Новости про антивирусы и уязвимости

Новый троян для Linux превращает Raspberry Pi в ферму

Известный российский разработчик антивирусов, компания Dr. Web, нашла новый тип вредоносного кода для Linux, который инфицирует компьютеры Raspberry Pi. Вирус получил имя Linux.MulDrop.14, а его активное продвижения началось в мае этого года.

Вирус сканирует сеть на наличие устройств Raspberry Pi с открытым по SSH портом 22. Если он находит такое устройство, то пытается залогиниться на нём, используя стандартный логин и пароль. Само тело троянца содержит сжатое и шифрованное приложение, созданное для майнинга криптовалюты. После установки Linux.MulDrop.14 меняет пароль на заражённом устройстве, приступает к майнингу, а также ищет другие машины с открытым портом 22. Данный троян занесен в базу антивируса.

Raspberry Pi

Кроме него специалисты нашли ещё один вирус. Получивший название Linux.ProxyM, этот вирус начал своё распространение ещё с февраля, однако был выявлен лишь в мае. Этот вирус ищет «горшочки с мёдом» — специальные компьютеры-ловушки, которые используют специалисты для поиска уязвимостей. После попадания в такую ловушку ProxyM подключается к своему серверу управления и запускает SOCKS прокси-сервер на заражённом устройстве. Киберпреступники могут использовать его для сохранения анонимности онлайн.

Распространение ProxyM

Распространение обоих вирусов показано на графике. Больше всего заражённых машин оказалось в России, на втором и третьем месте — Китай и Тайвань.

Google заявляет об уменьшении числа заражений Android вдвое

Экосистема Android несёт свой немалый вклад в количество заражённых вычислительных систем, однако согласно уверениям Google, она начала активно бороться с вредоносным ПО.

Конечно, оно не исчезло совсем, однако за 2014 год количество вредоносных приложений уменьшилось вдвое.

В настоящее время Google считает, что лишь 1% всех Android устройств содержит опасное ПО. Что касается магазина Google Play, то здесь число вредоносных программ упало до 0,15%.

Android

И хотя из этого сообщения не совсем понятно, какое же именно ПО компания считает вредоносным, ясно, что количество его установок резко снизилось.

Поисковый гигант выпустил большой 44-страничный документ по безопасности. В нём ничего не сказано об уязвимости WebView, о которой много говорят в последнее время. Тем не менее, отчёт сообщает о больших инициативах компании по повышению безопасности и очистке многих платформ и сервисов Google, включая браузер Chrome.

Исследователи нашли способ загрузки вредоносного ПО методом привязки

Большинство хакерских атак на обычных пользователей совершается методами, разработанными десятилетия назад. Однако команда исследователей из Германии разработала совершенно новый способ отправки вредоносного кода жертве.

Команда исследователей Рурского университета из Бохума разработала новый тип вредоносного ПО, которое может секретно размещать себя за законной загрузкой программы. Зловред не располагается внутри доверенного приложения, а скорее привязывается к нему, что позволяет проходить многие меры безопасности, касающиеся этого подозрительного ПО.

Поскольку оригинальное приложение никак не модифицируется, это не только позволяет скрытому зловреду пройти системы защиты, но также позволяет использовать файлы намного большие по размеру, чем обычно, расширяя свой набор опасных возможностей. Исследователи это пояснили так: «При запуске инфицированного приложения, связка также запускается. Она также анализирует свой собственный файл в поисках дополнительных расширенных исполняемых файлов, реконструирует и исполняет их, по возможности незаметно для пользователя».

Malware

С помощью простых сетевых перенаправлений, кому угодно, использующему подобную тактику, только и нужен один узел сети между сервером загрузки и клиентом, чтобы завершить процесс. И хотя по словам исследователей, для прохождения сквозь VPN и HTTPS система должна быть доработана, уже сейчас она не требует какой-либо буферизации при загрузке и может легко обходить современные механизмы безопасности незамеченной.

В настоящее время связанное вредоносное ПО является лишь разработкой, так что не стоит его бояться, ведь его пока не существует. Будем надеяться, что положение дел таким и останется.

Антивирусный движок Microsoft можно было легко выключить

Движок Microsoft Malware Protection Engine, интегрированный в ряд продуктов Microsoft в области безопасности, включая Microsoft Security Essentials, был обновлён в связи с выявлением уязвимости, которая может привести к отказу службы (DoS).

Уязвимость позволяет атакующим отключить продукты безопасности Microsoft, разместив на компьютере жертвы специально подготовленный файл, заставив скачать его из Интернета, отправив по почте или через сервис мгновенных сообщений.

Microsoft Security Essentials

Уязвимость находилась в движке защиты от вредоносного ПО, который является основой для многих продуктов безопасности Microsoft для настольных систем и серверов. Он входит в такие приложения как Microsoft Forefront Client Security, Microsoft System Center 2012 Endpoint Protection, Microsoft Malicious Software Removal Tool, Microsoft Security Essentials, Windows Intune Endpoint Protection и Windows Defender, которые поставляются с предустановленными операционными системами Windows Vista и более новыми.

Сам же софтверный гигант отметил «важность» этой уязвимости, что значит, что она может быть использована для доступа к данным или ресурсам процессора пользователя, однако для этого пользователю необходимо «помочь» злоумышленнику.

В случае если хакеру удалось достичь своей цели, Microsoft Malware Protection Engine прекращает мониторинг повреждённой системы. В целом, получить доступ к компьютеру оказывается достаточно сложно, поэтому случаев использования данной бреши в системе безопасности пока не зафиксировано.

Google тихо приобрёл VirusTotal

После получения контроля над Motorola Mobility, компания Google стала искать себя на прочих рынках и тратить средства куда только возможно.

Одной из таких трат и стал известный антивирусный ресурс VirusTotal. И хотя сама компания по интернет-безопасности и хранит молчание, эта сделка является превосходной новостью для вас и плохой новостью для вирусописателей, поскольку Google всегда следит за тем, чтобы его инфраструктура была в безопасности, а предлагаемые инструменты всегда доступными. Разработчики приложений для Android также могут быть довольным этой сделкой, ведь теперь в их команде появились и авторы VirusTotal.

Virustotal

«Безопасность невероятно важна для наших пользователей, и мы инвестировали многие миллионы долларов, чтобы помочь им оставаться в онлайне в безопасности. VirusTotal также имеет большую историю в вэб безопасности, и мы очень рады возможности предоставить для них всю требуемую инфраструктуру для гарантии того, что их сервис продолжит развиваться», — отмечено в пресс-релизе Google.