Теги 'віруси'
«Нові» старі вразливості в безпровідних маршрутизаторах
Цілий розсип різних проблем виявили у роутерах компаній ZyXEL, Belkin, ReadyNet, Amped Wireless, Buffalo і Netgear. Майже всі знайдені вразливості досі не виправлені і становлять реальну загрозу для користувачів.
Belkin
Дослідник Джон Гаррет (John Garrett) з Ethical Reporting виявив безліч багів в роутерах Belkin AC-1750, AC-1200, N-600 і N-150. На сайті Ethical Reporting експерт опублікував Всю детальну інформацію про баги, а також відео експлуатації виявлених вразливостей.
У кожній моделі знайшлося відразу кілька проблем. Серед багів: можливість обходу каталогу, яка може використовувати для доступу до деяких API; обхід аутентифікації; пролом, що дозволяє хакеру змінити деякі налаштування пристрою без авторизації; віддалене виконання коду.
Раніше в грудні 2015 року дослідник Рахул Пратап Сінгх вже розповідав про декілька вразливості в роутерах N150 компанії Belkin. Тоді виробник запевнив, що вже працює над патчем, однак виправлення покищо не було випущено. З новим багом ситуація аналогічна: компанія повідомила, що вже працює над патчем, але коли він буде випущений, невідомо.
Netgear
Минулого тижня Джо Ленд (Joel Land) з координаційного центру CERT, при університеті Карнегі-Меллона, опублікував ряд бюлетенів безпеки, що проливають світло на декілька вразливостей в пристроях Netgear, ZyXEL, ReadyNet, Amped Wireless і Buffalo.
Бездротові маршрутизатори Netgear G54 / N150 (WNR1000), що працюють на прошивці 1.0.2.68 схильні до вразливості CVE-2015-8263. Баг дозволяє підробити DNS-запити, перенаправивши нічого не підозрюючого користувача на підконтрольні хакеру ресурси.
ZyXEL
У пристрої ZyXEL NBG-418N виявлено відразу дві уразливості. Проблеми зачіпають прошивку 1.00 (AADZ.3) C0. Зокрема, Ленд виявив, що зв'язку логін-пароль admin і тисячі двісті тридцять чотири можна використовувати у веб-інтерфейсі пристрою (CVE-2015-7283), що дозволить атакуючому отримати привілейований доступ до маршрутизатора.
Також пристрої даної моделі уразливі перед підробкою міжсайтових запитів (CSRF), що дозволяє атакуючому віддалено виконати довільний код на машині жертви (CVE-2015-7284). Даний баг відмінно працює у зв'язці з першим.
ReadyNet, Amped Wireless і Buffalo
Маршрутизатори ReadyNet схильні до абсолютно аналогічних проблем. Пристрої ReadyNet WRT300N-DD, що працюють під управлінням прошивки 1.0.26, приймуть від атакуючого дефолтні ідентифікаційні дані (CVE-2015-7280), уразливі перед CSRF (CVE-2015-7281) і можуть піддаватися DNS спуфінгу (CVE-2015-7282).
Абсолютно така ж ситуація склалася і з моделлю Amped Wireless R10000, що працює під управлінням прошивки 2.5.2.11. Ідентифікаційні дані за замовчуванням (CVE-2015-7277), CSRF (CVE-2015-7278) і DNS спуфінг (CVE-2015-7279).
Трохи менше проблем у моделі Buffalo AirStation Extreme N600 (WZR-600DHP2). Цей роутер вразливий тільки перед підробкою запитів DNS (CVE-2015-8262). Зате баг поширюється на прошивки версій 2.09, 2.13, 2.16 і найімовірніше, на інші теж.
Гаррет і Ленд пишуть, що їм невідомо нічого про виправлення для даних вразливостей. Хоча всі виробники були повідомлені про виявлені проблеми влітку або восени 2015 року, ніякої реакції від них до цих пір не послідувало.
За матеріалами xakep.ru- Попередня
- Наступна
Можливо вас зацікавлять подібні статті:
Андроїд віруси Shuanet, Ghost Push і Kemoge
Користувачам Android загрожують небезпечні віруси трьох нових сімейств, які практично неможливо видалити. Тільки минулого місяця фахівці CM Security і FireEye Labs виявили два нові сімейства вірусів Ghost Push (Shedun) і Kemoge (Shiftybug), як стало відомо про нову ще більш небезпечну загрозу, навислу Дамокловим мечем на власниками Android-пристроїв.
Як стверджується, замість пред'явлення вимоги про викуп, новий витончений шкідник автоматично виконує активацію Root-прав після установки зараженого додатку. Видалити його практично неможливо, оскільки він маскується під системний додаток. Позбутися від цієї зарази можна, звернувшись до хорошого фахівця з інформаційної безпеки, або ж купити новий пристрій.
За даними компанії Lookout, що виявила даний вірус, він є набагато складнішим, ніж здається на перший погляд. Як і представники сімейств вірусів, про які ми згадували спочатку, цей негідник відноситься до класу Adware (призначені для показу настирливої реклами), але при цьому також містить характерні риси троянських програм. Більше того, він є більше трояном, ніж «рекламщиком».
Додаток, що містить шкідливий код, складно відрізнити від нормальної програми, але він може завдати величезної шкоди після проникнення в систему.
Фахівці Lookout виявили більше 20 тис додатків з цим шкідливим кодом, замасковані під популярні програми на кшталт Facebook, Google Now, Snapchat, WhatsApp, Candy Crush і NYtimes. Всі вони виглядають як звичайна програма з Google Play Store, але в більшості своїй поширюються через неофіційні магазини додатків, сайти з піратським ПЗ або торренти.
Компанія Lookout відносить цей вірус до нового сімейства під назвою Shuanet. Віруси Shuanet, Ghost Push і Kemoge є взаємопов'язаними троянами, говориться у повідомленні компанії.
До теперішнього часу віруси даних трьох сімейств були помічені в США, Німеччині, Ірані, Росії, Індії, Ямайці, Судані, Бразилії, Мексиці та Індонезії.
Компанія CM Security раніше заявила, що віруси цих родин можуть походити з Китаю, але ніяких вагомих доказів на користь свого твердження не привела. Фахівці Lookout вважають, що в їх створенні брали участь кілька хакерських угруповань, але вони могли діяти спільно. Думати подібним чином дозволяє високий відсоток збігу коду - від 71 до 82%.
Як звичайно в таких випадках, дослідники рекомендують встановлювати додатки тільки з офіційного магазину, закликають проявляти пильність і ні в якому разі не вестися на виверти шахраїв.
За інформацією androidcommunity- Попередня
- Наступна
Можливо вас зацікавлять подібні статті:
Коментарі
Немає коментарів до цієї статті.
Коментувати
Linux.Wifatch – вірус яким варто «заразитись»
Як виявилось, комп'ютерні віруси, як бактерії, можуть бути як шкідливими, так і корисними. Остання «знахідка» фахівців Symantec відноситься якраз до першого табору і націлена на роутери, які є відносно легкою здобиччю для хакерів, оскільки їх ПЗ рідко оновлюють і майже ніколи не сканують на віруси.
Як говориться в недавньому звіті Symantec, новий вірус призначений зробити цей клас пристроїв безпечнішими. Він отримав назву Linux.Wifatch і з першого погляду схожий на звичайний вірус: після зараження пристрою він приховує свої операції і координує дії по p2p-мережі. Проте, на відміну від звичних представників класу «віруси», Linux.Wifatch не використовується для проведення DDoS-атак або крадіжок особистої інформації, а захищає свій «будинок» від інших «непроханих гостей». Він оновлює власну базу за допомогою p2p і видаляє шкідливе програмне забезпечення, закриваючи «дірки» для інших вірусів.
Історія походження даного цікавого вірусу не відома. Вперше він був виявлений в 2014 році, тоді він не намагався себе приховувати і мав доброзичливі повідомлення в коді. Одне з них спрацьовувало, коли користувач намагався отримати доступ до функції Telnet, і нагадувало користувачам оновлювати прошивку пристрою. Інше повідомлення в коді призначалося АНБ і ФБР: «Усім агентам АНБ і ФБР, читаючих це: пам'ятайте, що захист Конституції США проти ворогів, зовнішніх і внутрішніх, змушує вас наслідувати приклад Сноудена».
Фахівці Symantec кілька місяців пильно стежили за вірусом, але не виявили схильності до хуліганства. За оцінкою Symantec, вірусом заражені десятки тисяч пристроїв, в основному в Бразилії, Китаї та Мексиці. Видалити вірус досить просто - достатньо перезавантажити роутер, але при цьому залишається високий ризик повторного зараження.
- Попередня
- Наступна
Можливо вас зацікавлять подібні статті:
Коментарі
Немає коментарів до цієї статті.
Коментувати
Руткіт і кейлоггер, що працюють в GPU, і не виявляються антивірусами
Руткіт jellyfish і кейлоггер demon, це дві нові proof-of-concept програми, що демонструють, як деякі віруси можна запускати безпосередньо на відеокартах, що додатково дає їм певні переваги.
Програми розміщуються не в оперативній пам'яті комп'ютера, а в відеопам'яті, і використовують не CPU, а GPU, що робить їх невидимими для сучасних антивірусів. Крім цього GPU-malware може працювати набагато продуктивніше, якщо використовує специфічні функції відеокарт, що виконуються на GPU набагато швидше, ніж на будь-якому процесорі.
Віруси як і раніше можуть отримувати доступ до пам'яті комп'ютера і аналізувати її за допомогою DMA (direct memory access). Як пишуть розробники, ще однією перевагою таких вірусів є те, що їх код залишається в відеопам'яті навіть після перезавантаження.
jellyfish і demon доступні у вигляді вихідних кодів, і працюють в Linux. Для роботи вірусам необхідний доступ до OpenCL і вони можуть працювати на відеокартах AMD, Nvidia і Intel.
- Попередня
- Наступна
Можливо вас зацікавлять подібні статті:
Коментарі
Немає коментарів до цієї статті.
Коментувати
Android-вірус FakeInst маскується під гаманець Google Wallet і краде дані кредитних карт
На Android-смартфонах з'явився новий троянець FakeInst, який маскується одночасно і під офіційний магазин додатків Google Play, і під додаток платіжної системи Google Wallet, наполегливо вимагаючи у користувача реквізити його банківської карти. Переважна більшість спроб зараження зареєстровано в Росії, слідом з великим відривом йдуть США, а потім країни Європи і Азії.
Маскування шкідливих програм під системні сервіси - поширений прийом зловмисників. У випадку з Android нерідкі випадки видавання шкідливого ПЗ за встановлені системні програми, такі як «Налаштування» і «Ліхтарик», однак автори нового шкідника пішли далі, імітуючи не тільки зовнішній вигляд платіжного клієнта системи Google Wallet, а й використовуваний багатьма легітимними онлайн-сервісами механізм прив'язки банківської карти.
Троянець розповсюджується за допомогою SMS-спаму з пропозицією встановити оновлення Google Play і відразу після запуску запрошує права адміністратора, блокуючи можливість роботи з пристроєм до їх отримання. Домігшись свого, шкідлива програма відображає вікно з вимогою введення реквізитів банківської карти нібито для її авторизації в системі Google Wallet.
«Особлива небезпека зловреда в тому, що його автори використовують досить переконливий прийом соціальної інженерії - запитують реквізити банківської картки, обіцяючи утримати незначну суму для верифікації облікового запису. Справа в тому, що на цей гачок можуть клюнути навіть досвідчені користувачі - вони знайомі з багатьма легітимними онлайн-сервісами, які застосовують схожі механізми підтвердження особи.
Розпізнати троянця можна по напору, з яким він наполягає на введенні фінансових реквізитів, а ще простіше - по повідомленню від захисного рішення класу Internet Security, яке виключить можливість запуску і видалить шкідливу програму з системи», - коментує Микита Бучка, антивірусний експерт групи дослідження загроз для мобільних платформ «Лабораторії Касперського».
Введена користувачем інформація картки перевіряється на відповідність формату BIN (Bank Identification Number) і на приналежність до досить великого списку платіжних систем. Тільки отримавши коректні дані, троянець закриває вікна і відсилає зібрані відомості на сервер зловмисників. Але це ще не кінець - шкідлива програма, не подаючи зовнішніх ознак, продовжує функціонувати на мобільному пристрої, збираючи інформацію про його власника, а отримані на першому етапі роботи права адміністратора пристрою дозволяють трояну вкоренитися в системі.
За повідомленням «Лабораторії Касперського»- Попередня
- Наступна
Можливо вас зацікавлять подібні статті:
Коментарі
Немає коментарів до цієї статті.
Коментарі
Вирішення проблем з шкідливим кодом на сайті
Зараження сайту вірусом для власника сайту завжди є неприємним сюрпризом і серйозною проблемою. Пошуковик, знайшовши таку загрозу, виводить попередження для відвідувачів, трафік падає, робота сайту фактично зупиняється.
Причини зараження шкідливим кодом
Основні причини появи шкідливого коду на сайті зазвичай пов'язані з порушеннями досить простих правил безпеки з вини власника сайту або адміністратора. Розглянемо як у типовому випадку відбувається зараження сайту. Зазвичай вірусна програма потрапляє якимось шляхом, а їх багато, на жорсткий диск локальної машини, з якої здійснюється FTP-доступ на сайт. Ця програма краде збережені паролі доступу, з їх допомогою проникає на сайт з правами адміністратора і змінює вміст сторінок, вбудовуючи в них шкідливий код. Користувачі, які відвідали заражений сайт, ризикують заразити свою машину цим вірусом, далі шкідлива програма розповсюджується таким же чином.
Комп'ютер, з якого здійснюється адміністрування сайту, повинен бути ретельно захищений — антивірусне ПЗ істотно знижує вірогідність виникнення таких неприємних ситуацій.
Виявлення шкідливого коду на сайті
Сервіс «Яндекс.Вебмастер» має функцію перевірки сайту на наявність шкідливого коду, крім цього можна включити автоматичне сповіщення в разі зараження на вкладці «Безпека». Аналогічний функціонал присутній в «інструмент для веб-майстрів» Google в розділі «Дігностіка».
Щоб виявити шкідливий код самостійно, треба знати, як він може виглядати, і відрізняти його від іншого коду сайту. Часто у разі зараження небезпечний код можна знайти в тегах script, впізнати його можна по замаскованих різними символами посиланнями на незнайомі ресурси. Також «зайвий» код буває в тегах iframe. Особливу увагу треба звернути на файли з розширенням .js, саме вони в більшості випадків є зараженими.
Де шукати шкідливий код? Він може бути де завгодно, але пошук треба починати зі сторінок з типовими URL, наприклад /index.php або /index.html. Але таким способом доведеться витратити чимало часу на пошуки. Є досить непоганий спосіб пошуку по останніх змінах на сайті, для чого потрібно зробити сортування файлів сайту по цьому параметру. Таким способом легко відстежити файли, в які вносилися зміни без вашої участі. Дуже часто віруси маскуються під коди лічильників відвідуваності та їм подібні. Їх треба перевіряти з особливою ретельністю.
Для полегшення пошуку можна застосовувати регулярні вирази, підключаючись по протоколу SSH до сервера. Таким чином можна легко знайти ділянки коду, які з найбільшою ймовірністю можуть містити посилання на шкідливі програми. Ще існує кілька способів пошуку, наприклад, написання спеціальних скриптів, але це швидше вже інструментарій професіоналів, так як новачкові досить важко в цьому розібратися і необхідно володіти навичками програмування.
При використанні CMS WordPress або їй подібних, кількість файлів «ядра» величезна — перевіряти їх вручну немає сенсу, це відніме купу часу і сил. У цьому випадку допоможуть спеціальні плагіни для різних CMS. Наприклад, для поширеного WordPress можна використовувати плагін TAC (Theme Authenticity Checker).
Видалення шкідливого коду з сайту
Перш, ніж починати лікування сайту, треба видалити вірусну програму з локального комп'ютера, тобто розібратися з причиною зараження. Вже потім можна починати лікування самого сайту. Такі послідовні дії допоможуть уникнути можливих проблем повторно. В іншому випадку шкідливий код може з'явитися знову.
Для пошуку і видалення вірусів з самого комп'ютера можна скористатися антивірусною програмою або утилітою, можливо буде потрібно кілька перевірок різними засобами. Варто лише зазначити, що необхідно регулярно оновлювати антивірусне програмне забезпечення і використовувати утиліти останніх версій.
Потім необхідно змінити всі паролі для FTP-доступу на сайт і панель адміністратора і не зберігати їх, а вводити вручну при кожному вході. Це істотно знизить ризик виникнення проблем з шкідливими програмами.
Після того, як локальна машина вилікувана, і код зловмисників знайдений, можна приступати до видалення шкідливих рядків. При цьому необхідно чітко знати, що можна видаляти, а що не можна, щоб не порушити роботу сайту. Перед проведенням цих операцій бажано буде зробити бекап сайту для повернення до робочої версії в разі невдалого лікування.
Варто відзначити, що зловмисники не стоять на місці і постійно удосконалюють віруси і способи зараження: зокрема, вони більш ретельно маскують шкідливий код. Тому ручні способи пошуку можуть не спрацювати — користувач з невеликим досвідом має шанс просто не помітити його наявність. У цьому випадку використання останніх версій спеціальних плагінів і утиліт буде більш надійним.
Вирішення проблем з пошуковиками
Як ставляться пошуковики до заражених сайтів з точки зору ранжирування? Логіка їх дій наступна: якщо на сайті знаходиться шкідливий код, то це небезпечно для відвідувачів, отже в результатах пошуку виводиться попередження про те, що перехід на цей сайт небажаний. Відвідуваність сайту падає майже до нуля, що цілком передбачувано. Але багатьох власників сайтів хвилює питання, чи відновиться вона до колишнього рівня відвідуваності? Якщо рішення проблеми відбувається швидко, то це майже не вплине на просування: попередження для користувачів буде знято, а сайт не буде піддано пессимізації. Але якщо шкідливий код на сайті буде залишатися протягом тривалого часу, то проблеми неминучі. Пошукова система розцінює це таким чином:
- сайт «покинутий» власником;
- шкідливий код спеціально залишений на сайті власником-зловмисником.
У цих випадках сайт буде песимізовано, а його подальше просування неминуче буде пов'язано з певними труднощами. З цього випливає, що вирішувати проблеми із зараженням сайту потрібно якомога швидше. Це дасть зрозуміти пошуковикам, що власник став лише жертвою зловмисників і вживає всіх заходів для усунення проблеми, а не сприяє поширенню вірусів.
Висновки
Перш за все власнику сайту або адміністратору треба вживати всіх заходів, щоб не допустити появи шкідливого коду на сайті — не зберігати паролі, ретельно захищати від вірусів локальну машину і не відкривати підозрілих файлів.
Якщо ж все-таки відбулося зараження сайту, то не варто зневірятися і опускати руки. Треба використовувати один або декілька способів пошуку і усунення шкідливого коду. При цьому не можна відкладати лікування, треба приступати до нього як можна швидше — це дозволить не тільки швидше відновить трафік, але і уникнути проблем з просуванням в майбутньому.
- Попередня
- Наступна
Можливо вас зацікавлять подібні статті:
Коментарі
Немає коментарів до цієї статті.
Коментарі
Сергей #
Ще потрібно обов`язково згадати про проблеми в маршрутозаторах Asus. Так той же Джошуа Дрейк знайшов в них дирки. Але як казав один із відомих умників, в інтернеті безпека – це міф.
Коментувати