«Лаборатория Касперского» обновила линейку своих персональных средств защиты. Теперь на смену четырех продуктов антивируса, межсетевого экрана, антиспама и комплексной защиты Kaspersky Personal Security Suite, именуемым также KPSS, пришли два новых продукта: Kaspersky Internet Security и Antivirus 6.0. При этом в Internet Security полностью входит антивирус, межсетевой экран, средство обнаружения вторжений, спам-фильтр, средство проактивной защиты, а также системы защиты от шпионских программ, фишинга и программ-невидимок. Антивирус выделен в отдельный продукт для того, чтобы пользователи могли использовать его совместно с межсетевыми экранами и спам-фильтрами других производителей. Стоить Antivirus будет 39 долл., а Internet Security – 79 долл. Начало продаж через партнерскую сеть «Лаборатории Касперского» 15 мая.

Ссылки:
Создан антивирус-реаниматор
«Лаборатория Касперского» придумала новый «способ защиты беззащитных ОС»

PANDA SOFTWARE ДЕЛИТСЯ СВОИМ ОПЫТОМ УНИЧТОЖЕНИЯ АФЕР ЦЕЛЕВЫХ ТРОЯНОВ BRIZ.A С «ANTI-PHISHING WORKING GROUP»
Panda Software делится своим опытом уничтожения афер целевых троянов Briz.A с «Anti-Phishing Working Group»
А НОВЫ ЛИ КРОСС-ПЛАТФОРМЕННЫЕ ВИРУСЫ?
НОВАЯ ВОЛНА ОПАСНОГО ТРОЯНЦА TROJAN.ENCODER
СИСТЕМА ВИДЕОНАБЛЮДЕНИЯ ISS УСТАНОВЛЕНА НА СТАДИОНЕ «ТОРПЕДО»
Итоги успешной работы компании Panda Software в первом квартале 2006 года
InfoWatch совершенствует оружие против инсайдеров
InfoWatch совершенствует оружие против инсайдеров
Антивирус Dr.Web защищает пиринговые сети от опасного вируса Win32.Polipos
Lan2net NAT Firewall - вышла версия 1.6.

Вирусы продолжают наращивать количество различных методов проникновения в систему. Так появился червь W32/Mytob-HG (Sophos) или WORM_MYTOB.PP (Trend Micro), который использует для своего проникновения электронную почту и мгновенные сообщения, разделяемые каталоги и пиринговые сети, слабые пароли, три ошибки в ПО (сервисах WebDAV, RPC-DCOM и LSASS), а также IRC.
Обнаружена два варианта червей W32/Bagle-GN и W32/Bagle-GM, которые имеют заголовок на русском языке, то есть предназначены для русской аудитории. Они содержат вложение – архив cab, в котором располагается файл с двойным расширением, который собственно и является червем.
Червь W32/Letum-A пытается подделаться под сообщение от Symantec. Причем он распространяется не только по электронной почте, но также и в группах новостей. Сам червь находится в присоединенном к сообщению файле под именем test.exe.
Появился также вирус PE_LUDER, который имеет возможность заражать программы в виде исполнимых PE-файлов. После заражения этот вирус также делает свои копии в файл xwrm.exe или duel.exe и прописывает его автозапуск в реестр. Файл с аналогичным именем также скидывается в найденные вирусом архивы rar. Распространяется этот вирус по электронной почте.

«Лаборатория Касперского» опубликовала результаты анализа спамерских рассылок за март месяц и обнаружила, что доля писем не содержащих вирусы находится в пределах 10 – 15%. Поведение спам-рассылок сейчас предсказуемое – доля спама колеблется в пределах 74 – 77% от всей электронной корреспонденции с пиками в пятницу. При этом в спаме остается высоким процент мошеннических писем – в марте он составил 16,1%. До значений февраля этот показатель в марте не дотянул всего полпроцента. Близость лета привела к увеличению доли спама, посвященным отдыху и развлечению, а также доли обучения, что можно объяснить стремлением организаторов семинаров получить до лета максимальную прибыль. Общее же распределение мартовского спама таково: спам "для взрослых" – 1,0%, медикаменты и товары для здоровья – 20,1%, образование – 18,3%, компьютеры и Internet – 10,0%, Личные финансы – 4,2%, отдых и путешествия – 7,1%, услуги по электронной рекламе – 6,0%, другие товары и услуги 17,2%, компьютерное мошенничество – 16,1%. В марте была опробована спамерами новая технология – составления из мелких случайных текстов графической рекламы.

Компания Dr. Web выпустила новую версию программы CureIt!, с помощью которой можно просканировать компьютеры на вирусы и вылечить их. В новой версии программы отчеты и неизлечимые файлы не уничтожаются, а сохраняются в специальное хранилище. Новая версия использует сканер, который выпущен Dr. Web 13 апреля. Компания также исправила ошибки в Dr.Web SpIDer Guard для Windows NT/2000/XP.
«Лаборатория Касперского» приступила к тестированию антивируса для смартфонов на платформе Symbian, который является уже второй версией продукта. Антивирус теперь работает в режиме реального времени и может быть автоматически обновлен по WAP или HTTP. К тому же в новую версию встроена система защиты от спама по SMS и MMS, которая позволяет пользователю создавать черные и белые списки.
Вышла бета версия бесплатного приложения Event Log Explorer 1.3, которое позволяет просматривать и анализировать различные системные журналы Windows. С его помощью пользователь может просматривать системный журнал, журнал приложений, журнал безопасности и некоторые другие. Приложение расширяет возможности стандартной программы Windows «Просмотр событий».
Выпущена версия 2.0.6.566 утилиты для мониторинга вредоносной деятельности System Safety Monitor. Она позволяет предотвратить нежелательные действия программ, в частности, контролирует наиболее опасные части реестра, такие как автозапуск или параметры запуска исполнимых файлов.
Стала доступна вторая версия утилиты IM Lock, с помощью которой можно блокировать работу систем мгновенных сообщений. Программа позволяет блокировать передачу данных при помощи клиентов MSN Messenger, Yahoo Messenger, ICQ, AIM, Skype, eMule, iTunes и других.

Ссылки:
Выпущена новая версия лечащей утилиты CureIt!
Выпущена исправленная версия антивирусного монитора Dr.Web SpIDer Guard для Windows NT/2000/XP
Выпущена исправленная версия антивирусного сканера Dr.Web для Windows
Новый антивирус от "Лаборатории Касперского" защитит мобильники
Kaspersky тестирует антивирус для смартфонов
Антивирус для мобильных телефонов
Лаборатория Касперского выпустила антивирус для мобильных телефонов
Лаборатория Касперского тестирует мобильный антивирус
Event Log Explorer 1.3 beta 4
System Safety Monitor 2.0.6.566
IM Lock 2.0

Компания IBM предложила технологию для защиты данных на уровне процессора. Для этого компания разработала компонент SecureBlue, который встраивается в процессор и занимается в нем аппаратным шифрованием. Эта технология, в отличии от предлагаемой Intel архитектуры TPM, не требуется отдельной микросхемы, поэтому ее можно использовать в том числе и в бытовой электронике, где существенным требованием является объем электроники. На основе этой технологии разработчики устройств получают возможность строить аппаратную систему защиты от копирования или DRM. Впрочем, именно от умения программистов правильно встроить защиту в большой степени зависит и качество результата. Так был прецедент, когда защита операционной системы MacOS X для платформы Intel была взломана, хотя она базировалась на аппаратной системе шифрования с TPM. Так что сама по себе возможность аппаратного шифрования еще не гарантирует защиту пользовательских данных, а так же пользовательских интересов.

Ссылки:
IBM готова зашифровать всё
"Железная" защита приватности в одном чипе от IBM
SecureBlue – система безопасности внутри центрального процессора
Аппаратный DRM
Аппаратная защита данных IBM
IBM готовится анонсировать процессоры с шифрованием данных
IBM предлагает надежную защиту данных
IBM создала технологию защиты данных на основе шифрования SecureBlue для бытовой и другой низкопроизводительной электроники

Разработчики продуктов Mozilla Firefox и Thunderbird, Mozilla Suite и Mozilla SeaMonkey выпустили обновления своих продуктов, в которых исправлено в общей сложности до 21 ошибок в различных продуктах. Из этих ошибок 15 позволяют владельцам сайтов исполнять коды при помощи браузера, с помощью двух можно заставить пользователя загрузить посторонние файлы, а четыре оставшиеся использовать для манипуляций с пользовательским интерфейсом, что часто используется для фишинга. В результате в Mozilla Firefox 1.5.0.1 исправлено 7 ошибок, в Mozilla Firefox 1.5 - 11, в Mozilla Firefox 1.0.7 - 18 и Mozilla SeaMonkey - 8. Также некоторые ошибки относятся к почтовому клиенту Thunderbird, которые будут исправлены в версии 1.5.0.2.

Ссылки:
Множественные уязвимости в Mozilla SeaMonkey
Множественные уязвимости в Mozilla Firefox
Отказ в обслуживании в Mozilla Firefox
Обновления для Firefox
Вышла новая версия браузера Firefox
Mozilla выпустила обновление к Firefox
Mozilla закрыла 24 уязвимости в Firefox

Атаке подвергся сайт РИА "Новый регион"

Ссылки:
Неделя взломов для «Нового Региона» закончилась
Неделя взломов для «Нового Региона» закончилась
Читатели «Нового Региона»: не дадим закрыть сайт!
Третий день подряд неизвестные хакеры пытаются взломать сайт «Нового Региона». Подробности
Кибератака как способ PR-войны

Американские эксперты утверждают, что российские криминальные сообщества держат под своим контролем глобальную сеть Internet-преступности. Директор компании iDefense Кен Данхэм, который является официальным консультантом спецслужб и федеральных правоохранительных органов США, оценил оборот теневого рынка, связанного с кибер-мафией в нашей стране, в миллиард долларов. По его словам, российские Internet-преступники специализируются на фиктивных финансовых услугах и организации многомиллионных хищений с использованием всемирной Сети. Такие группировки, по большей части, состоят из хорошо подготовленных хакеров, мошенников и вирусописателей. Они занимаются созданием ПО для проникновения вредоносного кода на компьютеры пользователей всего мира, взлома, «зомбирования» машин и шпионажа. По словам экспертов, у них имеются доказательства преступной деятельности кибер-мафиози.
Юля Кольдичева

Ссылки:
Находящиеся в России группировки оргпреступности держат под своим контролем глобальную сеть
Русские хакеры – властелины всемирной Сети?
$1 МЛРД В ГОД КРАДЕТ В ИНТЕРНЕТЕ "РУССКАЯ МАФИЯ"
Российская интернет-мафия существует - спецслужбы США
Русская мафия контролирует интернет
Интернет под контролем русской мафии
Осторожно! Интернет-мафия!
Оргпреступность контролирует глобальную воровскую сеть в интернете
Русская мафия контролирует Интернет?!

Исследователь Льюис Дюфлот предупреждает о возможности исполнения вредоносного кода вне защищенного режима процессора Intel. Дело в том, что базовые механизмы защиты любой современной операционной системы базируются на так называемом защищенном режиме работы, который разделяет пространства памяти процессов разных пользователей. Однако процессоры в том числе и Pentium IV имеют режим обратной совместимости с Intel 8086, который не имел вообще никакой защиты памяти, однако современные операционные системы не позволяют выйти за пределы защищенного режима в том числе и суперпользователям UNIX. Тем не менее Дюфолт утверждает, что у злоумышленников, получивших право исполнить код от имени суперпользователя, существует возможность перейти в режим обратной совместимости и встроить свой вредоносный код за пределы операционной системы. Эта возможность связана с режимом управления системой (System Management mode - SMM), в который периодически переходит система для обработки прерываний по контролю температурного режима и обслуживания периферийных устройств. При этом в специальную область памяти записываются драйвера работы с периферийными устройствами. Если удастся подменить адрес такого драйвера, то у злоумышленника появится возможность исполнить свой код вне операционной системы. Сам Льюис Дюфлот привел пример кода для OpenBSD, где вмешательство в SMM происходит с помощью графической подсистемы, однако он же признает, что для Windows такой метод не сработает.

Ссылки:
Обнаружена уязвимость в системе контроля перегрева в чипах Intel
особенность продукции Intel
Intel's chip management system has security hole
Pentium computers vulnerable to cyberattack
cansecwest/core06 content
Французские эксперты считают, что ПК с чипами Pentium уязвимы для атак

StarForce обвиняют в использовании скрытой защиты от копирования.

Ссылки:
Игровые компании отказываются от Российской системы защиты Starforce после серии скандалов
StarForce Not Investigated by Futuremark
DRM causes big trouble again
Starforce enforces DRM by instant reboot (without warning)
Не все золото, что блестит

В Красноярске начались слушания по делу хакера, разместившего в локальной сети интимные фотографии молодой девушки, студентки местной Медицинской Академии. Преступник добыл снимки, взломав компьютер студентки по просьбе ее бывшей подруги. Ранее девушки регулярно общались в Сети, и одна из них даже демонстрировала другой злополучные фотографии. После ссоры, произошедшей по неизвестной причине, жительница Красноярска решила насолить бывшей «виртуальной» приятельнице, разместив ее интимные снимки в локальной сети. Совместно со знакомым молодым человеком девушка осуществила задуманное, предварительно попытавшись шантажировать подругу. Реакцией пострадавшей стороны на инцидент было обращение в правоохранительные органы, которые возбудили уголовное дело «разглашение подробностей личной жизни». Следствие по данному делу заняло около месяца, шантажисты уже сознались в совершенном преступлении и теперь им грозит до четырех лет лишения свободы и штраф до 200 тысяч рублей.
Юля Кольдичева

Ссылки:
Самый необычный случай поимки хакера и заказчика
Сегодня дело о незаконном размещении интимных фотографий красноярской студентки передано в суд (видео)
Беспрецедентный случай в судебной практике Красноярска. Интимные фото студентки незаконно разместили в сети
Новые подробности в деле о незаконном размещении интимных фотографий красноярской студентки в сети (видео)

Британскому хакеру Гэри Маккиннону предъявлено обвинение в незаконном доступе к 97 компьютерам, принадлежащим НАСА и Министерству обороны США. Ущерб, который преступник нанес американским властям в течение двенадцатимесячной деятельности, оценивается экспертами в 700 тыс. долл. В случае, если британские власти согласятся на экстрадицию Маккиннона, хакеру может грозить до 60 лет тюремного заключения на военной базе Гуантанамо в США за терроризм. Адвокаты преступника настаивают на том, чтобы оставить подсудимого на родине, опасаясь слишком сурового приговора. Сам хакер признает факт доступа к американским сетям, но отрицает, что мог нанести серьезный ущерб. Главной причиной взлома компьютеров Маккиннон называется свой интерес к НЛО. Во взломанных сетях британский хакер надеялся найти свидетельства существования неземной жизни. Окончательное решение по данному делу должно быть вынесено 10 мая.
Юля Кольдичева

ссылки:
За взлом сети НАСА хакеру грозит 60 лет тюрмы
Взломщику сети НАСА грозят 60 лет в тюрьме для террористов
Хакеру за взлом сетей Минобороны США грозит 60 лет заключения
Alleged NASA hacker to hear fate next month
Alleged hacker may face jail in Guantánamo Bay
British hacker faces Guantanamo
JUDGE RAP FOR 'UNFAIR' TERROR LAW
British hacker shines light on poor IT security

Здесь собраны пресс-релизы по безопасности на этой неделе. Можно выбрать и написать новость.

Ссылки
ЗАЩИТА КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ, НОВЫЙ АНАЛИТИЧЕСКИЙ МАТЕРИАЛ НА САЙТЕ РАЗРАБОТЧИКА СРЕДСТВ ЗАЩИТЫ
Panda Software Russia представляет международную инициативу 'Panda IT Aid’ с фондом в 500,000 евро
ADSL модемы Acorp теперь совместимы с охранными сигнализациями
Конференция «Дни безопасности бизнеса» – предприятия Востока Украины учатся защищаться
Бюллетень Panda Software “Oxygen3” преодолел рубеж в 2,500 выпусков
Налоговая служба США разъясняет налогоплательщикам – как извещать об атаках фишеров
«Лаборатория Касперского» присвоила статус Enterprise Business Partner компании «Антивирусные Решения»
Системы видеонаблюдения ISS: новые внедрения на объектах железных дорог
"Мониторинг Безопасности" - инструмент изучения рынка
Международная банда фишеров поймана полицией
Недельный отчет Panda Software Russia о вирусах и вторжениях: криминализация вредоносного ПО
Десятка самых распространенных вирусов и мистификаций в марте 2006 года по данным компании Sophos
SAFENET SENTINEL HARDWARE KEYS – САМЫЕ ПРОЧНЫЕ USB-КЛЮЧИ
INSPECTOR+LEGOS: ВМЕСТЕ БЕЗОПАСНЕЙ

Вышли очередной пакет обновлений от Microsoft, в котором исправлены ошибки в Internet и Windows Explorer, Outlook Express и в Microsoft Data Access Components. Наиболее ожидаемыми были исправления для IE, поскольку за прошедший месяц было обнаружено несколько ошибок, которые уже начали использовать хакеры в своей деятельности. В частности, исправлена ошибка в функции createTextRange(). Кроме нее в IE было исправлено еще девять ошибок, восемь из которых позволяют исполнить код с помощью специально подготовленного сайта. Кроме того одна ошибка позволяет подменить строку состояния, а другая – исполнить код во время обработки другого сайта. Их можно использовать для фишинга. Уязвимость в Windows Explorer позволяет с помощью COM-объекта, расположенного на специальном сайте, перенаправить пользователя на удаленный сервер и исполнить с него код. Также с помощью внешнего сайта можно эксплуатировать ошибку в компоненте RDS.Dataspace ActiveX, который называется MDAC. Ошибка в Outlook Express позволяет с помощью специального wab-файла (Windows Address Book) вызвать переполнение буфера и также исполнить вредоносный код в системе. Поэтому пользователям этого клиента не рекомендуется раскрывать вложенные wab-файлы пока не убедитесь, что на систему не установлены соответствующие исправления. Хотя большинство ошибок критические, но все требуют определенных действий от пользователя – хотябы посещения определенных сайтов, поэтому построить на их основе сетевого червя будет сложно.
Однако вышедший в апреле набор исправлений имеет особенность – он вносит архитектурные изменения в механизм работы браузера с компонентами ActiveX. Microsoft пришлось сделать эти изменения из-за иска Eolas Technologies и Калифорнийского университета. Однако после установки изменяется поведение некоторых приложений. В частности, компания PatchLink отмечает усложнение в работе с Google Toolbar, Oracle Siebel 7 и Java Platform, Standard Edition 1.3 или 1.4.
К тому же у некоторых пользователей возникли проблемы с одним из исправлений, которое носит индекс MS06–015/KB908531. Этот файл содержит программу verclsid.exe, конфликтующая с некоторыми драйверами принтеров, сканеров и фотоаппаратов Hewlett-Packard. Это исправление вызывает ошибки, которые можно решить только удалив его из системы.

Ссылки:
Вышли новые патчи для Windows и MS Office
Microsoft устраняет в операционной системе опасные уязвимости
Выпустила патч безопасности
Microsoft заделала десять дыр в Internet Explorer
Очередная критическая уязвимость обнаружена в Windows
Межсайтовый скриптинг в Microsoft FrontPage Server Extensions (обновлено)
Множественные уязвимости в Microsoft Internet Explorer
Выполнение произвольного кода в Microsoft Outlook Express
Выполнение произвольного кода в Windows Explorer
Выполнение произвольного кода в MDAC в Microsoft Windows
Переполнение динамической памяти в Microsoft Internet Explorer (обновлено)
Переполнение буфера в Microsoft Internet Explorer
Уязвимость состояния операции в Microsoft Internet Explorer
Выполнение произвольных HTA файлов в Microsoft Internet Explorer
Компания предупреждает о проблемах патча для IE
Company warns on IE patch
Вышедшее на прошлой неделе обновление Microsoft вызывает серьезный сбой в операционной системе Windows
Обновление от Microsoft "убивает" компьютеры

Компания Oracle представила российским пользователям пакет Access & Identity Management Suite, который предназначен для управления идентификационной информацией. В пакет входит средство управления доступом COREid Access & Identity, система управления идентификационной информацией Xellerate Identity Provisioning, LDAP-каталог Oracle Internet Directory, виртуальный каталог Oracle Virtual Directory, средство федеративной авторизации COREid Federation и систему защиты Web-сервисов Oracle Web Services Manager. Кроме того, дополнительно можно воспользоваться продуктом для единой системы регистрации Oracle Single Sign-On (SSO) и интеграционной платформы Directory Integration Platform (DIP), которая позволяет объединять LDAP-каталоги различных производителей. Причем продукты из этого комплекта предназначены для работы в гетерогенных сетях крупных корпоративных клиентов.

Обнаружена особенность межсетевого экрана ISA Server 2004, позволяющая использовать для его прохождения протокол IPv6. Проблема была обнаружена Романом Ле Гуеном (Romain Le Guen), когда его межсетевой экран корректно фильтровал передачу сообщений по IPv4, но пропускал аналогичную передачу данных с использованием IPv6. Собственно, в сопроводительной документации к продукту и не сказано, что он поддерживает IPv6, поэтому его поведение вполне возможно объяснить. Однако в результате хакеры имеют возможность проникать через межсетевой экран с использованием неизвестного для него сетевого протокола – таким может быть не только IPv6, но и любой другой нестандартный, а, стало быть, и не известный для межсетевого экрана протокол транспортного или канального уровня. При этом встроенные в Window XP SP2 и 2003 SP1 межсетевые экраны можно настроить для работы с протоколом IPv6. Впрочем, защиту от неизвестных протоколов можно включить на уровне сетевого оборудования, что является хорошим решением проблемы.

Ссылки:
Bypassing ISA Server 2004 with IPv6
Re: Bypassing ISA Server 2004 with IPv6
Re: Bypassing ISA Server 2004 with IPv6

Опубликованы исходные тексты зомби-компонента, который скрывается в драйвере операционной системы Windows. Разработчик по имени Tibbar выложил для всеобщего ознакомления исходные коды зомби-компонента, который управляется через IRC-каналы и имеет возможность скрыть свое присутствие в ядре Windows. Он выполнен в виде драйвера, который интегрируется в пространство памяти ядра операционной системы, что не позволяет выловить его локальным сканированием компьютера. Для выявления таких программ-невидимок нужно контролировать причем достаточно подробно его трафик во вне. И хотя автор просит разработчиков, которые будут использовать опубликованный код, обращаться к нему за разрешениями, скорее всего публикация подобных исходных текстов приведет к увеличению числа вредоносных программ, которые будут скрывать свое присутствие в операционной системе.

Ссылки:
Kernel Mode IRCbot
Kernel Mode Ircbot
Kernel mode sockets library for the masses

Регистратор доменов "Гарант-Парк-Телеком" (торговая марка "R01") предложил поддержку протокола защиты DNSSEC. Этот протокол позволяет встроить в доменную структуру открытый ключ для цифровой подписи. Этот ключ можно использовать для проверки соответствия между именем сайта и его владельцем, что позволяет защититься от подмены DNS-адресов, которые используются для организации фишинга и фарминга. Теперь клиенты, зарегистрированные в R01, могут указывать соответствующие реквизиты, а пользователи, зайдя на их сайт, могут проверить действительно ли доменное имя принадлежит соответствующий компании. Новая услуга должна понравиться разработчикам различных финансовых и торговых сервисов, которые наиболее часто подвергаются фишинг-атакам. Воспользоваться этой услугой могут только клиенты R01, поэтому владельцам доменов, если им необходима поддержка DNSSEC, придется вначале перенести регистрационные записи в этот реестр – что является бесплатной процедурой. Предоставление этой услуги является наглядным результатом введения институтов регистраторов в домене .RU, которая подталкивает компании, занимающиеся регистрацией доменов, вводить в строй сервисы, которых нет у конкурентов.

Ссылки:
В домене .RU внедрен защищенный DNS протокол DNSSEC
Защищенное делегирование в .RU
Защищенное делегирование доменов!

Результаты конференции "Лаборатории Касперского" и управления К.

Ссылки:
Касперский и Управление «К» против хакеров: раунд первый
Сетевые мошенники нацелились на банковские счета
Касперский и Управление «К» против хакеров: раунд первый
e-Crime против антивирусного сообщества
Круглый стол: страшна ли «антивирусная зубная щетка» от Microsoft?
Riskware – головная боль "Касперского"
Эпидемии компьютерных вирусов стали...