среда, 10 апреля 2013 г.

Компания ESET выпустила предрелизную версию продукта для SharePoint Server


Компания ESET, ведущий международный разработчик антивирусного ПО и эксперт в сфере киберпреступности и защиты от компьютерных угроз, сообщает о выходе предрелизной версии нового корпоративного продукта ESET NOD32 Security для Microsoft SharePoint Server, открытой для свободного тестирования.

ESET разработало свой первый продукт для Microsoft SharePoint Server, расширяющий линейку корпоративных решений компании. Он содержит преимущества флагманского продукта ESET File Security для Microsoft Windows Server, а также включает новый компонент для SharePoint, благодаря которому все компании, использующие решения семейства SharePoint Server (включая новый Microsoft SharePoint Server 2013), смогут надежно защитить корпоративную информацию и базы данных от информационных угроз.

С помощью данного решения ESET системные администраторы смогут применять комплексные политики безопасности, настраивать параметры антивирусной проверки, а также выполнять глубокое сканирование хранилища данных SharePoint как в ручном режиме, так и по расписанию.

При проверке ESET NOD32 Security для Microsoft SharePoint Server исключает критические файлы, тем самым снижая нагрузку на систему, увеличивая производительность и минимизируя риски критических сбоев. Кроме того, продукт автоматически распознает серверное программное обеспечение Microsoft SQL Server и Microsoft IIS.

Стоит отметить, что для проверки системы используется режим многопоточного сканирования, не влияющий на производительность сервера, чему также способствуют минимальные системные требования продукта и его оптимизация для работы в серверной среде.

Самозащита продукта предотвращает попытки вредоносных программ и неавторизованных пользователей отключить систему безопасности корпоративной сети. Для большей сохранности корпоративной информации и повышения уровня безопасности в компании, решение позволяет отследить пользователя, действия которого привели к попаданию угрозы в сеть.

Следует отметить, что данная версия продукта не является финальной, поэтому его установка рекомендуется только в целях тестирования. Предрелизная версия ESET NOD32 Security для Microsoft SharePoint Server открыта для свободной загрузки и тестирования всеми заинтересованными лицами.

суббота, 6 апреля 2013 г.

Обзор информационных угроз марта 2013 года


Компания ESET, ведущий международный разработчик антивирусного ПО и эксперт в сфере киберпреступности и защиты от компьютерных угроз, представляет отчет о наиболее активных угрозах марта 2013 года.

Как и в прошлые месяцы, троянская программа Win32/Qhost возглавляет рейтинг угроз по России, причем с большим отрывом от остальных угроз «десятки». В то же время ее активность продолжает снижаться уже третий месяц, с 15,91% в январе до 11,98% в марте 2013 года.
Эта вредоносная программа осуществляет модификацию файла hosts для перенаправления пользователя на фишинговые ресурсы. Ее высокая активность, прежде всего, связана с довольно простой техникой работы, используемой ею, а также с широким спектром фишинговых ресурсов.

В целом угрозы по России показывают различную динамику. Тенденцию к росту продемонстрировали троянские программы Win32/StartPage (1,12%), Win32/Bicololo (2,84%), червь Win32/Dorkbot (2,04%), а также вредоносные объекты веб-страниц HTML/ScrInject (3,90%) и JS/Iframe (3,16%).

Win32/Bicololo демонстрирует уверенный рост на протяжении трех последних месяцев – в январе его уровень распространенности составлял 2,07%. Кроме Win32/Qhost, тенденцию к спаду активности продемонстрировали Win32/Conficker (1,20), HTML/IFrame (1,95%), INF/Autorun (1,95%) и Win32/Spy.Ursnif (2,71%). В марте общая доля России в мировом объеме вредоносного ПО составила 8,14%.

Файловые инфекторы по-прежнему находятся в десятке глобальных угроз; как и в прошлый месяц, их представляют Win32/Sality (2,84%), Win32/Ramnit (1,68%), Win32/Virut (1,08%). В марте каждый из них продемонстрировал незначительный спад.

Кроме этих вирусов, тенденцию к спаду показали и другие угрозы: Win32/Conficker (2,18%), Win32/Dorkbot (2,00%), Win32/Qhost (1,67%), HTML/IFrame (1,63%). В марте рост был отмечен только у HTML/ScrInject (2,99%), INF/Autorun (2,95%) и Win32/Bundpil (1,34%). Червь Win32/Bundpil, как и Win32/Dorkbot, распространяется через съемные носители, полагаясь на включенный автозапуск в ОС.

Глобальная статистика угроз выглядит следующим образом:

Угроза Уровень распространенности Динамика
HTML/ScrInject 2,99% +
INF/Autorun 2,95% +
Win32/Sality 2,84% -
Win32/Conficker 2,18% -
Win32/Dorkbot 2,00% -
Win32/Ramnit 1,68% -
Win32/Qhost 1,67% -
HTML/IFrame 1,63% -
Win32/Bundpil 1,34% +
Win32/Virut 1,08% -

Статистика угроз по России:

Угроза Уровень распространенности Динамика
Win32/Qhost11,98%-
HTML/ScrInject3,90%+
JS/IFrame3,16%+
Win32/Bicololo2,84%+
Win32/Spy.Ursnif2,71%-
Win32/Dorkbot2,04%+
INF/Autorun1,95%-
HTML/IFrame1,95%-
Win32/Conficker1,20%-
Win32/StartPage1,12%+

вторник, 2 апреля 2013 г.

ESET: Банковский троян Carberp использует новые техники атак на популярные клиенты систем ДБО


Компания ESET, ведущий международный разработчик антивирусного ПО и эксперт в сфере киберпреступности и защиты от компьютерных угроз, предупреждает о появлении новой модификации троянской программы Carberp, способной использовать легальное ПО для хищения денежных средств, а также обходить механизм двухфакторной аутентификации с применением одноразовых паролей.

Эксперты вирусной лаборатории ESET обнаружили новую версию банковского трояна Carberp. В результате его анализа было установлено, что вредоносный код начал использовать специальную Java-библиотеку с открытым исходным кодом (т.н. Javassist). С ее помощью Carberp может модифицировать банковское ПО, основанное на языке программирования Java.
Хакерская группа Carberp была одной из первых киберпреступных групп, использовавших вредоносные программы для массового заражения систем удаленного банковского обслуживания. И хотя летом 2012 года многие члены группы Carberp были арестованы, семейство этих вредоносных программ сохраняет высокую активность, особенно в России и на Украине.

«Мы наблюдаем за Carberp достаточно давно и можем разделить время его активности на два больших периода: уверенный рост до лета 2012 года и уверенный спад после. Такое падение активности этого вредоносного кода связано, прежде всего, с арестами членов этой киберпреступной группы, которые занимались его дистрибуцией и распространением. В то же время мы отмечаем, что код бота продолжал свое развитие несмотря ни на что. Это является дополнительным свидетельством того, что написание и распространение вредоносного кода могут осуществляться разными лицами или группами лиц» — говорит старший вирусный аналитик ESET Артем Баранов.

Основной целью новой версии Carberp является модификация программного комплекса iBank 2 компании БИФИТ, который широко применяется для дистанционного банковского обслуживания пользователей в России и на Украине. Для достижения этой цели Carberp использует вредоносный java-модуль, который детектируется ESET как Java/Spy.Banker.AB. Функционал данного модуля позволяет обходить системы двухфакторной аутентификации с использованием одноразовых паролей.

Еще одной особенностью вредоносного модуля Java/Spy.Banker является применение легитимной библиотеки для модификации кода банковского ПО; такая методика позволяет Carberp лучше скрываться в системе и усложняет распознавание угрозы антивирусными продуктами.

«Киберпреступная группа Carberp одной из первых стала целенаправленно атаковать популярные ДБО системы на территории России и Украины. Ущерб, нанесенный этими киберпреступниками, исчисляется миллиардами рублей; их методы атак постоянно эволюционируют. Нам удалось зафиксировать использование нового вредоносного компонента, целенаправленно атакующего системы дистанционного банковского обслуживания iBank2, построенные на базе программного обеспечения компании БИФИТ, — комментирует руководитель центра вирусных исследований и аналитики ESET Александр Матросов. — На момент проведения нашего исследования вредоносный компонент Java/Spy.Banker.AB имел крайне низкий уровень обнаружения со стороны других поставщиков антивирусного ПО ввиду своих технологических особенностей и использования легальной библиотеки для модификации Java байт-кода в процессе активности iBank2-клиента».

После успешного заражения ПК и внедрения в клиент системы дистанционного банковского обслуживания, злоумышленники получают возможность контролировать все платежи, которые пользователь осуществляет при помощи этого банковского ПО. Комплекс iBank2 не проверяет целостность своего кода и может осуществлять денежные транзакции даже после модификации.

Следует отметить, что решения ESET успешно детектируют как вредоносный код Carberp, так и его компоненты.