Поиск

www.samag.ru

Web

0 товаров , сумма 0 руб.

	Журнал "Системный администратор"
	Журнал «БИТ»
	Подписка
	Архив номеров
	Где купить
	Наука и технологии
	Авторам
	Рекламодателям
	Контакты

Опросы

Статьи

ИТ-инфраструктура

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

Открытое ПО

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

Работа с нейросетью

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

Работа с Debian

О Linux с любовью или Debian: через знание к любви

Конечно, одним лишь перечислением замечательных качеств любовь к Linux не возникнет. Для

Опрос

Защита личных и клиентских данных: как мошенники используют ИИ и как защититься?

По данным RED Security, общее число кибератак на российские компании в 2024

Опрос

Облачные инструменты для разработчиков

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Как с помощью облака сделать

Опрос

Рынок мобильных приложений: что будет актуальным в 2025 году?

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Ваши прогнозы: чего ожидать от

Рынок труда

Как успешно пройти все этапы собеседования на ИТ-должность?

По оценкам государства, дефицит ИТ-специалистов составляет от 740 тысяч до 1 миллиона

Спецпроект «Базальт СПО». Развитие Open Source в России

Алексей Смирнов: «Сейчас трудно найти программный продукт, в котором нет свободного кода»

Какое будущее ждет свободное ПО? Влияет ли свободная или несвободная разработка на

Спецпроект «Базальт СПО». Развитие Open Source в России

Николай Костригин: «Мы создали Hantis, конвейер автоматизации. Проекты, исследуемые разными инструментами, переходят от одного исполнителя к другому, развиваются, возвращаются к автору, и так по кругу»

О том, как идет работа по повышению безопасности отечественного программного обеспечения, рассказывает

1001 и 1 книга

19.03.2018г.

Комментарии: 0

Машинное обучение с использованием библиотеки Н2О

12.03.2018г.

Комментарии: 0

Особенности киберпреступлений в России: инструменты нападения и защита информации

12.03.2018г.

Комментарии: 0

Глубокое обучение с точки зрения практика

12.03.2018г.

Комментарии: 0

Изучаем pandas

12.03.2018г.

Комментарии: 0

Программирование на языке Rust (Цветное издание)

19.12.2017г.

Комментарии: 0

Глубокое обучение

19.12.2017г.

Комментарии: 0

Анализ социальных медиа на Python

19.12.2017г.

Комментарии: 0

Основы блокчейна

19.12.2017г.

Комментарии: 0

Java 9. Полный обзор нововведений

16.02.2017г.

Комментарии: 0

Опоздавших не бывает, или книга о стеке

17.05.2016г.

Комментарии: 0

Теория вычислений для программистов

30.03.2015г.

Комментарии: 0

От математики к обобщенному программированию

18.02.2014г.

Комментарии: 0

Рецензия на книгу «Читаем Тьюринга»

13.02.2014г.

Комментарии: 0

Читайте, размышляйте, действуйте

12.02.2014г.

Комментарии: 0

Рисуем наши мысли

10.02.2014г.

Комментарии: 4

Страна в цифрах

18.12.2013г.

Комментарии: 0

Большие данные меняют нашу жизнь

18.12.2013г.

Комментарии: 0

Компьютерные технологии – корень зла для точки роста

04.12.2013г.

Комментарии: 0

Паутина в облаках

03.12.2013г.

Комментарии: 1

Рецензия на книгу «MongoDB в действии»

Друзья сайта

Файловый вирус Win32.Sector заразил более миллиона компьютеров

Источник: www.samag.ru

21 мая 2014 года

Среди вредоносных программ файловые вирусы встречаются не слишком часто, поэтому вирус Win32.Sector, с использованием которого злоумышленники создали обширный ботнет, представляет для специалистов по информационной безопасности особый интерес. Аналитики компании «Доктор Веб» исследовали этот вирус и смогли оценить текущие масштабы заражения.

Вредоносная программа Win32.Sector известна с 2008 года и представляет собой сложный полиморфный вирус, способный распространяться самостоятельно (без участия пользователей) и заражать файловые объекты. Его основная функция — загрузка из P2P-сети и запуск на зараженной машине различных исполняемых файлов. Эта вредоносная программа способна встраиваться в запущенные на инфицированном компьютере процессы, а также обладает возможностью останавливать работу некоторых антивирусных программ и блокировать доступ к сайтам их разработчиков. Вирус может инфицировать файловые объекты на локальных дисках и сменных носителях (где в процессе заражения создает файл автозапуска autorun.inf), а также файлы, хранящиеся в общедоступных сетевых папках. На сегодняшний день известно несколько модификаций Win32.Sector, различающихся реализацией протокола обмена данными в P2P-сети и другими структурными особенностями.

В силу своей архитектуры Win32.Sector не имеет управляющих серверов, вместо этого он использует соединение с другими ботами, работающими на зараженных машинах. Вирус определяет, имеет ли компьютер внешний IP-адрес или работает в сети, использующей NAT. После своего запуска на зараженном компьютере Win32.Sector использует начальный список IP-адресов других ботов, с которыми устанавливает соединение. Если эта операция завершилась успешно, вирус выполняет следующие команды:

Запрос файла конфигурации с URL для загрузки файлов (используется протокол UDP).
Запрос плагинов (используется протокол TCP).
Проверка наличия NAT – если он отсутствует, бот получает уникальный идентификационный номер ID (используется протокол UDP).
Получение IP-адреса другой инфицированной машины для установки соединения (используется протокол UDP).

С использованием команды 3 работающий на зараженной машине вирус начинает выполнять функции маршрутизатора: с ним соединяются другие боты, действующие в сетях с NAT и не имеющие внешнего IP-адреса. Команда 4 позволяет получить список IP-адресов других инфицированных компьютеров. С помощью этих двух команд специалисты компании «Доктор Веб» получили возможность подсчитать общее количество инфицированных узлов ботнета и оценить масштабы распространения угрозы.

По информации на 20 мая 2014 года, в ботнете Win32.Sector насчитывается 1 197 739 уникальных ботов, из них 109 783 имеют внешний IP-адрес и могут выступать в роли маршрутизаторов для других зараженных узлов. Динамику роста ботнета можно проследить на представленном ниже графике:

В среднем ежесуточно активность проявляет около 60 000 инфицированных компьютеров. График активности бот-сети Win32.Sector представлен ниже:

С точки зрения географии распространения, больше всего зараженных вирусом Win32.Sector компьютеров расположено на территории Тайваня — 212 401. На втором месте по числу заражений находится Египет (108 770), на третьем — Индия (106 249). В России зафиксировано 15 600 инфицированных компьютеров. Распространение файлового вируса Win32.Sector по странам мира показано на иллюстрации ниже:

В настоящее время с использованием бот-сети Win32.Sector распространяется несколько вредоносных программ:

Trojan.PWS.Stealer.1630 — программа для хищения паролей и другой конфиденциальной информации;
Trojan.Mssmsgs.4048 — плагин для рассылки спама;
Trojan.DownLoader8.17844 — http- и socks5-прокси;
Trojan.DownLoader10.49375 — http- и socks5-прокси;
Trojan.Siggen6.11882 — DNS-туннель (53 udp порт), ТСР-туннель (80 порт);
Trojan.Rbrute — троянец для взлома Wi-Fi-роутеров;
Trojan.Proxy.26841— туннель для передачи http-трафика на заданные узлы.

Все перечисленные угрозы, включая сам файловый вирус Win32.Sector, успешно детектируются и удаляются антивирусными программами Dr.Web, поэтому не представляют угрозы для их пользователей. Специалисты компании продолжают следить за дальнейшим развитием ситуации.

Tel.: (499) 277-12-45
E-mail: sa@samag.ru