Как передает The Verge, крупнейший американский ритейлер электроники Best Buy больше не будет продавать программы «Лаборатории Касперского». Компания опасается, что производитель систем защиты от киберугроз связан с российскими властями.

Представитель Best Buy подтвердил изданию решение отказаться от продажи продукции «Лаборатории Касперского», но причины не уточнил. По информации The Verge, Best Buy позволит клиентам, которые уже приобрели ПО «Лаборатории Касперского», обменять его на продукцию другого производителя в течение 45 дней.

В середине июля США ограничили использование правительством продуктов «Лаборатории Касперского» — исключили эту компанию из числа поставщиков ПО для госструктур. Еще на этапе появления такой идеи — в июне — российское Минкомсвязи отрицательно отреагировало на нее. Глава ведомства Николай Никифоров тогда напомнил, что Россия, в свою очередь, не запрещает американский софт, хоть и активно его использует. При этом министр отметил, что «РФ, конечно, всегда оставляет право применения каких-то ответных мер».

Этот шаг американские власти сделали в ответ на публикации в СМИ о предполагаемой связи производителя антивируса с российскими спецслужбами. В частности, Bloomberg опубликовал материал о «тесных связях» «Лаборатории Касперского» с Федеральной службой безопасности (ФСБ). Как утверждается в публикации, компания принимала участие в совместных с ФСБ проектах, а также оказывала техподдержку во время спецопераций разведслужбы и полиции. Немногим ранее стало известно о допросе ФБР нескольких сотрудников «Лаборатории Касперского». СМИ сообщали, что он проводился в рамках расследования деятельности иностранных разведок.

https://seoded.blogspot.ru/2017/09/best-buy.html

Дистрибутив операционной системы Fedora Linux, которая входит в категорию открытого программного обеспечения и беспрепятственно распространяется по всему миру, не будет поставляться в Крым. Такое решение приняли разработчики системы, обосновав это действующими правилами экспортного контроля США. По ним запрещено поставлять софт для компьютеров в страны, находящиеся под санкциями. «На данный момент это Куба, Иран, Северная Корея, Судан, Сирия и Крымский регион Украины», — говорится в обновленном 5 сентября экспортном соглашении для пользователей Fedora Project.

В предыдущей версии экспортного соглашения, которое обновлялось в ноябре 2015 года, Крым не входил в число стран, куда были запрещены поставки ОС Fedora Linux.

Напомним, в июне ЕС продлил до 23 июня 2018 года ограничительные меры в отношении Крыма. Санкции включают в себя запрет на импорт товаров, инвестиции в Крым и Севастополь, туристические услуги, экспорт отдельных товаров и технологий.

https://seoded.blogspot.ru/2017/09/linux-fedora.html

В прошлом выпуске рассылки сайта Seoded.ru мы говорили о том, как заработать на знакомствах в Интернете. В этом поговорим про то, как заработать на своих программах...

В одной из своих публикаций компания «Доктор Веб» уже рассказывала о таком популярном виде мошенничества в Интернете как договорные матчи. Однако применяемые сетевыми жуликами технологии не стоят на месте: теперь они стали использовать в своих криминальных схемах специальную программу, обманывающую доверчивых пользователей. 

Обзор по ссылке:

В запасе у каждого web-дизайнера сайтов непременно должен находиться хороший редактор кода. Ведь это один из наиболее важных инструментов обыденной работы. Он непосредственно оказывает влияние на удобство и быстроту разработки проекта.

На сегодняшний день рынок редакторов кода попросту кишит от конкурентной борьбы. Свежеиспеченные предложения появляются перед нами практически ежедневно. Для пользователей, это существенный плюс. Поскольку это дает им возможность приобрести оптимальное средство за меньшие вложения.

Один из таких редакторов - Dreamweaver (http://www.seoded.ru/ssilki/develop/web-develop/vis_edit.html), его еще называют «легендой web-дизайна». Бесспорно, это лидер, и при всем этом, еще и довольно старый бренд. В настоящее время его реализует и поддерживает компания Adobe (бывшая Macromedia).

Даже в наше время, когда у Dreamweaver полно конкурентов, он, сам по себе - неплохой редактор, подходящий начинающему создателю web-сайтов, пусть и чуточку громоздкий. Его создатели неизменно пытались облегчить работу пользователя, замещая, преимущественно, ручное редактирование кода на работу с разными меню, панелями и кнопками.

Так сказать - не работа, а мечта! Но это лишь на первый взгляд, пока дело не доходит до солидных языков программирования, таких как PHP (http://www.seoded.ru/webmaster/sozdanie-saita/vstavka-php-koda.html) или Javascript. Тогда уже ни один редактор не освободит вас от написания кода. Немалую долю команд и функций доведется написать руками. Dreamweaver всего лишь облегчит эту работу. К примеру, с помощью всплывающих подсказок. Вы принимаетесь набирать, и показываются подсказки с вероятными версиями, по которым можно кликнуть мышкой. Это существенно помогает.

Этот редактор годится как для профессионалов, так и для начинающих пользователей. Главный его изъян - самая большая цена на рынке – 400 долларов. Это по карману не каждому.

Есть ли замена Dreamweaver? Разумеется, есть. У Dreamweaver немало соперников, достойных внимания, в десятки раз более дешевых, а то и совсем бесплатных. Кое-кто использует phpDesigner. Стоит он намного дешевле, всего 50 долларов, и даже лучше Dreamweaver по функциональности и числу обрабатываемых языков программирования.

phpDesigner разрешает строить проекты web-сайтов с применением широко известных основ (Kohana, Yii, Codeigniter,) и CMS-систем, таких как WordPress, Joomla и Drupal.

Notepad++ (http://www.seoded.ru/ssilki/editors/editors.html) - универсальный, весьма функциональный, а главное, он совершенно бесплатен. Работает с массой языков, даже не связанных с созданием сайтов. Notepad++ непрерывно совершенствуется. Главный минус этой программы она только редактор кода.

Codelobster - любимый редактор многих. Он разделен на две редакции: профессиональную и базовую. Базовая версия абсолютно бесплатна и включает сам редактор. Ее возможностей вполне достаточно для разработки сайтов. В профессиональную версию включены добавочные, платные плагины, облегчающие работу с WordPress, Codeigniter, Joomla, Drupal, Symfony и другие.

Это, в первую очередь, среда программирования. Поддерживает Javascript, HTML (http://www.seoded.ru/beginner.html), PHP, CSS, XML и другие языковые форматы. Имеет подсветку кода и неплохую возможность поиска и замены по тексту. Также, имеет панель "HTML", позволяющая быстро внедрять некоторые теги, кликая по кнопкам.

Его недостаток - отсутствие русского языка. Но он настолько прост в использовании, что это незначительная проблема. Вы без труда сможете овладеть этой программой.

С опытом приходит осознание, что большинство возможностей и удобств редакторов попросту бесполезны в работе, и начинают простаивать. Так или иначе, со временем, все функции и теги сами отлагаются в голове. Легче и скорее набрать их руками, чем искать нужную кнопку на бессчетных панелях.

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о широком распространении троянской программы Trojan.Spamer.46, рассылающей в социальных сетях «В Контакте», «Одноклассники», а также «Мой мир @ Mail.Ru» сообщения c рекламой мошеннических сайтов.

Данный троянец, написанный на языке С++, распространяется через торренты вместе с архиватором WinRAR. После инсталляции программы-архиватора в папке установки появляется «лишний» файл RarExtr.dll, который вызывается при запуске архиватора. Загрузившись в память, данная вредоносная библиотека сохраняет в папку Windows\System32 файл kbdfv.dll, содержащий в себе троянскую программу Trojan.Spamer.46.

Затем троянец ищет среди запущенных в системе процессов firefox.exe и, если находит, встраивает в него содержимое своей библиотеки. После этого Trojan.Spamer.46 начинает осуществлять фильтрацию исходящего трафика в поисках форм отправки сообщений сайтов vkontakte.ru, odnoklassniki.ru и my.mail.ru, добавляя в отправляемые пользователем сообщения текст «Кстати, глянь: [ссылка]». Гиперссылка ведет на мошеннический сайт, предлагающий услугу предсказания судьбы по линиям ладони за платное СМС-сообщение.

Компания «Доктор Веб» рекомендует внимательнее относиться к программам, получаемым из недостоверных источников, и по возможности использовать ПО, загруженное с официальных сайтов производителя. Сигнатура данной угрозы уже добавлена в вирусные базы, вследствие чего Trojan.Spamer.46 не представляет опасности для пользователей антивирусных программ Dr.Web.

Начало високосного года не преподнесло каких-либо серьезных сюрпризов с точки зрения информационной безопасности, однако в антивирусную лабораторию «Доктор Веб» в январе 2012 года поступило несколько интересных образцов вредоносных программ, в частности, нескольких новых банковских троянцев. Кроме того, был выявлен новый способ распространения вредоносных ссылок среди пользователей поисковых систем, а также очередная схема мошенничества в отношении завсегдатаев социальной сети «В Контакте».

Вирусные угрозы января



Среди вредоносных программ, обнаруженных в январе на компьютерах пользователей при помощи лечащей утилиты Dr.Web CureIt!, лидирующие позиции занимает файловый инфектор Win32.Expiro.23 (19,23% случаев обнаружения), при запуске пытающийся повысить собственные привилегии в системе, отыскивающий запущенные службы и заражающий соответствующие им исполняемые файлы.



Не отстает от него по популярности Win32.Rmnet.8 (8,86% случаев заражения) — этот вирус проникает на компьютер посредством зараженных флеш-накопителей или при запуске инфицированных исполняемых файлов и обладает способностью к саморепликации — копированию самого себя без участия пользователя. Вредоносная программа инфицирует файлы с расширениями .exe, .dll, .scr, .html, .htm, а в некоторых случаях — .doc и .xls, при этом она способна создавать на съемных накопителях файл autorun.inf. Непосредственно после своего запуска Win32.Rmnet модифицирует главную загрузочную запись, регистрирует системную службу Microsoft Windows Service (она может играть в операционной системе роль руткита), пытается удалить сервис RapportMgmtService, встраивая в систему несколько вредоносных модулей, отображающихся в Диспетчере задач Windows в виде четырех строк с заголовком iexplore.exe. Файловый вирус Win32.Rmnet крадет пароли от популярных ftp-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP. Эта информация впоследствии может быть использована злоумышленниками для реализации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. Также нередко встречаются на инфицированных компьютерах российских пользователей троянцы Trojan.WMALoader и Trojan.Inor.

Дела финансовые



В начале января в распоряжении специалистов «Доктор Веб» оказался образец очередной модификации троянской программы Trojan.PWS.Ibank, отвечающей современным тенденциям использования систем ДБО. Эта вредоносная программа позволяет передавать злоумышленникам аутентификационные данные, ключи и сведения о конфигурации множества различных банк-клиентов. Особенность данной модификации троянца заключается в том, что она содержит в себе реализацию VNC-сервера. В коде сервера организована поддержка протокола работы с dedicated-сервером Zeus (Trojan.PWS.Panda), через который, собственно, и осуществляется сеанс удаленного управления. Другая немаловажная особенность данного троянца — присутствие модуля, предназначенного для мониторинга и перехвата информации специализированного программного комплекса, используемого в одном из государственных финансовых учреждений РФ. Данный троянец имеет достаточно сложную архитектуру и позволяет не только передавать перехваченные данные злоумышленникам, но также выполнять на инфицированной машине различные команды, поступающие от удаленного центра, в том числе команды уничтожения операционной системы. Подробная техническая информация о структуре и принципе действия данного вредоносного ПО была своевременно передана компанией «Доктор Веб» в правоохранительные органы.



Примерно в это же время были зафиксированы случаи распространения другой вредоносной программы, с помощью которой злоумышленники планировали провести фишинговую атаку на клиентов одного из российских банков. Попадая на компьютер жертвы, Trojan.Hosts.5590 создает новый процесс explorer.exe и помещает туда собственный код, а затем прописывает себя в папке автоматического запуска приложений под именем Eldesoft.exe.



В случае если для доступа к сайту банка используется браузер Microsoft Internet Explorer, троянец вызывает стандартную функцию crypt32.dll для установки поддельного сертификата. При добавлении сертификата в хранилище операционная система обычно демонстрирует соответствующее предупреждение: троянец перехватывает и закрывает это окно.



Если для доступа к банковскому сайту используется другой браузер, для установки сертификата применяются функции из стандартной библиотеки nss3.dll. Связавшись с удаленным командным центром, Trojan.Hosts.5590 получает оттуда конфигурационный файл, содержащий IP-адрес фишингового сервера и имена доменов, которые троянец должен подменять. Впоследствии, при обращении к сайту системы банк-клиент по протоколу HTTPS, пользователю будет демонстрироваться поддельная веб-страница, а введенные им в форме авторизации учетные данные будут переданы злоумышленникам. Благодаря своевременным и грамотным действиям службы безопасности банка, а также усилиям специалистов компании «Доктор Веб», данная вредоносная программа в настоящий момент не представляет серьезной опасности для пользователей.

Винлоки пошли на убыль



В январе 2012 года на 25% сократилось число обращений в службу технической поддержки со стороны пользователей, пострадавших от действий программ-блокировщиков.



Связано это не только с уменьшением числа самих приложений-вымогателей, но и с недавно состоявшимся запуском нового портала https://www.drweb.com/xperf/unlocker, позволяющего подобрать код для разблокировки компьютеров, инфицированных троянцем семейства Trojan.Winlock. В настоящее время среднесуточная посещаемость данного веб-сайта составляет 13–15 тысяч пользователей.



Однако попадаются среди программ-вымогателей отдельные образцы, вовсе не располагающие кодом разблокировки. К ним, в частности, относится троянец Trojan.Winlock.5490, ориентированный на французских пользователей. Эта вредоносная программа запускается только на персональных компьютерах, операционная система которых имеет французскую локализацию. Троянец обладает встроенными функциями антиотладки: в процессе загрузки он проверяет, не запущен ли его процесс в среде виртуальных машин VirtualBox, QEmu, VMWare и пр., и в случае, если присутствие виртуальной машины обнаруживается, троянец прекращает свою работу.



Оказавшись на компьютере жертвы, Trojan.Winlock.5490 запускает процесс svchost.exe и встраивает в него собственный код, после чего отсылает команду скрытия Панели задач Windows и останавливает все потоки процессов explorer.exe и taskmgr.exe. Затем троянец прописывает себя в ветвь системного реестра, отвечающую за автозагрузку приложений, и демонстрирует на экране окно, содержащее текст на французском языке с требованием заплатить 100 евро с помощью карт оплаты платежных систем Paysafecard или Ukash. Введенный жертвой номер карты отправляется на удаленный командный сервер злоумышленников, а в ответ троянец демонстрирует сообщение приблизительно следующего содержания: «Подождите! Платеж будет обработан в течение 24 часов». Вместе с тем, никамими функциями разблокировки с помощью кода этот троянец не обладает: вместо этого он автоматически удаляет сам себя через неделю после установки.

Пользователи «В Контакте» вновь под прицелом злоумышленников



На сей раз злоумышленники обратили внимание на владельцев мобильных телефонов с поддержкой Java, использующих возможности социальной сети «В Контакте». После новогодних праздников участились случаи массового распространения спама в использующих протокол ICQ клиентах для обмена сообщениями. Злоумышленники предлагают пользователям скачать приложение для мобильного телефона, якобы являющееся клиентом для социальной сети «В Контакте». В рассылке сообщается, что с помощью данной программы можно с большим комфортом пользоваться возможностями данной социальной сети.



Программа представляет собой файл в формате .jar, способный запуститься практически на любом мобильном устройстве с поддержкой Java. Как и следовало ожидать, в процессе установки приложение отсылает СМС-сообщение на один из платных номеров и просит пользователя ввести в соответствующей форме на сайте злоумышленников полученный в ответном СМС код. Таким образом пользователь соглашается стать подписчиком некой услуги, за использование которой с его счета мобильного оператора будет ежемесячно списываться определенная сумма.



Выдача поисковых систем как способ распространения вредоносных ссылок



Методы, с использованием которых сетевые злоумышленники распространяют ссылки на вредоносное ПО или мошеннические сайты, совершенствуются с каждым месяцем. В ход идут всевозможные способы маскировки текста, приемы социальной инженерии и прочие ухищрения. В январе сетевые мошенники обратили свое внимание на формат выдачи ссылок поисковыми системами.



В процессе поиска нужных ему сведений пользователь нередко выполняет сразу несколько обращений к поисковым системам, открывая в новых вкладках или окнах браузера отдельные страницы отчета поисковиков, содержащие найденные в индексе ссылки. Такие страницы принято называть «выдачей поисковой системы» (Search Engine Results Page, сокращенно — SERP). Именно эти страницы и повадились подделывать мошенники, надеясь на то, что в суматохе пользователь не заметит подсунутую ему «лишнюю» страничку с поисковой выдачей. Кроме того, большинство людей относится к страницам выдачи поисковых систем с большей степенью доверия, чем к простому набору ссылок. В некоторых случаях мошенники не гнушаются даже подделывать целые поисковые системы, как, например, поступили создатели псевдопоискового сервиса LiveTool, интерфейс которого практически полностью копирует оформление «Яндекса», а ссылка «О компании» ведет на мошеннический сайт, имитирующий страницу социальной сети «В Контакте».



Страничка поддельной поисковой системы может открыться автоматически при переходе по ссылке в выдаче настоящего поисковика. Кроме того, созданная злоумышленниками страница SERP обычно содержит ссылки, релевантные введенному ранее пользователем запросу, и потому на первый взгляд не вызывает каких-либо подозрений. В свою очередь, переход по ссылкам уже с этой страницы может привести потенциальную жертву на мошеннический сайт или ресурс, распространяющий вредоносное ПО. В настоящее время среди подобных ссылок замечены поддельные сайты, имитирующие странички социальных сетей, ресурсы, предлагающие сомнительные услуги на условиях псевдоподписки, и сайты распространяющие ПО семейства Trojan.SmsSend.



В недавнем прошлом злоумышленники массовым образом создавали копии сайтов социальных сетей, но подделка страниц поисковой выдачи и даже целых поисковых систем — это, безусловно, новое явление.

"Лаборатория Касперского" сообщает о поставке торговому дому ЦУМ лицензий на использование решений Kaspersky Security для
интернет-шлюзов, Kaspersky Security для почтовых серверов и Kaspersky Anti-Spam for Linux Russian Edition. Проект был реализован при технической поддержке интернет-супермаркета ПО Softkey.

В торговом доме ЦУМ на площади 60 тыс. кв.м представлены более тысячи известных брендов одежды, обуви и аксессуаров, парфюмерии, косметики. Торговый дом имеет несколько филиалов в Москве. Товарооборот ЦУМа по итогам 2010 года составил свыше 10 млрд рублей, валовая прибыль - более 2 млрд рублей.

"Ежедневно наш торговый дом обслуживает более 7000 покупателей. Кроме того, мы активно продвигаем бренд "ЦУМ" в сети
Интернет: действует официальный интернет-магазин, ведется работа в социальных сетях, - говорит IT-директор ОАО "Торговый дом
ЦУМ". - При таких масштабах продаж очень важно обеспечить удобный и быстрый обмен информацией внутри компании, поэтому электронная почта является одним из самых важных инструментов в нашей ежедневной работе. Решения "Лаборатории Касперского" позволили нам обеспечить безопасность почтовой системы и избавиться от спама".

"Согласно результатам исследования по IT-безопасности в корпоративном секторе, проведенного "Лабораторией Касперского", 74% российских компаний сталкиваются со спамом и считают "мусорную почту" одной из самых значительных киберугроз, - говорит Сергей Земков, управляющий директор "Лаборатории Касперского" в России. - Действительно, нежелательная почта нередко содержит вредоносные вложения, поэтому любой компании необходима надежная защита корпоративной почты. Решения
Kaspersky Security для почтовых серверов и Kaspersky Anti-Spam гарантируют бесперебойную работу почты и эффективность бизнес-процессов благодаря использованию нового антивирусного ядра, интеллектуальных технологий фильтрации спама и оптимизации использования системных ресурсов".

Всестороннюю техническую поддержку, связанную с проектом, оказал интернет-супермаркет ПО Softkey. Компания приняла участие на всех
ключевых этапах реализации проекта.

Kaspersky Security для почтовых серверов - решение для защиты почтовых серверов и серверов совместной работы от вредоносных программ и нежелательной корреспонденции. Решение включает приложения, которые обеспечивают безопасность всех популярных почтовых серверов, включая Microsoft Exchange, Lotus Domino, Sendmail, Qmail, Postfix и Exim. Kaspersky Security для почтовых серверов также можно использовать в качестве выделенного почтового шлюза. Kaspersky Anti-Spam защищает пользователей корпоративных почтовых систем и публичных почтовых сервисов от массовой незапрошенной корреспонденции - спама. Kaspersky Security для интернет-шлюзов - решение, которое обеспечивает безопасный доступ в Интернет для всех сотрудников организации, автоматически удаляя вредоносные и потенциально опасные программы из потока данных, поступающих в корпоративную сеть по протоколам HTTP(S), FTP, SMTP и POP3.

Компания «Доктор Веб» — российский разработчик средств антивирусной безопасности — сообщает об акции, в рамках которой клиенты ПВ-Банка могут обезопасить свою ИТ-инфраструктуру с помощью комплекса корпоративных продуктов Dr.Web Enterprise Security Suite, который они могут приобрести на льготных условиях. Акция организована при поддержке поставщика программных решений, партнера «Доктор Веб» — компании «Финтэк».

Все знают, что финансовая информация является одной из главных целей киберпреступников. Именно поэтому компании, использующие системы интернет-банкинга «Клиент-Банк», как никто другой должны быть заинтересованы в формировании надежной защиты своей ИТ-инфраструктуры. Однако далеко не всегда они правильно оценивают существующую степень риска. Зато сами банки, которым регулярно приходится сталкиваться с претензиями по поводу хищения средств, знают достаточно, чтобы проявлять заинтересованность в надежной защите своих клиентов.

По этой причине специалисты ЗАО «ПВ-Банк» приняли решение о запуске акции, которая позволяет надежно защитить ИТ-инфраструктуру компаний, использующих систему «Клиент-Банк». В качестве инструмента такой защиты был выбран комплекс продуктов Dr.Web Enterprise Security Suite. Сегодня льготное тестирование и приобретение комплекса с использованием купонов КОД Dr.Web ESS предлагается всем корпоративным клиентам банка. В качестве эксперта в вопросах информационной безопасности выступает компания «Финтэк».

«Некоторые клиенты банка столкнулись с довольно распространенной ситуацией: в бухгалтерию приходит диск с подписью «Из налоговой», специалист, зачастую не слишком сведущий в вопросах ИТ, пытается ознакомиться с информацией на диске, но вместо этого запускает вредоносное ПО, специально созданное для перехвата и удаленного управления системой «Клиент-Банк», — рассказывает директор компании «Финтэк» Андрей Филимонов. — Результат предсказуем: потеря денег компании. Защититься от таких ситуаций можно только одним способом: установкой надежной и простой в использовании системы антивирусной безопасности. На мой взгляд, Dr.Web Enterprise Security Suite — идеальный вариант такой системы для корпоративного использования».

«Предоставляя нашим корпоративным клиентам возможность использования систем интернет-банкинга, мы стремимся идти в ногу со временем и формировать оптимальный набор банковских сервисов, — говорит директор департамента маркетинга ПВ-Банка Владимир Терентьев, — мы считаем себя обязанными предложить клиентам возможность надежно защитить свою ИТ-инфраструктуру и тем самым гарантировать надежность использования наших интернет-сервисов».

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении нового троянца-блокировщика ОС Windows, заражающего Master Boot Record. В отличие от предыдущих модификаций этого семейства вредоносных программ,Trojan.MBRlock.16не содержит в своих ресурсах необходимый для разблокировки операционной системы код, а генерирует его на основе данных об аппаратной конфигурации компьютера.

В своих новостях и обзорах компания «Доктор Веб» уже упоминала о троянских программах семейства MBRLock: первые образцы вымогателей, инфицирующих загрузочную запись жесткого диска, поступили в антивирусную лабораторию ещев мае 2011 года, ав сентябрепоявились модификации, ориентированные на западных пользователей. Напомним, что подобные троянцы блокируют не вход в операционную систему, как вредоносные программы семейства Trojan.Winlock, а сам ее запуск. Код записывается в главную загрузочную запись (MBR), при обращении к жесткому диску в процессе запуска компьютера он загружает с соседних секторов основное тело Trojan.MBRlock, после чего на экране демонстрируются требования злоумышленников. Большинство известных на сегодняшний день троянцев семейства Trojan.MBRlock хранили необходимый для разблокировки компьютера пароль в собственном коде, в связи с чем его было просто извлечь. Несколько иначе действуетTrojan.MBRlock.16.

Эта программа-вымогатель выдает себя за «полезную» утилиту Antivirus XP Hard Disk Repair, якобы предназначенную для удаления вирусов с жесткого диска компьютера. После запускаTrojan.MBRlock.16инфицирует MBR и выводит на экран сообщение о том, что система якобы инфицирована вредоносной программой Trojan.Agent.ARVP, зашифровавшей всю информацию на жестких дисках (при этом фактически никакого шифрования не производится). Для спасения пользовательских данных злоумышленники предлагают жертве «купить лицензию» утилиты Antivirus XP Hard Disk Repair, для чего следует отправить сгенерированный программой ключ с помощью формы, размещенной на принадлежащем мошенникам сайте, и осуществить оплату. Сам уникальный ключ (HDDKEY) и пароль для разблокировки компьютераTrojan.MBRlock.16генерирует на основе информации об аппаратной конфигурации ПК.

С целью помочь пользователям, пострадавшим от данной программы-вымогателя, специалисты компании «Доктор Веб» разработали специальный генератор паролей для разблокировки компьютера, который можно загрузить по ссылке ftp://ftp.drweb.com/pub/drweb/tools/mbrlock16keygen.exe либо воспользоваться сервисом разблокировки.

СигнатураTrojan.MBRlock.16добавлена в базы Dr.Web, кроме того, избавиться от последствий заражения этим троянцем можно с помощью бесплатных средств аварийного восстановления системы Dr.Web LiveCD или Dr.Web LiveUSB.

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — сообщает о десятикратном росте с начала 2011 года числа модификаций троянцев семейства Android.SmsSend, представляющих опасность для владельцев мобильных устройств на базе ОС Android.

Исследования аналитиков компании «Доктор Веб» показывают, что авторы троянцев семейства Android.SmsSend, известного с августа 2010 года, используют ту же мошенническую схему, которая применяется при распространении Trojan.SmsSend для настольных ПК.

Жертва скачивает с одного из веб-сайтов нужное ей приложение. Например, браузер для мобильных устройств Opera Mini. В процессе его инсталляции на экране неожиданно появляется предложение отправить несколько СМС на короткий номер для продолжения установки. В ответ пользователь обычно получает ссылку и пароль, который необходимо ввести в соответствующую форму на сайте злоумышленников. После этого ему предоставляется возможность полностью загрузить требуемую программу. Суть мошенничества заключается в том, что, если бы изначально пользователь обратился не на веб-страницу злоумышленников, а на сайт разработчиков соответствующего ПО, то он мог бы скачать это приложение совершенно бесплатно.

Существование большого числа модификаций Android.SmsSend объясняется примитивностью этих вредоносных программ с точки зрения архитектуры, а также простотой их изготовления для вирусописателей.

Помимо этого, существуют так называемые «партнерские программы» и специальные конструкторы, с помощью которых любой школьник может создать собственную версию Android.SmsSend, не обладая даже базовыми навыками программирования. На начало 2011 года в вирусных базах Dr.Web значилось всего шесть модификаций данного троянца, а на текущий момент их насчитывается уже 60. Иными словами, только за истекшие семь с половиной месяцев количество версий Android.SmsSend выросло в десять раз. Резко возросло и число новых модификаций этой вредоносной программы, присланных в вирусную лабораторию компании «Доктор Веб» в августе 2011 года, — всего с начала месяца выявлено 22 неизвестные ранее версии троянца против среднего показателя, составляющего 5–7 новых детектов в месяц. Таким образом, можно говорить о 36-процентном росте числа версий данной угрозы только в августе 2011 года.

Очевидно, что столь резкое увеличение количества вариаций Android.SmsSend обусловлено выгодностью для вирусописателей финансовой модели, включающей производство и распространение этих троянцев, а также прибылью, получаемой от беспечных пользователей, мобильные устройства которых оказались инфицированы. Вполне вероятно, что указанная тенденция будет сохраняться и в дальнейшем.

Вирусописатели периодически изменяют исходный код своих приложений с целью избежать детектирования их творений антивирусным ПО. В настоящее время программы Dr.Web для Android Антивирус + Антиспам и Dr.Web для Android Light используют уникальную технологию Origins Tracing™, позволяющую автоматически детектировать подобные угрозы и их модификации. Пользователям мобильных устройств, работающих под управлением ОС Android, рекомендуется предварительно поискать в Интернете информацию о приложениях, которые они планируют установить, и, если такие приложения распространяются бесплатно, не отправлять никаких сообщений на предлагаемые злоумышленниками телефонные номера. Кроме того, можно обезопасить себя от установки вредоносного ПО, загружая его только из проверенных источников, таких как официальный Android Market.