Artykuły dotyczące tematu: Virut

dodany: 07.06.2013 | tagi: , , ,

Eksperci CERT Polska zidentyfikowali najgroźniejsze botnety w polskich sieciach komputerowych

0

Virut, DSNChanger i ZeuS to trzy botnety, które najczęściej atakowały użytkowników polskich sieci komputerowych w 2012 roku – wynika z raportu zespołu CERT Polska, działającego w ramach instytutu badawczego NASK. W minionym roku do zespołu trafiało dziennie około 8 tys. zgłoszeń o urządzeniach zainfekowanych tymi wirusami. Jak podkreślają eksperci, boty stanowią drugie, po spamie, najczęściej występujące zagrożenie sieciowe.

W minionym roku do zespołu CERT Polska trafiło 3 309 763 zgłoszeń, będących efektem działania botnetów, czyli sieci komputerów zarażonych złośliwym oprogramowaniem. Wirusy tego typu służą do przejmowania kontroli nad komputerami bez wiedzy i zgody użytkowników. Zainfekowane urządzenia, zwane botami, mogą być następnie wykorzystywane do działań niezgodnych z prawem. W minionym roku botnety zaatakowały blisko 2 miliony unikalnych adresów IP.

Najwięcej zgłoszeń w 2012 roku, dotyczyło botnetu Virut, który zainfekował 869 973 unikalnych adresów IP. Dziennie informowano średnio o blisko 4 tys. komputerów, kontrolowanych przez ten wirus. Rozpowszechniany był m.in. przez luki w przeglądarkach internetowych, a do zarażenia mogło dojść w wyniku odwiedzenia strony www, na której przestępcy umieścili Viruta. W efekcie tych działań zaatakowane komputery były wykorzystywane między innymi do rozsyłania spamu, kradzieży danych i ataków DDoS.

Drugie miejsce zajął DNSChanger, czyli złośliwe oprogramowanie, podmieniające na zainfekowanym komputerze adresy serwerów DNS. Pozwalało to na przekierowywanie ruchu sieciowego na fałszywe serwery, kontrolowane przez cyberprzestępców. W efekcie użytkownik zainfekowanego urządzenia, zamiast z właściwą stroną internetową, mógł zostać połączony z portalem przypominającym na przykład stronę banku czy sklepu internetowego. W lipcu ubiegłego roku FBI udało się wyłączyć serwery DNS, na które był kierowany ruch z zainfekowanych urządzeń. Do tego czasu w polskich sieciach zgłoszono 427 246 unikalnych adresów IP zarażonych botnetem.

Trzecim najgroźniejszym wirusem okazał się trojan bankowy ZeuS, który zaatakował blisko 250 tys. unikalnych adresów IP. Co więcej, wśród 10 największych botnetów, znalazły się jeszcze dwie odmiany tego wirusa, atakujące użytkowników bankowości elektronicznej – ZeuS P2P oraz ZeuS Citadel. Zainfekowanie nimi komputera umożliwia modyfikowanie treści stron internetowych tuż przed ich wyświetleniem. Tym samym atakujący mogą wysyłać do użytkownika dowolne komunikaty, które często do złudzenia przypominają te pochodzące z banku. Skutkiem zmian dokonywanych przez złośliwe oprogramowanie może być podmiana numeru konta, modyfikacje na liście wykonywanych operacji czy też monity z prośbą o podanie haseł jednorazowych lub wykonanie przelewu.

Botnety są jednym z najgroźniejszych zjawisk w polskich sieciach komputerowych. Niestety częstotliwość ich występowania świadczy o tym, że przestępcom wciąż skutecznie udaje się oszukać użytkowników, wykorzystując ich niewiedzę oraz brak zabezpieczeń. Od początku tego roku udało nam się przejąć polskie domeny największego botnetu Virut, a także instancji Citadel, co uniemożliwiło dalsze rozprzestrzenianie się tych wirusów. Trzeba jednak pamiętać, że w walce z zagrożeniami sieciowymi niezbędna jest ostrożność samych użytkowników

– mówi Piotr Kijewski, kierownik CERT Polska.

Informacje na temat incydentów sieciowych, zawarte w raporcie zespołu, pochodzą z systemów własnych CERT Polska oraz od zagranicznych instytucji zajmujących się bezpieczeństwem teleinformatycznym. Są one także wynikiem podejmowanych przez CERT działań na rzecz bezpieczeństwa sieci. W związku z tym, dane te dają szeroki obraz tego, co naprawdę dzieje się w polskim Internecie.

Raport CERT Polska można znaleźć na stronie www.cert.pl/raporty.

dodany: 28.02.2013 | tagi: , , ,

Przynajmniej 3 mln adresów IP padło ofiarą groźnego wirusa komputerowego

2

Co najmniej trzy miliony adresów IP na całym świecie zostało zainfekowanych przez wirus komputerowy o nazwie Virut – wynika z raportu opublikowanego przez zespół CERT Polska, działający w ramach instytutu badawczego NASK. Wirus, który rozprzestrzeniał się za pomocą stron www, był wykorzystywany między innymi do dystrybucji spamu, kradzieży danych oraz ataków DDoS. Na początku tego roku NASK przejął ponad 40 domen wykorzystywanych do rozpowszechniania Viruta, uniemożliwiając tym samym kontynuowanie prowadzonych za ich pomocą nielegalnych działań.

Virut służył do przejmowania kontroli nad komputerami bez wiedzy i zgody użytkowników. Zainfekowane nim urządzenia stawały się „komputerami-zombie” łączącymi się w sieci, tzw. botnety, które następnie mogły być wykorzystywane do działań niezgodnych z prawem. Głównym źródłem wirusa były domeny zief.pl oraz ircgalaxy.pl, które pełniły funkcję centrów sterujących zainfekowanymi komputerami i wysyłały rozkazy ataku. Po tym, jak eksperci NASK stwierdzili, że część domen obsługujących Virut znajduje się w Polsce, zdecydowali się na podjęcie akcji uniemożliwiającej im kontynuację działań. Do 6 lutego 2013 roku pod kontrolą NASK znalazły się łącznie 43 nazwy domenowe z końcówką .pl służące do sterowania i rozpowszechniania złośliwego oprogramowania. Natomiast cały ruch z zarażonych komputerów do centrów sterujących botnetu został przekierowany do serwera kontrolowanego przez CERT Polska. Po przejęciu kontroli nad komunikacją w botnecie eksperci rozpoczęli analizę połączeń z zarażonych komputerów użytkowników Internetu.

Okazało się, że dziennie odnotowywano średnio 270 tysięcy połączeń z zainfekowanych adresów IP z całego świata. W okresie między 19 stycznia a 5 lutego 2013 roku eksperci zaobserwowali całkowitą liczbę 3 211 135 unikalnych adresów IP zaatakowanych przez Viruta. Połączenia pochodzące z dziesięciu najbardziej dotkniętych wirusem krajów stanowiły ponad 78 proc. wszystkich komunikatów. W pierwszej dziesiątce pokrzywdzonych państw były głównie kraje z Azji i Afryki.

Co ciekawe, Polska znalazła się dopiero na 19. miejscu pod względem skali infekcji, a jej udział w zestawieniu wyniósł jedynie 0,67 proc.

img-botnet-Virut

Źródło: Raport CERT Polska „Przejęcie domen botnetu Virut”

Przygotowany przez nas raport przedstawia nie tylko chronologię działań podjętych przez NASK czy sposób zbierania danych, ale także informacje o mechanizmach zarażania ofiar oraz powiązania z innymi rodzajami przestępczej działalności, np. sprzedażą fałszywego oprogramowania antywirusowego czy doklejaniem reklam do wyświetlanych przez użytkowników treści. Analiza unaoczniła skalę działania Viruta oraz wskazała kraje najbardziej nim dotknięte. Pozyskane informacje o działaniach botnetu pozwolą z pewnością w przyszłości na skuteczniejsze przeciwdziałanie zagrożeniom sieciowym

– mówi Przemysław Jaroszewski z CERT Polska.

Raport „Przejęcie domen botnetu Virut” dostępny jest na stronie internetowej cert.pl.

dodany: 28.01.2013 | tagi: , ,

NASK przejmuje kolejne domeny botneta Virut

0

Niedawno informowaliśmy Was (zobacz newsa: NASK przejmuje niebezpieczne domeny botnetu Virut) o przejęciu przez NASK 23 domen, które pośredniczyły w funkcjonowaniu botneta Virut. Poniżej publikujemy kolejną informację prasową NASK związaną z działaniami przeciwko złośliwej sieci – tym razem unieszkodliwiono kolejne domeny.

NASK przejął kolejne 15 domen służących do sterowania i rozpowszechniania złośliwego oprogramowania o nazwie Virut. Tym samym uniemożliwił ich dalsze wykorzystywanie do działań przestępczych, niebezpiecznych dla wszystkich użytkowników Internetu. Akcja ta podjęta została w bliskiej współpracy z partnerem NASK, firmą Home.pl.

To kolejny z zapowiadanych przez Instytut etapów działań podjętych na rzecz poprawy bezpieczeństwa użytkowników Internetu. NASK zaprzestaje utrzymywania między innymi domeny lometr.pl stanowiącej jeden z głównych elementów niebezpiecznej sieci. Podjęte przez NASK działanie jest kontynuacją rozpoczętego w ubiegłym tygodniu procesu likwidacji zagrożenia ze strony groźnego botnetu.
Virut to groźny wirus zarażający komputery internautów. Rozpowszechnia się między innymi poprzez luki w przeglądarkach, a także poprzez zainfekowane strony www. Grupy zarażonych komputerów tworzą tzw. botnet i służą do działań niezgodnych z prawem – zmasowanych ataków sieciowych, rozsyłania spamu czy tez kradzieży poufnych danych. Ten niebezpieczny proceder odbywa się bez wiedzy nieświadomych zagrożenia użytkowników komputerów.
Po przejęciu komunikacji w jednym z największych botnetów na świecie CERT Polska, funkcjonujący w NASK, prowadzi intensywną analizę połączeń z zarażonych komputerów użytkowników Internetu. Pozyskiwane informacje o działaniach botnetu pozwolą w przyszłości na jeszcze skuteczniejsze przeciwdziałanie zagrożeniom sieciowym. Jednocześnie CERT Polska przekazuje informacje o ofiarach Viruta do operatorów sieci.

dodany: 21.01.2013 | tagi: , , , ,

NASK przejmuje niebezpieczne domeny botnetu Virut

2

NASK przejął 23 domeny wykorzystywane do działalności cyberprzestępczej, uniemożliwiając tym samym kontynuowanie prowadzonych za ich pomocą nielegalnych działań. Adresy te służyły do rozpowszechniania i zarządzania groźnym wirusem Virut. Działanie NASK ma na celu ochronę społeczności internautów przed zagrożeniami płynącymi z sieci – atakami DDoS, spamem, kradzieżą danych. O skali zjawiska świadczy fakt, iż w samym tylko 2012 roku odnotowano w Polsce aż 890 tysięcy zgłoszeń adresów IP zainfekowanych Virutem.

Pierwsze infekcje Virutem odnotowano w 2006 roku, ale od tego czasu zagrożenie to znacznie przybrało na sile. Od 2010 roku NASK podjął intensywne prace nad wyeliminowaniem działalności Viruta w naszym kraju. W samym 2012 roku zespół CERT Polska, działający w ramach instytutu badawczego NASK, odnotował 890 tysięcy zgłoszeń zainfekowanych adresów IP z Polski. Według szacunków NASK, potwierdzanych przez dane firmy Symantec, sieć komputerów – tzw. botnet – kontrolowanych przez Virut składa się obecnie z około 300 tysięcy urządzeń. Według danych kolejnego producenta oprogramowania antywirusowego, Kaspersky’ego w III kwartale 2012 roku, Virut został wykryty u 5,5 proc. użytkowników i zajął 5 miejsce wśród najpopularniejszych wykrytych wirusów.

Wirus o nazwie Virut jest jednym z najbardziej uciążliwych zagrożeń, z którymi można spotkać się w Internecie. Rozpowszechnia się m.in. poprzez luki w przeglądarkach internetowych, a do zarażenia może dojść w wyniku odwiedzenia strony www, na której przestępcy umieścili Viruta. Głównymi źródłami wirusa były domeny zief.pl oraz ircgalaxy.pl, które pełniły funkcję centrów sterujących zainfekowanymi komputerami-zombie i wysyłających rozkazy ataku. W ostatnim roku pojawiły się kolejne domeny z końcówką .pl, które miały te same zadania, a także przyczyniały się do rozpowszechniania złośliwych programów – m.in. Palevo i Zeusa. W efekcie tych działań zaatakowane komputery-zombie łączą się w sieci, tzw. botnety, które wykorzystywane są często do działań niezgodnych z prawem. Botnety w chwili obecnej są kluczowym narzędziem cyberprzestępców. Sieć zarażonych komputerów jest wynajmowana i służy między innymi do dokonywania kradzieży danych, ataków DDoS czy wysyłania spamu. Wszystkie te operacje dzieją się bez wiedzy i zgody właścicieli sprzętu nieświadomych do czego używane są ich komputery.

To pierwszy przypadek, gdy podjęliśmy decyzję o zaprzestaniu utrzymywania nazw w domenie .pl. Zadecydowała skala zjawiska i zagrożenie jakie niosło ono dla wszystkich użytkowników Internetu. W takiej sytuacji odmówiliśmy świadczenia usług

 

– komentują przedstawiciele instytutu badawczego NASK.