Artykuły dotyczące tematu: Kaspersky Lab

dodany: 02.08.2013 | tagi: , ,

34% firm ryzykuje wyciekiem danych, nie kontrolując prywatnych urządzeń w miejscu pracy

63

W listopadzie 2012 roku Kaspersky Lab, wraz ze specjalistami ds. badań rynku z B2B International, przeprowadził badanie wśród ponad 5 000 starszych menadżerów IT z różnych firm na całym świecie. Wyniki pokazują, że większość firm nie poświęca wystarczającej uwagi kwestii zabezpieczenia korporacyjnych urządzeń mobilnych oraz przechowywanych na nich danych. W szczególności 34% respondentów przyznało, że ich firma nie wykorzystuje rozwiązań do zarządzania urządzeniami mobilnymi (MDM).

Mobilne zagrożenia znacząco ewoluowały w ciągu ostatnich lat. Ponieważ coraz więcej urządzeń z Androidem posiada dostęp do Internetu, nastąpił gwałtowny wzrost ilości szkodliwego oprogramowania atakującego system operacyjny firmy Google. Dodatkowo coraz większą popularnością cieszy się model pracy zezwalający na przynoszenie prywatnych urządzeń (z ang. Bring Your Own Device, w skr. BYOD) i coraz więcej pracowników aktywnie wykorzystuje własny sprzęt w celach związanych z pracą, np. do dostępu do firmowej poczty. Jeżeli firma nie reguluje wykorzystywania prywatnych smartfonów i tabletów mających dostęp do korporacyjnej infrastruktury IT, poufne informacje zaczną wyciekać z systemu – jest to tylko kwestia czasu. Wyciek może zostać spowodowany infekcją szkodliwego oprogramowania lub zgubieniem urządzenia przez pracownika; w obu przypadkach rezultat jest taki sam – dane zostają utracone lub wpadają w niepowołane ręce.

Rozwiązaniu problemów związanych z prywatnymi i korporacyjnymi urządzeniami mobilnymi służą wyspecjalizowane rozwiązania MDM wykorzystywane przez 28% przebadanych firm. Kolejne 29% firm częściowo wdrożyło rozwiązania MDM. Niestety, częściowe wdrożenie nie jest w stanie zapewnić bezpieczeństwa wszystkim urządzeniom mobilnym oraz przechowywanym na nich danym.

W celu zapewnienia pełnego bezpieczeństwa dla strategii BYOD Kaspersky Lab opracował rozwiązanie Kaspersky Mobile Device Management – narzędzie wchodzące w skład wszechstronnej biznesowej platformy bezpieczeństwa Kaspersky Endpoint Security for Business. Kaspersky MDM zabezpiecza zarówno biznesowe, jak i prywatne smartfony oraz tablety, wraz ze wszystkimi przechowywanymi na nich danymi korporacyjnymi. Jedna konsola do scentralizowanego zarządzania bezpieczeństwem dostarcza szczegółowe informacje administratorowi systemu na temat aktywności wszystkich urządzeń mobilnych podłączonych do sieci korporacyjnej. Narzędzie to pozwala również administratorowi zdalnie skonfigurować grupy urządzeń mobilnych lub indywidualne urządzenia – bez ruszania się z miejsca.

Źródło: Kaspersky Lab

dodany: 01.08.2013 | tagi: , ,

Spam w czerwcu 2013 r.: Poznaj sekret sukcesu Steve’a Jobsa

1

Według danych Kaspersky Lab, w czerwcu odsetek spamu w ruchu e-mail zwiększył się o 1,4 punktu procentowego w porównaniu z majem i wynosił średnio 71,1%. Szkodliwe załączniki zostały zidentyfikowane w 1,8% wszystkich wiadomości e-mail na całym świecie.

W zeszłym miesiącu spamerzy aktywnie wykorzystywali nazwisko Steve’a Jobsa, założyciela firmy Apple. Nagłówek niechcianej wiadomości zachęcał odbiorcę do poznania sekretu sukcesu tego znanego biznesmena, a jej treść zawierała reklamę darmowych szkoleń. Ich organizatorzy obiecywali, że w ciągu zaledwie 1,5 godziny nauczą każdego, jak zmienić swoje hobby w dochodowy biznes. Steve Jobs posłużył jako wabik mający przyciągnąć uwagę odbiorców.

Oprócz ofert szkoleń obiecujących ujawnienie sekretu sukcesu Steve’a Jobsa eksperci z Kaspersky Lab zidentyfikowali w czerwcu wiadomości spamowe oferujące znaczne obniżki na urządzenia firmy Apple. Aby wysyłka bardziej przypominała legalną, oszuści wpisywali słowo Apple w polu „Od”, mimo że adres e-mail nie miał nic wspólnego z tą firmą. Autorzy tych wiadomości podkreślali, że liczba towarów jest ograniczona i należy się spieszyć. Ta popularna sztuczka miała skłonić użytkowników do szybszego podjęcia decyzji, a tym samym kliknięcia odsyłacza i zamówienia towarów.

Spamerzy promowali również gwarantowane miejsca na uniwersytetach w Stanach Zjednoczonych oraz edukację online. Wiadomości te często zawierały odsyłacze do stron z formularzami zgłoszeniowymi na dany kurs. Warto zauważyć, że adresy stron internetowych różnią się w zależności od e-maila i często są tworzone w dniu dystrybucji wysyłki. W ten sposób autorzy masowej wysyłki prawdopodobnie zbierają osobiste dane użytkowników.

W czerwcu spamerzy nadal stosowali znane sztuczki. Odnotowaliśmy kilka masowych wysyłek reklamujących zarówno tradycyjne, jak i elektroniczne papierosy, w których organizatorzy wykorzystywali usługę Tłumacza Google do przetwarzania odsyłaczy. Co więcej, spamerzy dodawali na koniec odsyłaczy losowo generowany zestaw liter i nazw domen Google w różnych językach

– tłumaczy Tatiana Szczerbakowa, starszy analityk spamu, Kaspersky Lab.

W czerwcu ponad połowa globalnego spamu pochodziła z Chin (24%) oraz Stanów Zjednoczonych (17%). Na trzecim miejscu znalazła się Korea Południowa, która odpowiadała za 14% całego rozprzestrzenianego spamu.

klp_zrodla_spamu_swiat_czerwiec_2013

Korea Południowa pozostała czołowym źródłem spamu wysyłanego do użytkowników europejskich (53,3%): udział tego kraju zwiększył się o 9,6 punktu procentowego. Stany Zjednoczone (4,6%) i Wietnam (3,7%) spadły na 4 i 5 pozycję, ustępując odpowiednio miejsca Włochom (6,7%) i Tajwanowi (5%). Udział Włoch zwiększył się o 3,9 punktu procentowego w porównaniu z majem, gdy państwo to znalazło się dopiero na 7 miejscu w rankingu.

klp_zrodla_spamu_europa_czerwiec_2013

Szkodliwe załączniki zostały wykryte w 1,8% wszystkich e-maili. Podobnie jak w poprzednim miesiącu, oszuści często stosowali swój ulubiony chwyt – powiadomienia wysyłane w imieniu znanych firm.

W czerwcu znacznie zwiększyła się liczba ataków na systemy e-mail i komunikatory internetowe, ponieważ latem rośnie liczba użytkowników poczty elektronicznej i takich programów jak ICQ, Jabber czy Skype. Istnieje duże zapotrzebowanie na tego typu konta na czarnym rynku, co zachęca phisherów do przechwytywania danych dotyczących logowania.

Pełna wersja raportu spamowego dla czerwca 2013 r. jest dostępna w serwisie SecureList.pl prowadzonym przez Kaspersky Lab.

Źródło: Kaspersky Lab

dodany: 27.06.2013 | tagi: , ,

Spam w maju 2013 r.: „Złoty bilet” Microsoftu

0

W maju odsetek spamu w ruchu pocztowym zmniejszył się o 2,5 punktu procentowego i wynosił średnio 69,7%. Eksperci z Kaspersky Lab odnotowali bardzo niewielki wzrost udziału wiadomości phishingowych w porównaniu z kwietniem, natomiast szkodliwe załączniki zostały wykryte w 2,8% e-maili – co stanowi wzrost o 0,4 proc. w stosunku do poprzedniego miesiąca. Próbując przekonać użytkowników, aby otworzyli takie załączniki, spamerzy podrabiali legalne powiadomienia z popularnych serwisów internetowych i firm kurierskich, takich jak Amazon, UPS czy Western Union. Zgodnie z przewidywaniami, najatrakcyjniejszym celem phisherów pozostały portale społecznościowe.

Większość światowego spamu pochodziła z dwóch państw – z Chin (21,4%) oraz Stanów Zjednoczonych (16,3%). Pierwszą trójkę zamknęła Korea Południowa – wkład tego państwa wciąż rósł i w maju osiągnął 12%.

klp_zrodla_spamu_maj_2013

Spamerzy nadal wykorzystywali święta narodowe – Dzień Matki i Dzień Pamięci (obchodzony w Stanach Zjednoczonych) – w celu reklamowania towarów i usług. Dzień Matki stanowi drugie po walentynkach święto najaktywniej wykorzystywane w wysyłkach spamowych, a ilość spamu dystrybuowanego za pośrednictwem „kwiatowych” programów partnerskich znacznie wzrasta w dniach i tygodniach poprzedzających tę datę.

Eksperci z Kaspersky Lab ostrzegają, że nie wszystkie z tych „świątecznych” wiadomości spamowych są nieszkodliwe – głównym celem spamerów mogą być osobiste dane użytkowników – w tym bankowe dane uwierzytelniające. Przykładem są wysłane w maju wiadomości phishingowe, które podszywały się pod e-maile z działu obsługi klientów firmy Microsoft, a ich głównym celem była kradzież danych osobistych.

Wiadomości te, które na pierwszy rzut oka wydawały się pochodzić z domeny microsoft.com, informowały o planowanym zawieszeniu usługi „Microsoft Window Records”, wynikającym z tego, że użytkownik nie zainstalował aktualizacji rzekomo zalecanych we wcześniejszych wiadomościach. Odbiorcy zostali poinstruowani, że aby temu zapobiec, należy jak najszybciej kliknąć zawarty w e-mailu odsyłacz. Użytkownicy, którzy dali się nabrać na to oszustwo, zostali przekierowani na stronę phishingową stworzoną w celu kradzieży informacji osobistych.

Inne masowe wysyłki zawierały fałszywe powiadomienia o wygranych w nieistniejącej loterii, która została rzekomo zorganizowana przez firmę Microsoft. W niektórych wysyłkach oszuści wysyłali powiadomienia o rzekomej wygranej i prosili odbiorców o skontaktowanie się z nimi w celu uzyskania dalszych informacji, podczas gdy inne wiadomości obiecywały ogromne kwoty, w zamian prosząc o przelanie niewielkiej sumy na pokrycie kosztów operacyjnych.

Wraz ze zbliżającym się okresem letnich wakacji eksperci przewidują dalszy wzrost liczby fałszywych powiadomień, w których cyberprzestępcy będą podszywali się pod znane firmy.

Zalecamy ostrożność w przypadku otrzymania powiadomienia z jakiegokolwiek serwisu. Warto pamiętać, że oficjalne wysyłki nigdy nie są wysyłane w celu poproszenia klientów o podanie lub potwierdzenie informacji osobistych lub bankowych za pośrednictwem odsyłaczy zawartych w e-mailach. Nie straszą również zablokowaniem kont klientów. Nigdy nie należy klikać odsyłaczy zablokowanych przez program antywirusowy lub przeglądarkę. Zawsze trzeba zwracać uwagę na odsyłacze zawarte w wiadomości – jeżeli taki odsyłacz prowadzi do nieoficjalnej strony lub jeśli treść wiadomości zawiera adres oficjalnej strony, podczas gdy odsyłacz prowadzi do innej, może to oznaczać, że mamy do czynienia z wiadomością phishingową. W razie jakichkolwiek wątpliwości co do autentyczności e-maila, warto skontaktować się z działem obsługi klientów organizacji, która wysyłała tę wiadomość, i dowiedzieć się, czy taka masowa wysyłka rzeczywiście miała miejsce

– powiedziała Daria Gudkowa, szefowa działu badań i analizy zawartości, Kaspersky Lab.

Pełna wersja raportu spamowego dla maja 2013 jest dostępna w serwisie SecureList.pl.

Źródło: Kaspersky Lab

dodany: 22.04.2013 | tagi: , , ,

Kaspersky Lab przedstawia innowacyjną ochronę dla UEFI

0

Kaspersky Lab informuje o premierze Kaspersky Anti-Virus for UEFI (KUEFI) – przełomowego produktu do ochrony przed szkodliwym oprogramowaniem, który zabezpiecza komputery użytkowników jeszcze przed rozpoczęciem uruchamiania systemu operacyjnego.

UEFI, czyli „Unified Extensible Firmware Interface”, został opracowany przez Unified EFI Forum. Jest to nowy model interfejsu pomiędzy systemami operacyjnymi dla komputerów osobistych a oprogramowaniem systemowym (z ang. firmware). Uznany za duchowego następcę BIOS-u, UEFI oferuje obsługę nowych technologii, szeroki wachlarz możliwości dla programistów oraz udoskonalenie procedury startu komputera. Specyfikacja UEFI wspomaga bezpieczeństwo, a także gwarantuje szybszy czas rozruchu i większą wydajność sprzętu komputerowego.

Specyfikacja UEFI umożliwia między innymi osadzenie rozwiązania bezpieczeństwa bezpośrednio w układzie elektronicznym. Kaspersky Lab wykorzystał te możliwości do stworzenia pierwszego na świecie – i jak na razie jedynego – kompatybilnego z UEFI produktu do ochrony przed szkodliwym oprogramowaniem, który pozwala na skanowanie wybranych plików systemowych oraz adresów pamięci, zanim jeszcze system operacyjny zacznie się ładować. Zalet takiego podejścia nie można przecenić. Wcześniej rootkity i bootkity mogły osadzić się głęboko w systemie operacyjnym i załadować przed konwencjonalnym rozwiązaniem bezpieczeństwa, a tym samym ukryć swoją aktywność przed produktem antywirusowym, a nawet całkowicie uniemożliwić start ochrony.

Dzięki ładowaniu się bezpośrednio z ROM-u, który jest wolny od jakichkolwiek błędów, KUEFI będzie mógł skanować pliki systemowe, zanim zostaną załadowane i wykrywać w nich wszelkie zagrożenia. Wykorzystując przełomowe technologie firmy Kaspersky Lab oraz wielokrotnie nagradzany silnik Kaspersky Anti-Virus, rozwiązanie oferuje elastyczne ustawienia skanowania, umożliwiając osiągnięcie pożądanej równowagi między wydajnością a skutecznością oraz uzyskanie dokładnie takiego poziomu szybkości ochrony, jakiego potrzebuje użytkownik. W zależności od trybu użytkowania, po wykryciu zagrożenia KUEFI może ostrzec użytkownika lub całkowicie zablokować proces rozruchu komputera do czasu rozwiązania problemu przez wykwalifikowanego specjalistę.

Jestem niezwykle podekscytowany tą zapowiedzią – wprowadzenie KUEFI może zapewnić nam przewagę, której tak długo szukaliśmy podczas naszych zmagań ze szkodliwym oprogramowaniem. Wcześniej cyberprzestępcy zawsze mieli przewagę – jako pierwsi znajdowali tylne furtki w zabezpieczeniach, słabe punkty lub luki zero-day i po prostu musieliśmy znaleźć na to jakiś sposób

– powiedział Nikołaj Griebiennikow, dyrektor ds. technologii, Kaspersky Lab.

Rozwiązanie KUEFI powstało z myślą o organizacjach, w których obowiązują najwyższe standardy bezpieczeństwa IT, takich jak organy państwowe i wojskowe, elektrownie czy spółki przemysłowe. Nowy produkt znajdzie także zastosowanie we wszelkich przedsiębiorstwach, w których incydenty związane z atakami szkodliwego oprogramowania i wycieki danych są traktowane jako najpoważniejsze zagrożenie.

 

Źródło: Kaspersky Lab

dodany: 12.04.2013 | tagi: , , , ,

Kampania cyberszpiegowska wymierzona w firmy produkujące gry online

0

Zespół ekspertów z Kaspersky Lab dokonał szczegółowej analizy aktywnej kampanii cyberszpiegowskiej prowadzonej przez cyberprzestępców z organizacji znanej jako „Winnti”. Według raportu Kaspersky Lab grupa Winnti od 2009 r. atakuje firmy zajmujące się produkcją gier online. Działania grupy obejmują kradzież cyfrowych certyfikatów podpisanych przez legalnych producentów oprogramowania oraz kradzież własności intelektualnej, w tym kodu źródłowego projektów gier internetowych.

Pierwszy incydent, który skierował uwagę na szkodliwe działania grupy Winnti, miał miejsce jesienią 2011 r., kiedy to na dużej liczbie komputerów użytkowników końcowych na całym świecie został wykryty złośliwy trojan. Wyraźnym związkiem pomiędzy wszystkimi zainfekowanymi komputerami było to, że były one używane do grania w popularną grę online. Wkrótce po tym incydencie okazało się, że złośliwy program infekujący komputery użytkowników był częścią aktualizacji oprogramowania i pochodził z oficjalnego serwera firmy produkującej grę. Użytkownicy, których komputery zostały zainfekowane i członkowie społeczności graczy podejrzewali, że wydawca gier komputerowych celowo wymusił zainstalowanie złośliwego oprogramowania, aby szpiegować swoich klientów. Jednak później okazało się, że szkodliwy program został zainstalowany na komputerach graczy przez przypadek, a rzeczywistym celem cyberprzestępców była właśnie firma produkująca gry komputerowe.

W odpowiedzi na incydent wydawca gier komputerowych, który był właścicielem serwerów rozprzestrzeniających trojana, zwrócił się do Kaspersky Lab z prośbą o analizę szkodliwego programu. Trojan okazał się być biblioteką DLL, przygotowaną dla 64-bitowego środowiska Windows i używającą prawidłowo podpisanego złośliwego certyfikatu. Szkodnik był w pełni funkcjonalnym narzędziem zdalnej administracji (RAT – Remote Administration Tool), które dawało napastnikowi możliwość kontrolowania komputera użytkownika bez jego wiedzy. Odkrycie było szczególnie ważne, ponieważ analizowany trojan był pierwszym szkodliwym programem na 64-bitową wersję systemu Microsoft Windows, który posiadał ważny podpis cyfrowy.

Specjaliści z Kaspersky Lab rozpoczęli analizę kampanii prowadzonej przez grupę Winnti. Na drodze dochodzenia okazało się, że ofiarami infekcji było ponad 30 firm z branży gier komputerowych. Większość z nich to firmy programistyczne produkujące gry wideo w Azji Południowo-Wschodniej, ale także producenci gier online z Niemiec, Stanów Zjednoczonych, Japonii, Chin, Rosji, Brazylii, Peru i Białorusi.

 

Fragment kodu winnti

Fragment kodu winnti

 

Oprócz procederu szpiegostwa przemysłowego eksperci z Kaspersky Lab zidentyfikowali trzy główne systemy zarabiania pieniędzy, które mogą być wykorzystywane przez grupę Winnti do generowania nielegalnego przychodu:

  • Manipulowanie gromadzeniem waluty wewnątrz gier („runy”, „złoto” itp.), która jest wykorzystywana przez graczy do zamiany dóbr wirtualnych na prawdziwe pieniądze.
  • Używanie kodu źródłowego skradzionego z serwerów gier internetowych do wyszukiwania luk w zabezpieczeniach wewnątrz gier w celu zwiększenia przychodów wirtualnej waluty i jej akumulacji bez wywoływania żadnych podejrzeń.
  • Używanie kodu źródłowego skradzionego z serwerów popularnych gier online do wdrażania własnych pirackich serwerów.

Obecnie grupa Winnti pozostaje nadal aktywna, a śledztwo Kaspersky Lab jest w toku. Zespół ekspertów z firmy ściśle współpracuje ze społecznością zaangażowaną w bezpieczeństwo IT, przemysłem gier online i instytutami certyfikacji w celu identyfikacji kolejnych zainfekowanych serwerów i udzielania pomocy przy odwoływaniu skradzionych certyfikatów.

Więcej informacji dotyczących kampanii prowadzonej przez grupę Winnti, wraz ze szczegółową analizą techniczną, pojawi się już wkrótce w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab.

Produkty Kaspersky Lab wykrywają i neutralizują szkodliwe oprogramowanie wykorzystywane przez grupę Winnti. Szkodniki klasyfikowane są jako: Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti oraz Rootkit.Win64.Winnti.

Źródło: Kaspersky Lab

dodany: 02.04.2013 | tagi: ,

Kaspersky Lab wspiera inicjatywę INTERPOL Global Complex for Innovation

0

Kaspersky Lab zobowiązał się do ścisłej współpracy z INTERPOL Global Complex for Innovation (IGCI). Decyzja ta została ogłoszona po spotkaniu, w którym uczestniczył Jewgienij Kasperski, dyrektor generalny i współzałożyciel Kaspersky Lab, Ronald Noble, Sekretarz Generalny INTERPOLu, oraz Noboru Nakatani, dyrektor generalny IGCI, zorganizowanym 19 marca 2013 roku w siedzibie głównej Kaspersky Lab w Moskwie.

Główne punkty agendy spotkania obejmowały tematy dotyczące cyberprzestępczości i pojawiających się cyberzagrożeń, jak również istoty współpracy w walce z cyberprzestępcami w celu zapewnienia większego bezpieczeństwa w internecie. Kluczowym efektem spotkania było potwierdzenie przez Kaspersky Lab planów oddelegowania swoich najlepszych ekspertów do laboratorium IGCI, po tym jak zostanie uruchomione w 2014 roku, oraz zapewniania regularnego szerokiego wsparcia oraz informacji dotyczących zagrożeń. Kaspersky Lab zobowiązał się również wspomóc IGCI w jego działaniach ukierunkowanych na budowę potencjału w celu zwiększenia możliwości organów ścigania na całym świecie w zakresie zwalczania cyberzagrożeń.

IGCI wyposaży międzynarodową cyberpolicję w narzędzia oraz wiedzę niezbędne do lepszego reagowania na zagrożenia cybernetyczne XXI wieku, np. poprzez identyfikowanie cyberprzestępców oraz oferowanie innowacyjnego szkolenia i wsparcia operacyjnego organom ścigania na całym świecie.

Komentując spotkanie z INTERPOLem i planowaną bliską współpracę, Jewgienij Kasperski powiedział:

 Niezmiernie cieszę się z wyniku tego spotkania. Przez ponad dziesięć lat forsowałem ideę stworzenia organizacji, którą określałem jako ‘Internet-INTERPOL’, i w końcu stało się to rzeczywistością. W związku z tym całym sercem popieramy tę inicjatywę, co potwierdzają nasze plany oddelegowania niektórych z naszych najlepszych analityków do IGCI w Singapurze. Wkrótce cyberprzestępcy nie znajdą miejsca, w którym mogliby się ukryć – nie będą mogli zakopać się w tym czy innym państwie, tak jak robili to do tej pory. Sieć zacieśnia się wokół cyberprzestępców. 

Dyrektor wykonawczy IGCI, pan Nakatani, powiedział:

Dzięki wparciu dla INTERPOL Global Complex for Innovation zapowiedzianemu przez Jewgienija Kasperskiego, założyciela i dyrektora generalnego Kaspersky Lab, organy ścigania w naszych 190 państwach członkowskich będą mogły korzystać z wiedzy specjalistycznej umożliwiającej wygenerowanie odpowiednich informacji, które pozwolą im chronić cyberprzestrzeń i pociągać cyberprzestępców do odpowiedzialności karnej. 

Sekretarz generalny INTERPOLu, Ronald Noble, potwierdził odczucia obu swoich odpowiedników, dodając:

Międzynarodowej przestępczości nie da się zwalczać w pojedynkę, dlatego bardzo istotne jest korzystanie z doświadczenia i wsparcia sektora prywatnego. Przeciwdziałanie cyberprzestępczości wymaga współpracy, zarówno na poziomie krajowym, jak i międzynarodowym, organów ścigania z sektorem prywatnym, a zwłaszcza z tak dalekowzrocznymi liderami branży technologicznej jak Kaspersky Lab, w celu dotrzymania kroku dzisiejszym cyberprzestępcom.

Źródło: Kaspersky Lab

dodany: 30.03.2013 | tagi: , ,

10 aresztowań, które wstrząsnęły cyberprzestępczym podziemiem

2

Przestępstwa w wirtualnym świecie od dawna stanowią twardy orzech do zgryzienia dla organów ścigania i sądów. Dotarcie do samych podstaw cyberataku, a następnie zgromadzenie wystarczająco mocnych dowodów, aby wysunąć oskarżenie, nie jest łatwym zadaniem. Ale sytuacja powoli się zmienia, a cyberprzestępcy – od tych, którzy kradną osobiste zdjęcia gwiazd w negliżu, po organizatorów wielomilionowych oszustw – obecnie coraz częściej stają przed sądem. Eksperci z Kaspersky Lab przygotowali zestawienie 10 aresztowań, które wstrząsnęły cyberprzestępczym podziemiem.

Początek XXI wieku był prawdziwą gorączką złota dla cyberprzestępców. Gwałtownie wzrastająca liczba użytkowników internetu, którzy nie zawsze byli obeznani z zagadnieniami bezpieczeństwa komputerowego, rozkwit systemów płatności online i przepisy prawne, które pozostawały daleko w tyle za technologią – wszystko to ułatwiało przeprowadzanie ogromnych kradzieży z niewielkim ryzykiem przyłapania na gorącym uczynku – a jest to coś, co zawsze przyciąga uwagę przestępców. Nic więc dziwnego, że nie trzeba było długo czekać, aż rażąco nieetyczne oszustwa, popełniane przez „jednoosobowe firmy”, rozrosły się do ogromnych rozmiarów, a „patronat” nad nimi objęły dobrze zorganizowane „korporacje cyberprzestępcze”. Jednak dobrą wiadomością jest to, że z każdym dniem te cyberprzestępcze gangi ponoszą większe ryzyko niż kiedykolwiek wcześniej. Na poparcie tych słów eksperci z Kaspersky Lab przygotowali zestawienie 10 przypadków, które zakończyły się ujęciem cybergangsterów.

 

1. Zadzwoń do mnie nago: haking w poszukiwaniu seksownych zdjęć

Jeśli wśród czytelniczek tego tekstu są młode, ładne, a na dodatek sławne kobiety, natychmiast powinny zmienić swoje hasła na bardziej skomplikowane i zainstalować narzędzie do kompleksowej ochrony komputera. Jest to praca domowa, której niestety nie odrobiła kanadyjska wokalistka Carly Rae Jepsen. W ubiegłym roku haker Christopher David Long dostał się do jej prywatnych danych i plików, wśród których znajdowały się m.in. nagie zdjęcia artystki. Według niektórych źródeł policja zaczęła śledztwo w sprawie tego wtargnięcia w marcu 2012 r. – w czasie, gdy Long próbował sprzedać zdjęcia tabloidom. Szczegóły tego śledztwa i losy zdjęć nie zostały ujawnione, lecz najważniejsze jest to, że ostatecznie Long został oskarżony w grudniu 2012 r.

2. Do więzienia pierwszą klasą: nadzorca botnetu ZeuS płaci za skradzione miliony

Algierski haker Hamza Bendelladj został aresztowany na lotnisku w Bangkoku na początku stycznia 2013 r. po tym, jak lokalna policja została ostrzeżona przez agentów FBI, którzy przez 3 lata śledzili 24-latka. Hamza Bendelladj był podejrzewany o kontrolowanie botnetu opartego na znanym trojanie ZeuS. Bendelladjowi zarzuca się przywłaszczenie 20 milionów dolarów amerykańskich w jednej z szeregu nielegalnych transakcji obejmujących 217 banków i instytucji finansowych. Nic dziwnego, że kiedy został złapany, prowadził luksusowy styl życia i podróżował po całym świecie w pierwszej klasie. Teraz stanął w obliczu ekstradycji do Stanów Zjednoczonych i oczekuje na sprawę sądową w stanie Georgia.

3. Ostre rozdanie kart: 12 lat za skradzione dane

Na początku lutego 2013 r. holenderski cyberprzestępca David Benjamin Schrooten, szerzej znany jako Fortezza, został skazany na 12 lat pozbawienia wolności. Schrooten był członkiem grupy przestępczej odpowiedzialnej za kradzież ponad 100 000 numerów kart kredytowych, które następnie zostały sprzedane na specjalnym, podziemnym portalu internetowym, zajmującym się obrotem nielegalnymi danymi finansowymi. Wyroki zostały również wydane na niektórych jego wspólników, podczas gdy inni czekają na możliwość złożenia wyjaśnień. Co ciekawe, śledztwo ujawniło, że Schrooten próbował zhakować inne forum „karciane” w dążeniu do zakłócenia działania konkurencji i przejęcia klientów. Był bardzo skrupulatny w zacieraniu śladów, ale długie ramię sprawiedliwości w końcu dopadło go w Rumunii i doprowadziło do ekstradycji cybergangstera do USA.

4. 105 lat za nękanie seksualne

Pod koniec stycznia 2013 r. FBI aresztowało 27-letniego Karena ‚Gary’ego’ Kazaryana. Człowiek ten nie podążał za korzyściami materialnymi – był skoncentrowany na krakowaniu Facebooka, Skype’a i kont pocztowych należących do kobiet. Po uzyskaniu dostępu do danego serwisu, Kazaryan zmieniał hasło, co odcinało ofiary od ich własnych kont internetowych. Kontrolując konta, Kazaryan przeszukiwał wiadomości e-mail i inne pliki, licząc na zdobycie nagich zdjęć ofiar oraz innych poufnych informacji, takich jak hasła i listy kontaktów. Potem wykorzystał te informacje, aby zmusić swoje ofiary do rozebrania się przed kamerą internetową. Śledczy znaleźli na komputerze Kazaryana ponad 3 000 zdjęć nagich lub półnagich kobiet. Część z tych zdjęć pochodziła ze zhakowanych kont, natomiast reszta została zapisana podczas sesji z użyciem Skype’a. W sumie władze przedstawiły cyberprzestępcy 30 zarzutów nieuprawnionego wtargnięcia do zasobów komputerowych. Jeśli okaże się, że jest on winien popełnienia wszystkich zarzucanych mu czynów, grozi mu 105 lat więzienia.

5. Anonimowi za kratkami: hakowanie w imię idei to wciąż przestępstwo

Ruch „haktywistów” hakuje lub wyłącza strony internetowe w celu wymuszenia określonych działań politycznych, a nie z chęci zysku. Jednak, takie działania wciąż klasyfikowane są jako bezprawne, a sąd Southwark Crown Court w Wielkiej Brytanii orzekł, że „haktywiści” podlegają takim samym karom jak konwencjonalni cyberprzestępcy. Według BBC News Christopher Weatherhead i Ashley Rhodes spędzą w więzieniu odpowiednio 18 i 7 miesięcy za zorganizowanie ataków DDoS wymierzonych w organizacje PayPal, MasterCard, Visa i inne. „Haktywiści” z grupy Anonymous byli niezadowoleni, że organizacje te próbowały utrudnić zbieranie funduszy dla WikiLeaks. Według sędziego atakujący podjęli niezwykle wyrafinowane środki ostrożności, aby ukryć swoją tożsamość, co jednak nie przeszkodziło w ujęciu ich.

6. „Anonimowy” styl krasnojarski: atak DDoS z podtekstem politycznym

Policja w Krasnojarsku badała tej zimy dwa bardzo podobne przypadki. Sąd w syberyjskim mieście nałożył 25 000 rubli grzywny i dwa lata pozbawienia wolności w zawieszeniu na Pawła Spaskiego po tym, jak ten student technikum radioelektronicznego przeprowadził w dniach 6–7 maja 2012 r. atak DDoS na dwie strony rządowe. Podobna sprawa założona została przeciwko innemu rezydentowi Krasnojarska za atak na stronę www.kremlin.ru dnia 9 maja 2012 r. Oskarżony utrzymuje, że jest niewinny, ale jeśli zostanie skazany, spędzi w więzieniu cztery lata.

7. Zarabiać miliony: 100 euro w ułamku sekundy

Jedenastu członków cyberprzestępczego gangu, aresztowanych w lutym tego roku w Hiszpanii, zarabiało rocznie ponad milion euro, rozsyłając wirusa policyjnego. To narzędzie do zastraszania „oskarżało” ofiary o popełnienie różnych rodzajów przestępstw i blokowało ich komputery do momentu wpłacenia jednorazowego „zadośćuczynienia” w wysokości 100 euro. Złośliwe oprogramowanie kradło również poufne dane ofiar. Ostateczny wyrok w tej sprawie jeszcze nie zapadł.

8. Ali Baba i czterech złodziei

Kilkanaście dni temu czterech cyberprzestępców zostało aresztowanych w Dubaju za rzekomą kradzież co najmniej 2 milionów dolarów firmom w Emiratach Arabskich. Za pomocą kilku oszustw i technik hakerskich napastnicy zarówno ściągali środki na własne rachunki bankowe, jak i wyprowadzali pieniądze za granicę. Część członków gangu, w tym osoby pochodzenia azjatyckiego i afrykańskiego, uciekło z kraju – nakaz ich aresztowania został wydany przez Interpol.

9. Dziesięć lat za gwiazdę

Christopher Chaney został skazany na 10 lat pozbawienia wolności i 66 000 dolarów grzywny – mimo że prokurator domagał się dla niego tylko sześciu lat więzienia. Chaney został skazany za bezprawny dostęp do kont e-mail gwiazd, m.in. Scarlett Johansson, Christiny Aguilery i Mili Kunis. Najczęściej wspominaną konsekwencją włamań była kradzież i publikacja nagich zdjęć gwiazd. Niektóre z nich zdecydowały się stawić w sądzie, aby osobiście poprzeć oskarżenia. Jednak, z punktu widzenia bezpieczeństwa, warto podkreślić, że Cheney wykorzystał bardzo prosty system do obejścia większości haseł. Po prostu klikał przycisk „Zapomniałem hasła” i odpowiadał na kilka banalnych pytań – odpowiedzi wyszukiwał w publicznie dostępnych źródłach i biografiach gwiazd. Najlepsze, a może raczej najgorsze, jest to, że powiodło mu się nie raz, nie dwa, ale aż 50 razy!

10. Rodzinny biznes

Na pierwszy rzut oka Władimir Zdorowienin i jego syn Kirył prowadzili legalny biznes online. Jednak, jak ustaliły władze USA, sklepy internetowe będące w posiadaniu Zdorowieninów sporadycznie i bez wiedzy klientów ściągały fundusze z ich kart kredytowych. Środki były również pobierane z kart, których dane zostały pozyskane nielegalnie (np. zakupione na podziemnych forach). Rodzina aktualnie zwinęła swój interes, ale w styczniu tego roku szwajcarskie władze zatrzymały Władimira i deportowały go do Stanów Zjednoczonych, gdzie odsiaduje wyrok trzech lat pozbawienia wolności. Losy Kiryła pozostają nieznane.

Jak widać, ujęcie cyberprzestępcy nie jest sprawą łatwą, a sam proces nie zawsze przebiega sprawnie. Mimo tych problemów, globalna bitwa z cyberprzestępczością toczy się na korzyść władz: eksperci ściśle współpracują z organami ścigania, sądy szybko uczą się radzenia sobie z nowymi typami materiałów dowodowych, a cyberprzestępcy coraz częściej kończą karierę tam, gdzie powinni – za kratami.

dodany: 20.03.2013 | tagi: , ,

Ostrożnie z otwieraniem faktur 21 marca!

30

4 marca laboratoria Kaspersky Lab odnotowały dużą liczbę nietypowych e-maili zablokowanych przez nasz produkt Linux Mail Security. Wszystkie e-maile zawierały ten sam załącznik PDF (MD5: 97b720519aefa00da58026f03d818251), ale były wysyłane z wielu różnych adresów źródłowych.

Wiadomości te były napisane w języku niemieckim i w większości zostały wysłane z niemieckich adresów IP. Poniżej znajduje się mapa pokazująca rozkład adresów:

Mapa fałszywych e-maili

 

Nazwy komputerów wymieniane w nagłówkach e-mail często miały formę Andreas-PC lub Kerstin-Laptop (imiona zostały zmienione dla ochrony ofiar) sugerując, że zostały wysłane z niemieckich komputerów domowych.

Poniżej znajduje się przykładowy e-mail:

przykładowy e-mail

Nazwy załączników PDF miały formę: „Mahnung recipents name.pdf” (Mahnung oznacza ‚przypomnienie’ lub ‚powiadomienie o opóźnieniu w płatności’), a wykorzystywanym exploitem był CVE-2010-0188 (Adobe Acrobat libtiff Remote Code Execution Vulnerability). PDF został zablokowany przez Kaspersky ZETA Shield i jest wykrywany jako Exploit.JS.CVE-2010-0188.e. Exploit nie jest łatwy do wykrycia, ponieważ ukrywa się pod dwiema warstwami JavaScript.

 

Pierwsza warstwa Javascript

Pierwsza warstwa Javascript.

 

Druga warstwa Javascript

Druga warstwa Javascript.

 

Odszyfrowany Shellcode

Odszyfrowany Shellcode.

Druga warstwa wygląda bardzo podobnie do kodu JavaScript, jaki widzieliśmy w kilku próbkach zestawu exploitów BlackHole z zeszłego roku. Jeżeli exploitowi powiedzie się, pobierze plik wykonywalny z seodirect-proxy.com/adobe-update.exe.

Pobrane szkodliwe oprogramowanie (MD5: 3772e3c2945e472247241ac27fbf5a16) jest wykrywane przez Kaspersky Lab jako Trojan.Win32.Yakes.cngh. Zawiera różne włoskie ciągi znaków („lastoriasiamo”, „famiglia”, „badalamenti”, „impastato”), które mogą mieć związek z Mafią. Zawiera również następujące informacje o wersji:

BTP to prawdopodobnie obligacje włoskiego rządu, Bund to obligacje niemieckiego rządu, natomiast „Spread BTP/Bund” to sposób porównania różnicy między dochodami.

Gdy szkodliwe oprogramowanie działa, wyświetla następujący komunikat o błędzie:

Następnie instaluje się w folderze tymczasowym z losową nazwą (np. vlsnekunrn.pre) i próbuje skontaktować się z zeouk-gt.com.

 

Przeszłość

Przeglądając wcześniejsze informacje zwrotne analitycy Kaspersky Lab dostrzegli podobne schematy w dniach 4 i 21 kilku miesięcy.

 

Luty 2013

21 lutego zablokowaliśmy ogromną liczbę e-maili zawierających bardzo podobny załącznik PDF. Tym razem w nazwach załączników znajdował się wyraz „Rechnung” (co oznacza ‚faktura’) oraz data (np. Rechnung_201302.pdf oraz 2013_02rechnung.pdf). Nadawcy pochodzili z bardzo różnych państw, w tym z Afryki Południowej, Stanów Zjednoczonych, Australii i Japonii. Tym razem nazwy komputerów wymieniane w nagłówkach e-maili wyglądały na wygenerowane losowo (np. ydopsgf i bxahwdkw) i – co ciekawe – nagłówki zawierały również odwołanie do domeny zeus3.hostwaycloud.com.

Odszyfrowany JavaScript dla tego exploita był prawie identyczny z próbką powyżej, jednak szkodliwe oprogramowanie było pobierane z kilku adresów URL:

allgaeu-heimatwerk.de/biznessler/typo3/sysext/t3skin/host.exe

corcagnani.de/host.exe

kkc-hannover.de/modules/mod_search/helper.exe

capital-success.de/pg/helper.exe

 

Styczeń 2013

4 stycznia próbka miała nazwę Rechnung201301.pdf, a szkodnik był pobierany z następujących adresów URL:

kohnle-gros.de/css/styleneu.exe

fairdealshop.co.uk/modules/mod_newsflash/helper.exe

emct.org.uk/downloads/server-stats.exe

Listopad 2012

21 listopada próbka miała nazwę RECHNUNG000201211.pdf i pobierała szkodnika z:

rocketmou.se/stuff/corduroyshop/corduroyshop.exe

coachplay.co.il/mapa/images/mapa.exe

 

Przyszłość

Wygląda na to, że jest to bardzo dobrze przemyślana kampania i nie zanosi się na jej koniec. Dlatego, jeżeli otrzymasz fakturę 21 marca lub 4 kwietnia, zachowaj szczególną ostrożność. Z drugiej strony, autorzy mogą zmienić datę faktury, dlatego lepiej mieć się na baczności przez cały czas.

dodany: 18.03.2013 | tagi: , , ,

Trojan kradnie dane użytkowników smartfonów z Androidem

2

Kaspersky Lab informuje o pojawieniu się w sklepie Google Play fałszywej aplikacji kradnącej dane użytkowników smartfonów z Androidem. Aplikacja My HRMIS & JPA Demo kradnie, między innymi, dane z książki adresowej oraz SMS-y docierające do użytkowników zainfekowanych telefonów. Dzięki współpracy Kaspersky Lab i Google szkodliwa aplikacja została szybko usunięta z oficjalnego sklepu z aplikacjami dla Androida.

W połowie lutego 2013 r. jeden z użytkowników skontaktował się z ekspertami z Kaspersky Lab z prośbą o sprawdzenie dostępnej w sklepie Google Play aplikacji o nazwie My HRMIS & JPA Demo, której twórcą jest Nur Nazri. Podejrzenia użytkownika wzbudziła duża liczba uprawnień, do których aplikacja chce mieć dostęp, mimo że jej jedyna funkcjonalność wynikająca z opisu to szybkie otwieranie czterech stron WWW. Aplikacja wymagała dostępu do takich funkcji jak wysyłanie SMS-ów, odczytywanie SMS-ów i MMS-ów użytkownika oraz pobieranie danych z książki adresowej.

Po uruchomieniu aplikacja wyświetla cztery duże przyciski. Kliknięcie jednego z nich powoduje otwarcie strony WWW.

Wygląd szkodliwej aplikacji My HRMIS & JPA Demo

Niestety, użytkownik nie widzi, że jest to jedynie przykrywka, a aplikacja w tle kradnie dane. Po wciśnięciu jednego z przycisków trojan potajemnie kradnie dziesięć najnowszych wpisów z książki adresowej smartfona (nazwy i numery telefonów). Wciśnięcie innego przycisku powoduje, że szkodnik kradnie trzy najnowsze przychodzące SMS-y – wszystko bez wiedzy użytkownika. Skradzione dane są ukradkowo wysyłane na numer telefonu zdefiniowany przez cyberprzestępcę.

Mimo że wykryty przez nas trojan wymierzony jest w malezyjskich użytkowników Androida, warto przyjrzeć się tej sprawie, ponieważ podobne zagrożenia pojawiają się w Google Play dość regularnie i mogą się ukrywać pod postacią aplikacji o dowolnej funkcjonalności

– ostrzega Maciej Ziarek, ekspert ds. bezpieczeństwa, Kaspersky Lab Polska.

Aby uniknąć infekcji, należy przed instalacją jakiejkolwiek aplikacji dokładnie przyjrzeć się uprawnieniom, do jakich program chce mieć dostęp. Warto także zainstalować oprogramowanie antywirusowe, na przykład takie jak darmowy Kaspersky Mobile Security Lite, który skanuje każdą instalowaną aplikację i blokuje wszelkie niebezpieczne programy, zanim zdążą one wyrządzić jakiekolwiek szkody w smartfonie

– dodaje Ziarek.

Więcej szczegółów technicznych dotyczących tego trojana dla Androida znajduje się w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab.

dodany: 04.03.2013 | tagi: , ,

Tajemnica MiniDuke’a

1

W serwisie VirusList przedstawiono ciekawą analizę najnowszego zagrożenia, jakim jest MiniDuke. Przypomnimy, że dnia 12 lutego 2013 r. firma FireEye ogłosiła odkrycie (exploita 0-day dla aplikacji Adobe Reader, który jest stosowany do wdrażania wcześniej nieznanego, zaawansowanego szkodliwego oprogramowania. Tego nowego szkodnika  nazwano „ItaDuke”, ponieważ przypominał on Duqu oraz z powodu dawnych włoskich sentencji, zaczerpniętych z „Boskiej komedii” Dante Aligheriego i zamieszczonych w kodzie powłoki.

Od czasu pierwotnego zgłoszenia szkodliwego oprogramowania pracownicy Kaspersky Lab zauważyli parę nowych incydentów z użyciem tego samego exploita (CVE-2013-0640), z których kilka było tak niezwykłych, że zdecydowaliśmy się przeanalizować je szczegółowo.

Wraz z partnerem firmy – laboratorium CrySyS Lab – Viruslist przeprowadził szczegółową analizę tych zdarzeń, które mogą wskazywać na nowego, nieznanego wcześniej aktora w „teatrze zagrożeń”. Raport z analizy przeprowadzonej przez laboratorium CrySyS Lab znajduje się pod tym adresem. Raport z analizy Kaspersky Lab znajduje się poniżej.

Przede wszystkim, podczas gdy fałszywe raporty PDF „Mandiant” (zobacz tutaj) są po prostu zmodyfikowanymi mutacjami oryginalnego exploita, te nowsze ataki wydają się być prowadzone za pomocą zestawu narzędzi 0-day, który został użyty do stworzenia oryginalnego dokumentu „Visaform Tukey.pdf”, odkrytego przez firmę FireEye. Nowe ataki PDF używają fałszywych dokumentów, które są wyświetlane ofierze, kiedy exploit zostanie pomyślnie uruchomiony. Dokumenty dotyczą seminarium odnośnie praw człowieka (ASEM), ukraińskiej polityki zagranicznej i planów rozszerzenia członkostwa w NATO.

Sumy MD5 dokumentów używanych w ataku to:

Kod JavaScript exploita został zmodyfikowany od czasu pierwotnego ataku. Dla przykładu, funkcja wcześniej nazywana „oTHERWISE” zmieniła nazwę na „q1w2e3r4t”. Funkcja występuje później w kodzie jako:

Nowy exploit:

Starszy exploit („Visaform Turkey.pdf”):

Ponadto, kod JavaScript występuje teraz w formacie skompresowanym, natomiast w oryginalnej próbce miał on postać czystego tekstu. Powodem tych zmian było prawdopodobnie dążenie przez twórców do unikania wykrycia ich „dzieła” przez produkty antywirusowe, chociaż nie przeszkodziło to naszym produktom heurystycznie wykryć opisywane zagrożenie jako: „HEUR:Exploit.Script.Generic”.

Kod powłoki zawarty w dokumencie PDF jest podobny do tego, używanego w dokumentach przenoszących ładunek „ItaDuke”, lecz z drobnymi różnicami. Dla przykładu, po wykorzystaniu luki, shellcode poszukuje konkretnego podpisu w pliku PDF. Podczas, gdy shellcode „ItaDuke” szukał ciągu „!H2bYm.Sw@”, wersja „MiniDuke” poszukuje sygnatury „@34fZ7E[p\”.

 


Sygnatura w pliku PDF ItaDuke’a.


Sygnatura w pliku PDF MiniDuke’a.

Kiedy sygnatura ładunku zostanie odnaleziona, jest odszyfrowywana za pomocą algorytmu XOR, a następnie dekompresowana z wykorzystaniem API „RtlDecompressBuffer” (LZNT1). Wynikowy plik PE jest zapisywany do pliku tymczasowego i ładowany z użyciem API „LoadLibary”.

Utworzona biblioteka dynamiczna realizuje drugi etap instalacji. Zawiera ona dwa binarne zasoby, 101 i 102. Zasób 101 jest głównym komponentem DLL backdoora. Zapisywany jest w katalogu %AppData% i ładowany z wykorzystaniem API „LoadLibary”. Zasób 102 jest dokumentem PDF – pułapką. Jest zapisywany w katalogu pamięci podręcznej Internet Explorera, a następnie otwierany za pomocą prostego pliku BAT:

 

Nazwy plików, które są wdrażane, są na sztywno zdefiniowane w zasobach.

Początek zasobu 101 z jego nazwą.


Początek zasobu 102 z jego nazwą. Co ciekawe, dropper złośliwego oprogramowania zawiera następujące ścieżki dostępu:

 

  • „c:\src\dlldropper\Release\L2P.pdb”;
  • „c:\src\hellodll\Release\hellodll.pdb”.

Ścieżki te nie istnieją w dropperze oryginalnego pliku PDF („Visaform Turkey.pdf”).

Jeśli zaufać nagłówkom PE, dropper został skompilowany dnia 20 lutego 2013 r:

 


Czas kompilacji „węgierskiego” droppera – „Wed Feb 20 10:51:16 2013”, czyli środa, 20 lutego 2013 r., godz. 10:51:16.

Backdoor użyty w przypadku „węgierskim” został skompilowany 20 lutego 2013 r. o godzinie 10:57:52, czyli kilka minut po tym, jak dropper został stworzony.

Być może najbardziej niezwykłą rzeczą w tych trzech nowych atakach jest złośliwe oprogramowanie, jakie wdrażają. We wszystkich analizowanych przypadkach, malware ma formę pliku DLL o rozmiarze 22528 bajtów. Części szkodliwego pliku DLL są zaszyfrowane wraz z informacjami dotyczącymi konfiguracji systemu ofiary, co zapewnia, że szkodnik będzie poprawnie działał tylko na atakowanym systemie. Jeżeli zostanie skopiowany na inny komputer, nie będzie w stanie funkcjonować poprawnie.

Backdoor został napisany w „oldskulowym” języku asemblera i jak na dzisiejsze standardy jest wyjątkowo niewielki – jego rozmiar to tylko 20 KB. Jest to najbardziej niezwykłe zjawisko dla nowoczesnych, szkodliwych programów, które mogą mieć rozmiar rzędu kilku megabajtów. Na początku kodu znajduje się niewielki moduł deszyfrujący, który odszyfrowuje ciało szkodnika. Wszystkie trzy przypadki używają różnych kluczy szyfrowania. Inną osobliwością jest to, że backdoor nie ma funkcji importu: wszystkie funkcje są skanowane z pamięci i są wywoływane dynamicznie. Interesujące jest to, że dwa pierwsze API Win32, rozwiązywane i wywoływane przez procedurę rozpakowującą, to „ntdll.LdrLoadDll” i „kernel32.VirtualProtectEx”. Te dwie funkcje nie są wywoływane zgodnie z konwencją „_stdcall”. Zamiast tego, zaraz po ręcznym zbudowaniu stosu wykonywana jest instrukcja „jmp ebx”. Jasne jest, że ktoś przy tworzeniu tego złośliwego oprogramowania miał na myśli potrzebę stworzenia technik zakłócających emulację i skanowanie.

 

Chcących zgłębić wiedzę dotyczącą MiniDuke’a zapraszamy do zapoznania się z całym raportem na viruslist.pl