавлен в вирусные базы Dr.Web под именем BackDoor.Medoc.



Подробнее о троянце



P.S. На Украине изъяли серверы у распространившей вирус Petya компании: www.rbc.ru/technology_and_media/04/07/2017/595bb1bc9a7947bc8356a6a3
Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/332444/

Комментарии (0)КомментироватьВ цитатник или сообщество
nina16

Dr.Web Security Space

Суббота, 05 Ноября 2016 г. 16:38 (ссылка)

Это цитата сообщения Romanovskaya_Galina Оригинальное сообщение



Dr.Web Security Space - лучшее решение вопроса комплексной защиты ПК от интернет-угроз: вирусов, руткитов, почтовых червей, хакерских утилит, компьютерных мошенников, спама, фишинговых сообщений, зараженных интернет-страниц и кибер-преступности, направленной против детей. Продукт обеспечивает комплексную защиту рабочих станций под управлением Microsoft Windows 2000/XP/Vista (только для 32-битных систем).

Компоненты защиты: антивирус, антируткит, антишпион, веб-антивирус, антиспам, родительский контроль.

Поддерживаемые ОС: Windows 2000(SP4)/XP/Vista (только для 32-битных систем).
Свободное пространство на жестком диске: не менее 50 МБ.
Доступ к сети Интернет: для регистрации и получения обновлений.


Продукт лицензируется по количеству защищаемых ПК, не объединенных в локальную сеть, с численностью рабочих мест до 50 включительно. Если необходимо обеспечить защиту более 50 ПК, рекомендуется продукт Dr.Web Enterprise Suite (c центром управления).

Если у вас Доктор веб лицензионный обновление скачиваете бесплатно!

Качаем здесь>>>
Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
nurik3

Скачать Dr.Web CureIt! бесплатно

Суббота, 16 Января 2016 г. 13:21 (ссылка)


4065440_Surf_Anonymous_Free3 (700x433, 24Kb)



Бесплатная лечащая утилита Dr.Web CureIt!®


 


Бесплатное использование утилиты Dr.Web CureIt! допускается только для лечения собственного домашнего компьютера.


 


Dr.Web CureIt! может быть запущена в режиме усиленной защиты, который обеспечивает ее работу даже в случае блокировки Windows вредоносными программами.


 


В этом режиме Dr.Web CureIt! работает на защищенном рабочем столе, при этом использование других приложений невозможно. После запуска для продолжения работы в режиме усиленной защиты нажмите ОК, в обычном – Отмена.


Незаменимое средство для лечения компьютеров под управлением MS Windows 95OSR2/98/Me/NT 4.0/2000/XP/2003/2008/Vista/7 от вирусов, руткитов, троянских программ, шпионского ПО и разного рода вредоносных объектов, которые не «увидел» установленный на Вашем ПК антивирус.


C помощью Dr.Web CureIt! Вы сможете регулярно контролировать эффективность установленного на Вашем ПК антивируса и вовремя понять, не пора ли его сменить на Dr.Web.


Dr.Web CureIt! не требует установки, не конфликтует ни с одним антивирусом, а значит, на время сканирования не требуется отключать установленный антивирус другого производителя.


Dr.Web CureIt! cодержит самый последний набор дополнений к вирусной базе Dr.Web и обновляется один или несколько раз в час.


 


Dr.Web CureIt! автоматически определяет язык используемой ОС (в случае, если локальный язык не поддерживается, устанавливается английский язык). В настоящее время утилита поддерживает интерфейс на следующих 37 языках: русский, азербайджанский, английский, арабский, армянский, белорусский, болгарский, венгерский, вьетнамский, голландский, греческий, грузинский, испанский, итальянский, китайский (упрощ.), китайский (трад.), корейский, латышский, литовский, немецкий, норвежский, персидский (фарси), польский, португальский, сербский, словацкий, словенский, тайский, турецкий, узбекский, украинский, финский, французский, чешский, эсперанто, эстонский, японский.



 


БЕСПЛАТНАЯ РЕГИСТРАЦИЯ



Бесплатный чат!



СЕКС ЗНАКОМСТВА



Бесплатный



webcam секс



Зарабатывайте в интернете! Получите первые деньги уже сегодня!



Заработок на партнёрках



Заработок на партнёрках



1) Заработок на файлообменниках



2) Заработок на файлообменниках



Заработок на видеохостинге



Простой заработок в интернете

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
LisaB

Как убрать блокирующие окна? | Блог "Компьютер для начинающих" от Светланы Козловой

Воскресенье, 29 Ноября 2015 г. 19:11 (ссылка)
kurs-pc-dvd.ru/blog/novichk...-okna.html


С кем не случалось, что включаешь свой компьютер, а там окошечко с требованием
Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Ла-почка

Android-троян загружает вредоносные приложения под видом входящих сообщений

Понедельник, 22 Июня 2015 г. 15:47 (ссылка)
ferra.ru/ru/techlife/news/2...57-origin/



Android-троян загружает вредоносные приложения под видом входящих сообщенийСпециалисты компании «Доктор Веб» обнаружили очередного мобильного троянца, который демонстрирует различные рекламные уведомления, ведущие к загрузке нежелательного и вредоносного ПО.

Читать далее...
Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Ла-почка

Доктор Веб: Опасный банковский троян угрожает пользователям Android

Воскресенье, 14 Июня 2015 г. 10:41 (ссылка)



Доктор Веб: Опасный банковский троян угрожает пользователям AndroidСпециалисты компании «Доктор Веб» обнаружили нового троянца, предназначенного для кражи денег с банковских счетов пользователей мобильных Android-устройств.

Читать далее...
Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Аноним

Среда, 01 Декабря 1970 г. 03:00 (ссылка)

Комментарии ()КомментироватьВ цитатник или сообщество

Следующие 30  »

<доктор веб - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda