Artykuły dotyczące tematu: Rik Ferguson

dodany: 04.07.2013 | tagi: , , , , ,

Stary malware w nowej odsłonie

0

Kto powiedział, że nie można nauczyć starego oprogramowania nowych sztuczek? Niedawno pojawiły się informacje o swego rodzaju powrocie malware’u ZBOT. Wkrótce potem media przekazały wiadomość, że ZBOT rozprzestrzenia się za pośrednictwem Facebooka. A teraz okazuje się, że istnieje całkiem nowa wersja tego programu, która potrafi rozprzestrzeniać się w pełni samodzielnie.

„Niecodzienne zachowanie malware’u ZBOT potwierdza prognozy Trend Micro na 2013 rok, w których przewidziano, że stare zagrożenia pojawią się w nowych, udoskonalonych i skuteczniejszych postaciach” – mówi Rik Ferguson, Global VP Security Research w Trend Micro.

Ta konkretna odmiana ZBOT-a ukryta jest w zarażonym pliku PDF, który dla niepoznaki zawiera fakturę sprzedaży. Jeśli użytkownik otworzy plik za pomocą programu Adobe Reader, uruchomiona zastaje procedura, w wyniku której na ekranie wyświetla się okienko pop-up.

W tym momencie złośliwy wariant ZBOT – WORM_ZBOT.GJ – dostaje się do systemu i zostaje uruchomiony. Istnieje kilka dość istotnych różnic w porównaniu do poprzedniej wersji tego malware’u.

Po pierwsze, WORM_ZBOT.GJ posiada funkcję automatycznej aktualizacji: potrafi pobrać i uruchomić zaktualizowaną kopię samego siebie. Po drugie, może z łatwością rozprzestrzeniać się na inne systemy za pośrednictwem pamięci przenośnych, np. pendrive’ów. Dokonuje tego wyszukując dyski wymienne, a następnie tworząc w nich ukryty katalog z własną kopią oraz skrót odsyłający do ZBOT – a.

Ten rodzaj rozprzestrzeniania jest dość nietypowy. ZBOT wędruje zazwyczaj za pośrednictwem oprogramowania typu exploit kit lub zainfekowanych załączników. Tymczasem zdolność do samodzielnego rozpowszechniania jest w przypadku tego programu sporą niespodzianką. Może to oznaczać dalszy wzrost liczby systemów zarażonych tym malwarem.

Tego rodzaju przykłady pokazują, w jaki sposób zmienia się obszar oprogramowania crimeware. To konkretne zagrożenie zostało już opisane przez ekspertów Trend Micro w artykule zatytułowanym The Crimeware Evolution. Wykorzystywanie dysków wymiennych czy automatyczna aktualizacja do rozpowszechniania się nie jest nową ani innowacyjną cechą, ponieważ wiele złośliwych programów korzystało już z tych funkcji. W szczególności warto tu wspomnieć o Conficker/DOWNAD, który obu tych strategii używał bardzo skutecznie i który do dziś pozostaje dużym zagrożeniem. Mimo że ma już parę dobrych lat, został umieszczony na liście 10 najbardziej niebezpiecznych złośliwych programów w obu Amerykach i rejonie Morza Karaibskiego w 2012 roku.

Trend Micro chroni użytkowników poprzez wykrywanie WORM_ZBOT.GJ i blokowanie witryn powiązanych z tym zagrożeniem.

Więcej informacji dotyczących aktualnych zagrożeń znajduje się na blogu Trend Micro.

Źródło: Trend Micro

dodany: 12.03.2013 | tagi: ,

Malware na urządzenia mobilne nie może być dłużej ignorowany

0

Branża bezpieczeństwa IT ma przed sobą wstydliwy problem. Przez kilka lat wielkie nazwiska z dziedziny bezpieczeństwa zapowiadały, że „nadchodzący rok” będzie czasem złośliwego oprogramowania atakującego systemy mobilne. „Uwaga!”, mówiliśmy, „nadciąga mobilny malware…” – i nic się nie działo. Zagrożenie majaczyło gdzieś za horyzontem. Rzeczywiście, począwszy od robaka Cabir w 2004, każdego roku obserwowaliśmy nowe i coraz bardziej zaawansowane mobilne złośliwe oprogramowanie (pierwotnie skupiające się na systemach Symbian, J2ME i Windows CE), które jednak nigdy nie osiągnęło spodziewanej masy krytycznej ani nie wykroczyło poza obszar niewielkiej złośliwości.

Teraz, kiedy zagrożenie stało się rzeczywistością (ostatnie dwa lata określano mianem „roku mobilnego malware’u” przy kilku różnych okazjach), problemem stało się to, jak mamy przekonać cały świat, że ponownie nie bijemy na fałszywy alarm. Spotykamy się z wyraźnym sceptycyzmem połączonym z silnym przekonaniem, że branża może próbować sprzedawać rozwiązanie problemu, który nie istnieje, czy ewentualnie istnieje wyłącznie w dalekich krajach i dotyczy mało popularnych sklepów z aplikacjami. Zatem, gwoli jasności, oto kilka liczb, które – miejmy nadzieję – przynajmniej w pewnym stopniu przekonają niedowiarków.

System klasyfikacji aplikacji mobilnych pod względem reputacji (Trend Micro Mobile App Reputation Services [PDF]) aktywnie śledzi źródło pochodzenia aplikacji na Androida pochodzących z całego świata i analizuje je. Przyznajemy punkty dotyczące reputacji w trzech osobnych dziedzinach: złośliwość, zużycie zasobów i prywatność. Poniżej przytaczam liczby pochodzące z 8 marca 2013 roku, które mogą w każdej chwili ulec zmianie – i powędrować w górę.

Do tej pory zanalizowaliśmy ponad 2 miliony aplikacji, co daje pokaźną próbkę, zważywszy na to, że witryna Google Play oferuje około 700 tys. aplikacji. Oto cała bolesna prawda, którą poznaliśmy:

  • 293 091 aplikacji zaklasyfikowano jako jawnie złośliwe, a dodatkowe 150 203 jako stwarzające wysokie ryzyko. Nagromadzenie tak ogromnej ilości złośliwego kodu zajęło systemowi Microsoft Windows 14 lat!
  • Spośród 293 091 złośliwych aplikacji, 68 740 pochodziło bezpośrednio z witryny Google Play. Nie chodzi więc tylko o chińskie i rosyjskie sklepy z aplikacjami.
  • W przypadku 22% aplikacji odkryto niedopuszczalne wycieki prywatnych danych użytkowników – do sieci, za pośrednictwem SMS-ów lub telefonu. Najczęściej upubliczniane dane to numery seryjne IMEI i ICCID, a także dane kontaktowe i numer telefonu. Odkryliśmy nawet kilka aplikacji zbierających informacje przy pomocy mikrofonu i kamery (a także upubliczniających kilka innych rodzajów danych).
  • Poza tym 32% aplikacji zaklasyfikowano jako „mało ekonomiczne” pod względem zużycia baterii, 24% otrzymało tę samą notę w kategorii wykorzystania sieci, a 28% oceniono równie źle pod kątem zajmowanej pamięci.

Nie powinno więc dziwić, że firma BlackBerry zdecydowała się na zintegrowanie naszego serwisu Mobile App Reputation Service z witryną Blackberry World, aby zapobiec trafianiu złośliwych aplikacji w ręce ich klientów. Miło byłoby zobaczyć więcej sklepów z oprogramowaniem mobilnym, które traktują bezpieczeństwo swoich klientów równie poważnie.

Tekst pochodzi z bloga Rika Fergusona, Dyrektora ds. badań nad bezpieczeństwem i komunikacji w regionie EMEA w firmie Trend Micro.