Artykuły dotyczące tematu: wirusy

dodany: 28.03.2013 | tagi: , ,

Parszywa dwunastka: najgroźniejsze wirusy ostatnich lat wg ESET

12

Co łączy irańskie wirówki do wzbogacania uranu, gruzińskie dokumenty rządowe i projekty graficzne przygotowane w AutoCADzie? Wszystkie wymienione stały się celem zagrożeń komputerowych. Eksperci z laboratorium antywirusowego ESET wytypowali dwanaście złośliwych programów, które w ciągu ostatnich miesięcy i lat na masową skalę kradły, podsłuchiwały i szpiegowały swoje ofiary, a nawet ingerowały w politykę wybranych Państw.

Kamil Sadkowski z krakowskiego laboratorium antywirusowego firmy ESET zwraca uwagę, że czasy wirusów, których działanie ograniczało się wyłącznie do wyświetlania prostej grafiki lub odtwarzania krótkiej melodii minęły bezpowrotnie. Współczesne wirusy, a raczej hybrydy wirusów, spyware’ów, koni trojańskich i robaków internetowych, nie są już eksperymentami nastolatków. To dzieła tworzone na zamówienie najprawdziwszych przestępców, a czasami nawet rządów konkretnych państw. Coraz częściej zagrożenia powstają w celu realizowania konkretnych zadań. Obecne wirusy komputerowe sprawiają, że z dysków wykradane są tajne dane wojskowe, projekty graficzne oraz patenty rozwiązań.

Oto dwanaście wyjątkowo złośliwych zagrożeń, które w ostatnich latach przysporzyły sporo problemów nie tylko pojedynczym użytkownikom, ale również rządom niektórych państw.

1. ACAD/Medre – wyspecjalizowany szpieg przemysłowy – wykradł ponad 1000 projektów graficznych przygotowanych w programach AutoCAD
Rok identyfikacji: 2012
ACAD/Medre.A spustoszył bazy projektowe peruwiańskich przedsiębiorstw, wykradając z nich projekty AutoCAD i wysyłając je później do 43 wskazanych skrzynek e-mailowych, które ulokowano na serwerach w Chinach. W wyniku działania ACAD/Medre architekci i projektanci z Peru mogli ponieść znaczące straty finansowe – cyberprzestępca, który uzyskał dostęp np. do projektu graficznego konkretnego patentu, mógł go zarejestrować przed prawowitym twórcą. Na działanie zagrożenia podatne są programy AutoCAD w wersjach od 14.0 do 19.2 (od AutoCAD 2000 do AutoCAD 2015).

2. PokerAgent – internetowy złodziej tożsamości – wykradł ponad 16 tys. danych dostępowych do Facebooka w Izraelu
Rok identyfikacji: 2012
Stworzony w celu zdobycia informacji o izraelskich użytkownikach Facebooka, korzystających z popularnej aplikacji Texas Holdem Poker. Zagrożenie stworzyło botnet obejmujący 800 maszyn i skradło dane dostępowe 16 194 użytkowników Facebooka. PokerAgent potrafił kojarzyć przejmowane konta FB z wynikami danego użytkownika w Zynga Texas Holdem Poker oraz ilością posiadanych przez niego kart kredytowych przypisanych do konta. Zagrożenie zablokowano dzięki współpracy ekspertów z firmy ESET z izraelskimi władzami. Prawdopodobnie twórca zagrożenia planował ograbić wirtualnych pokerzystów z ich pieniędzy.

3. Win32/Georbot – wirtualny szpieg – przeszukiwał dyski gruzińskich komputerów, szukając dokumentów nt. FBI, CIA, KGB
Rok identyfikacji: 2011
Koń trojański, który atakował na terenie Gruzji. Po zainfekowaniu komputera wykorzystywał całe spektrum technik szpiegowskich: nagrywał filmy za pomocą kamer zainstalowanych w zarażonych komputerach, rejestrował dźwięk za pomocą wbudowanych mikrofonów i wykonywał zrzuty ekranu. By uniknąć wykrycia przez skanery programów antywirusowych trojan samodzielnie aktualizował się do nowszych wersji. Według laboratorium firmy ESET Georbot skanował dyski zainfekowanych komputerów w poszukiwaniu dokumentów zawierających słowa (pisane w języku angielskim) minister, agent, tajny, USA, Rosja, FBI, CIA, broń, FSB czy KGB.

4. German Bundestrojaner – cyberszpieg niemieckiego rządu – nasłuchiwał i rejestrował rozmowy prowadzone za pośrednictwem komunikatorów internetowych
Rok identyfikacji: 2011
Dwa lata temu członkowie europejskiego stowarzyszenia Chaos Computer Club ujawnili możliwości konia trojańskiego, stworzonego przez niemiecką policję. Zagrożeniu nadano nazwę „Bundestrojaner” – trojana federalnego, którego ESET identyfikuje jako Win32/R2D2.A. Z jego pomocą niemiecka policja zyskała możliwość przechwytywania komunikacji realizowanej za pomocą Skype, MSN Messenger, Yahoo Messenger oraz X-Lite. Trojan działał również jako keylogger, mógł też wykonywać zrzuty ekranu z zainfekowanej maszyny i nagrywać dźwięk za pomocą wbudowanego w maszynę mikrofonu. Zebrane informacje trafiały automatycznie do zdalnego komputera.

5. Stuxnet – cybersabotażysta – robak internetowy, wykorzystany do szpiegowania i ingerencji w instalacje irańskich elektrowni atomowych
Rok identyfikacji: 2011/2012
Zadaniem Stuxneta było sabotowanie irańskiego programu nuklearnego. Robak okazał się niezwykle skuteczny – według New York Timesa Stuxnet czasowo unieruchomił niemal 1000 z 5000 irańskich wirówek do oczyszczania uranu. Ostatecznie zagrożenie zostało wyeliminowane, a Iran wznowił pracę wspomnianych urządzeń.

6. BlackHole – niezbędnik cyberprzestępcy – popularny zestaw exploitów 
Rok identyfikacji: 2010
Gdyby cyberprzestępcy mieli swoją listę przebojów, to rosyjski Blackhole byłby zapewne w pierwszej piątce. Blackhole to zestaw exploitów, czyli zestaw narzędzi, które identyfikują i wykorzystują luki w różnego typu programach, do infekowania danej maszyny kolejnymi formami złośliwego oprogramowania. Twórcy Blackhole dają możliwość wypożyczenia zestawu exploitów w zamian za wniesienie stosownej opłaty o wartości kilku tysięcy dolarów. Razem z Blackholem kupujący otrzymuje indywidualne wsparcie techniczne.

7. Win32/Induc – wirus w legalnym programie – zagrożenie rozprzestrzeniające się w aplikacjach przygotowanych w języku Delphi
Rok identyfikacji: 2009
Induc najpierw infekuje komputer programisty, który tworzy aplikacje w środowisku Delphii, a następnie przenika do każdego programu skompilowanego na danej maszynie. Jeśli zarażona aplikacja trafi do innego programisty Delphi, Induc zarazi również jego środowisko programistyczne. Sytuacja, w której to programista staje się źródłem infekcji jest groźna, ponieważ podważa wiarygodność twórców i firm tworzących oprogramowanie. Induc nie stwarza bezpośredniego zagrożenia dla systemów użytkowników końcowych, chociaż mogą mieć oni trudności z uruchamianiem programów, które antywirus rozpozna jako zarażone.

8. OSX/Adware.MacDefender – wirus jako antywirus – fałszywa aplikacja antywirusowa dla OS X 
Rok identyfikacji: 2011
Zagrożenie to przedstawiało się posiadaczom komputerów firmy Apple jako MacProtector, MacDetector, MacSecurity, Apple Security Center, MacGuard czy MacShield – był to prawdopodobnie najpowszechniejszy fikcyjny antywirus atakujący system OS X. Infekcja rozprzestrzeniała się poprzez linki, podsuwane przez wyszukiwarkę internetową podczas wyszukiwania plików graficznych. Kliknięcie odnośnika powodowało wyświetlenie informacji o wykryciu w systemie koni trojańskich, które można usunąć za pomocą wskazanego rozwiązania antywirusowego. Instalacja wskazanego programu kończyła się wyświetleniem kolejnego komunikatu. Tym razem aplikacja informowała, że pobrany program jest niezarejestrowaną kopią i żeby z niej korzystać należy wnieść stosowną opłatę.

9. OSX/Flashback – najpoważniejsze zagrożenie wymierzone w system OS X – zainfekowało ponad pół miliona komputerów firmy Apple
Rok identyfikacji: 2011
Przeglądarka internetowa komputera zainfekowanego OSX/Flashback podmienia reklamy i odnośniki, tak aby ich kliknięcie kończyło się pobraniem i instalacją kolejnego złośliwego oprogramowania. OSX/Flashback zbiera informacje o zarażonym komputerze, jego systemie i ustawieniach, a następnie przesyła te dane do zdalnej maszyny. Zagrożenie utworzyło największy w historii botnet złożony z komputerów firmy Apple, obejmujący 600 000 zarażonych maszyn. Późniejszy wariant zagrożenia zawierał exploit CVE -2012-0507 w Javie, wykorzystywany również przez exploit BlackHole.

10. Android/Boxer – smartfonowy wyłudzacz – koń trojański atakujący posiadaczy smartfonów z Androidem 
Rok identyfikacji: 2012
Infekcję tym koniem trojańskim zwykle inicjuje sam użytkownik, pobierając z sieci nielegalną kopię płatnej i popularnej gry. Zbyt szybka akceptacja warunków, na jakich dana aplikacja jest udostępniana, naraża użytkownika na nieoczekiwane koszty. W efekcie użytkownik otrzymuje wiadomości SMS, za które naliczana jest podwyższona opłata, obciążająca rachunek abonenta. Android/Boxer atakował użytkowników w 63 krajach świata – w tym w Polsce.

11. ZeuS, SpyEye (ZitMo, SpytMo) – bankowi cyberrabusie – konie trojańskie sprzedawane jako gotowe pakiety złośliwych programów 
Rok identyfikacji: 2007 (Zeus), 2009 (SpyEye)
ZeuS i SpyEye to zagrożenia, które koncentrują swoją uwagę na wszelkiego typu transakcjach finansowych, głównie na tych realizowanych za pośrednictwem bankowości elektronicznej – stąd pojęcie „bankowych” trojanów. Zeus pojawił się w 2007, a trzy lata później pojawiła się jego wersja dla urządzeń mobilnych. Do 2011 powstały cztery mobilne wersje tego zagrożenia na platformy Windows Mobile, Symbian, Blackberry oraz Android.

12. TDL4 (Olmarik, Rovnix, Olmasco) – wyjątkowo groźny – złośliwy i bardzo przebiegły rootkit 
Rok identyfikacji: 2010
TDL4 to obecnie najprawdopodobniej jeden z najbardziej zaawansowanych technicznie rootkitów. Jego twórcy wyposażyli zagrożenie w narzędzie umożliwiające skuteczne maskowanie i oszukiwanie mechanizmów bezpieczeństwa, wbudowanych w systemy operacyjne. Zagrożenie TDL4 zaczęło rozprzestrzeniać się w sierpniu 2010. Od tego czasu zidentyfikowano już kilka wersji rootkita. Zagrożenie może infekować również maszyny z 64-bitowymi wersjami systemów Windows 7 oraz Vista.

Źródło: ESET

dodany: 07.03.2013 | tagi: , , , ,

Wirusy, trojany, robaki… Co to jest malware?

3

Są ludzie twierdzący, że żyjemy w epoce „post-PC”. Niestety, malware na komputerach osobistych wciąż jest głównym problemem użytkowników domowych i biznesowych. Przykłady są widoczne praktycznie wszędzie. W listopadzie odkryto malware wykradający informacje z najnowszych japońskich rakiet. Kluczowe systemy w dwóch amerykańskich elektrowniach zostały zarażone wirusem roznoszonym na pendrive’ach. Jeszcze inny złośliwiec wykradał dane kart kredytowych z infokiosków. Każdy kolejny atak jest coraz bardziej zakamuflowany i wysublimowany.

Oczywiście byłoby to zbyt proste, gdyby istniał tylko jeden rodzaj malware – jest ich tyle, że nieświadomi użytkownicy mogą mieć problem ze scharakteryzowaniem tego, co nie proszone odwiedziło ich komputery. Poniżej postaraliśmy się przybliżyć najczęściej spotykane typy.

 

Rodzaje malware’u

  • Wirusy to programy potrafiące replikować się, żeby zainfekować kolejny komputer, a przy okazji niszczące dane i kradnące informacje. Potrafią również zmienić zachowanie systemu operacyjnego. Prawie wszystkie załączone są do pliku wykonywalnego, co oznacza, że nie są aktywne, dopóki użytkownik ich nie uruchomi. Podczas gdy uruchamiany jest właściwy program, aktywuje się również część wirusowa. Zazwyczaj nie ingeruje to w oryginalny program, ale znane są przypadki, kiedy wirus nadpisał także oryginalny kod. Przenoszą się na wszelakie sposoby: załączniki e-maili, dokumenty, instalatory z nieznanych źródeł, pendrive’y.
  • Robaki są w pewien sposób podobne do wirusów. Również replikują się, żeby zainfekować więcej komputerów, jednak działają mniej lub bardziej niezależnie od innych plików. Robaki bardzo łatwo mogą narobić szkód, nie tylko pojedynczemu komputerowi, ale całym sieciom internetowym. Bardzo znanym przykładem jest Slammer, który w 2003 roku zainfekował serwery Microsoft SQL na całym świecie.
  • Trojany w przeciwieństwie do swoich braci nie replikują się. Ten typ malware’u nazwany jest na cześć konia trojańskiego, przez który upadła Troja. Naśladują zwykłe, nieszkodliwe programy, aby przekonać użytkownika do instalacji. Kiedy zostają już aktywowane, we wszelaki sposób utrudniają życie: od nagle wyskakujących okien, przez usuwanie plików i kradzież danych, po aktywacje i zarażanie innymi rodzajami malware. Otwierają również tzw. „tylne drzwi” (z ang. backdoor) udostępniając osobom trzecim dostęp do systemu.

 

To bardzo podstawowy podział komputerowych zagrożeń. Dodatkowo można wyszczególnić takie, jak: backdoory, trojany zdalnego dostępu, złodzieje informacji i ransomware.

  • Backdoory, tłumaczone jako „tylne drzwi”, umożliwiają czarnym kapeluszom (tym złym hakerom – cyberprzestępcom) dostęp do zainfekowanego systemu, omijając zabezpieczenia dzięki użyciu nieudokumentowanych funkcji sieciowych. Zwykle taki atak ma jeden wybrany cel i często wykorzystuje zabiegi socjotechniczne. Przykładem może być e-mail zatytułowany „Podwyżki w 2013”, zawierający w załączniku arkusz kalkulacyjny Excela. Oczywiście nie będzie to zwykły arkusz, ale sprzężony ze złośliwym plikiem instalującym backdoora. W ten sposób atakujący uzyska dostęp nie tylko do danych pracowników firmy, ale również do wewnętrznej sieci komputerowej.
  • Trojany zdalnego dostępu mogą na pierwszy rzut oka wyglądać jak backdoory. Dzielą z nimi pewne funkcje, ale dodatkowo zawierają interfejs dla atakującego do zarządzania zainfekowanymi maszynami. Na zainfekowanych maszynach instalowany jest serwer, umożliwiający sterowanie specjalnym klientem. W ten sposób tysiące zagrożonych komputerów może być zdalnie zarządzanych, w tym mogą być instalowane na nich programy, kradzione informacje albo być całkiem unieruchomione.

 

Wnikając głębiej w malware projektowany do wykradania informacji, może natknąć się na keyloggery, nagrywarki pulpitu i oprogramowanie zrzucające pamięć. To oczywiście nie cały podział, ale mianem złodziei informacji określa się każdy malware, który może wykraść hasła, dane dostępowe do banku, prywatne informacje i cokolwiek, co można wykorzystać albo spieniężyć.

  • Keylogger rejestruje wszystkie naciśnięcia klawiszy klawiatury, po czym przechowuje je lokalnie lub wysyła na serwer atakującego.
  • Nagrywarki co pewien interwał czasowy robią zrzut ekranu.
  • Ostatni rodzaj zrzuca z pamięci RAM komputera dane będące w trakcie przetwarzania. Przetwarzane dane są nieszyfrowane, zatem mogą być łatwo użyte.

Spośród trzech ww. wyłącznie keyloggery mogą być legalnie wykorzystywane, na przykład przez rodziców chcących kontrolować swoje dzieci.

  • Ransomware to metaforyczny terrorysta. Bierze komputer „za zakładnika”, dopóki użytkownik nie zapłaci wskazanej kwoty. Dodatkowo, ten rodzaj malware może zaszyfrować dyski, aby właściciel nie miał dostępu do danych. Kiedy użytkownik zapłaci, być może otrzyma hasło albo klucz oraz program potrzebny do odszyfrowania danych. Albo… nie stanie się nic, dane pozostaną niedostępne, użytkownik lżejszy o pewną kwotę, a atakujący się wzbogaci. Zdarzają się również przypadki groźby zniszczenia wszystkich danych za pomocą trojana. Ransomware wywodzi się ze swoistej „tradycji” wyskakujących reklam fałszywych produktów antywirusowych. Może nawet zostać uznane za następcę fałszywych antywirusów –  oba martwią czymś użytkownika (utratą danych albo rzekomym malware znalezionym na komputerze) i wymuszają zapłatę w celu pozbycia się problemu.

 

Więcej teorii (i praktyki)

Malware nie zawsze jest zauważalna dla użytkownika. Tak naprawdę, najbardziej groźne przypadki są niemożliwe do wykrycia bez zaawansowanego oprogramowania skanującego. Można jednak wyróżnić pewne symptomy wskazujące, że komputer jest zainfekowany.

  • Multum wyskakujących okienek, zwłaszcza reklamujących oprogramowanie antywirusowe (fałszywe);
  • Dziwne zachowanie przeglądarki internetowej, np. niemożność zamknięcia lub otworzenia niektórych stron;
  • Zmiana strony domowej i domyślnej wyszukiwarki w przeglądarce, nowe paski narzędziowe;
  • Autostartujące programy bez widocznego powodu;
  • System jest mniej responsywny (wolniej albo wcale nie odpowiada na polecenia);
  • Znikające katalogi i pliki;
  • Nienaturalna ilosć błędów systemowych;
  • Zapora sieciowa informuje o dziwnych programach próbujących połączyć się z siecią.

Malware może zainfekować maszynę praktycznie bez „współpracy” użytkownika. Na przykład zwyczajne odwiedzenie złośliwej strony albo oryginalnej, ale zainfekowanej przez czarne kapelusze wystarczy, żeby zarazić swój komputer. Na szczęście bezpieczeństwo w Windowsie Vista, 7 albo 8 znacznie poprawiło się dzięki technologii UAC zabezpieczającej przed niekontrolowaną instalacją oprogramowania. Niestety nie wiele to da w przypadku luk w innych programach – najbardziej znanym przykładem może być Java. Mac OS jest nadal postrzegany jako system bez wirusów, co niestety mija się z prawdą.

Złośliwe oprogramowanie potrafi uniknąć wykrycia dzięki rootkitom, które mają dostęp do niskopoziomowych części systemu i ukrywają istnienie szkodników.

  • Rootkit sam w sobie nie jest malware, jest wyłącznie technologią wykorzystywaną przez nie. Może ukrywać istnienie poszczególnych procesów, folderów, plików i wpisów w rejestrze. Dlatego tak ważne jest posiadanie całego pakietu antywirusowego z włączoną heurystyką, a nawet wtedy nigdy nie ma się gwarancji bezpieczeństwa. Niemniej, dzięki powyższym opisom przynajmniej będziesz wiedzieć, co może myszkować po Twoim sprzęcie.

dodany: 27.02.2013 | tagi: , ,

Koniec wsparcia dla Windows XP… – przejdź na nowszą i bezpieczniejszą platformę

70
Koniec wsparcia dla Windows XP… – przejdź na nowszą i bezpieczniejszą platformę

Nie wiem czy wszyscy pamiętają, że Windows XP miał premierę 25 października 2001 roku, zaś zakończenie wsparcia Windows XP SP3 nastąpi już 8 kwietnia 2014 r. Planowany koniec supportu był przekładany przez Microsoft ze względu na wciąż bardzo dużą liczbę użytkowników tego systemu operacyjnego. Taką sytuację mamy również w Polsce – popularność cieszy, ale potencjalne zagrożenia i ryzyko związane z bezpieczeństwem użytkowania tej platformy jest duże.  Wielu posiadaczy systemu XP jest bardzo zadowolonych, przyzwyczaili się do niego i wręcz trudno im przyjąć do wiadomości, że nadszedł już czas przejścia na nowszą platformę. Rodzi się pytanie, ale dlaczego i po co to robić? Ten system jest „idealny” dla mnie, nie chcę się z nim rozstać, wciąż mam swoje aplikacje, które działają tylko pod Windows XP.  Przecież tyle lat już na nim pracuję, jest stabilny i bezpieczny, jak do tej pory żadne dane nie zostały mi skradzione.

(więcej…)

dodany: 25.02.2013 | tagi: , ,

Groźny wirus na Facebooku

2

Obecnie na Facebooku działa już kilkaset różnych fan page’y o nazwach Videos Mega lub Mega Videos. Kiedy osoba odwiedzająca jedną z takich stron klika na złośliwy link ukryty pod obrazkiem Adobe Flash Player, uruchamia się skrypt, który w sposób niebudzący podejrzeń zachęca użytkownika do zaktualizowania tej wtyczki.

Jeżeli użytkownik zgodzi się na zainstalowanie aktualizacji, w tym samym momencie na jego komputer zostaną pobrane samorozpakowujące się pliki zawierające Trojan.DownLoader8.5385. Podobnie jak inne składniki pobrane przez złośliwe oprogramowanie, trojan zawiera wiarygodny podpis cyfrowy wydany w imieniu firmy Updates LTD, w związku z czym instalacja może nie uaktywnić alarmów bezpieczeństwa na komputerach niezabezpieczonych odpowiednim programem antywirusowym.

Trojan.DownLoader8.5385  jest typowym złośliwym programem pobierającym, którego zadaniem jest pobranie i uruchomienie innych szkodliwych plików na zainfekowanym komputerze. Program ten pobiera wtyczki dla przeglądarek internetowych Google Chrome i Mozilla Firefox. Wtyczki te zostały zaprojektowane do wysyłania zaproszeń do różnych grup na Facebooku i „polubienia” postów na portalu społecznościowym. Dodatkowo, złośliwe rozszerzenia mogą przyczynić się do:

  • zbierania informacji na temat użytkowników Facebooka znajdujących się na „liście znajomych” posiadacza zainfekowanego systemu;
  • „polubienia” stron społecznościowych lub materiałów zewnętrznych;
  • dzielenia się albumem ze zdjęciami na danej stronie;
  • dołączenia do grup;
  • wysyłania zaproszeń „dołącz do grupy” do użytkowników z „listy znajomych”;
  • zamieszczania linków na wall’u użytkownika;
  • zmiany statusu użytkownika;
  • otwierania okienek czatu;
  • dołączenia do aktywności na Facebooku;
  • zapraszania użytkowników do aktywności;
  • postowania komentarzy;
  • odbierania i wysyłania sugestii.

Plik konfiguracyjny wtyczki jest pobierany z serwera należącego do przestępców. Szkodliwe rozszerzenia są wykrywane przez oprogramowanie Dr. Web jako Trojan.Facebook.310.

Trojan.DownLoader8.5385 instaluje również na zainfekowanym systemie wirusa BackDoor.IRC.Bot.2344. Z kolei ten trojan może włączyć zainfekowane komputery do botnetu i wykonać różne komendy wysyłane przez specjalny kanał IRC stworzony przez przestępców. Dyrektywy, które mogą być wykonywane przez BackDoor.IRC.Bot.2344 obejmują:

  • wykonanie komend CMD;
  • pobranie pliku z określonej lokalizacji w Internecie i umieszczenie go w wyznaczonym folderze lokalnym;
  • sprawdzenie, czy proces wyznaczony w dyrektywie jest uruchomiony;
  • wysłanie listy uruchomionych procesów zebranych za pomocą narzędzia tasklist.exe do zdalnego serwera;
  • wyłączenie wyznaczonego procesu;
  • uruchamianie dowolnej aplikacji;
  • pobranie i zainstalowanie wtyczek do Google Chrome za pomocą określonego URL.

Wszystkie wyżej wymienione trojany zostały dodane do baz danych wirusów i nie stanowią zagrożenia dla systemów zabezpieczonych produktami antywirusowymi Dr.Web. Doctor Web apeluje jednak do użytkowników Internetu, aby zachowali ostrożność przy dołączaniu do grup na Facebooku i instalowali aktualizacje pochodzące tylko z legalnych źródeł

– mówi Joanna Schulz z Doctor Web.

dodany: 21.12.2012 | tagi: , , ,

W 2013 roku szykuje się inwazja mobilnych wirusów

2

Według prognoz zespołu ekspertów antywirusowych firmy ESET, przyszły rok przyniesie znaczący wzrost liczby zagrożeń atakujących smartfony i tablety z system Android. Zwiększy się również liczba aktywnych botnetów, a popularność chmury zwróci uwagę cyberprzestępców, którzy najprawdopodobniej spróbują dobrać się do zgromadzonych w niej danych.

Rosnąca popularność systemu Android już od jakiegoś czasu przyciąga uwagę cyberprzestępców. Według Gartnera, aż 72% spośród wszystkich urządzeń mobilnych sprzedanych w trzecim kwartale 2012 roku bazowała właśnie na tej platformie systemowej. Popularność Androida przełożyła się w bieżącym roku na wzrost liczby ataków na użytkowników urządzeń z tym systemem. Eksperci ESET wnioskują, że tendencja ta utrzyma się również w nadchodzącym 2013 roku, kiedy to prawdopodobnie pojawią się kolejne odmiany znanych już mobilnych koni trojańskich, które będą próbować rozsyłać wiadomości SMS na numery premium (o podwyższonej opłacie) lub wykradać dane użytkowników.

Analitycy ESET prognozują również zmianę metody rozprzestrzeniania się nowych zagrożeń komputerowych. Na znaczeniu straci propagacja wirusów za pośrednictwem przenośnych nośników danych, a dokładniej za pośrednictwem zainfekowanych plików automatycznego startu takich nośników. W 2013 roku zdecydowanie częściej cyberprzestępcy będą posługiwać się metodą infekowania za pośrednictwem przechwyconych serwisów WWW. To efektywniejszy i wygodniejszy sposób na zarażanie nowych komputerów. Twórca zagrożenia musi jedynie zidentyfikować słabo zabezpieczoną stronę internetową, na której osadzi specjalny skrypt. Ten z kolei sprawi, że internauta odwiedzający serwis WWW zostanie przekierowany do innej strony, która zainfekuje jego komputer złośliwym programem.

W nowym roku prawdopodobnie nadal rosnąć będzie liczba botnetów, czyli sieci komputerów-zombie, kontrolowanych zdalnie i wykorzystywanych np. do atakowania serwerów dużych firm i instytucji. Jak podkreślają eksperci, duże zainteresowanie botnetami wśród cyberprzestępców wynika przede wszystkim z łatwości ich tworzenia, a także z możliwości uzyskiwania dzięki nim realnych dochodów.

Według ekspertów z firmy ESET w 2013 roku wzrośnie także prawdopodobieństwo wycieku danych, przechowywanych w tzw. chmurze. Wszystko za sprawą coraz powszechniejszego korzystania z tej usługi, do czego przyczyniły się (według Garntera) m.in. aparaty fotograficzne wbudowane w smartfony i tablety. Wygoda korzystania z chmury i łatwość dostępu do danych w niej zgromadzonych sprawiają, że usługą tą zaczynają interesować się cyberprzestępcy. Dlatego bardzo prawdopodobne, że w 2013 roku głośno będzie o wycieku danych zgromadzonych właśnie w chmurze.

W 2013 roku szykuje się inwazja mobilnych wirusów

W listopadzie najczęstszym powodem infekcji komputerów na całym świecie była rodzina zagrożeń INF/Autorun, ukrywających się w plikach automatycznego startu.

Pobierz raport firmy ESET nt. wirusów, które w ubiegłym miesiącu najczęściej infekowały komputery użytkowników na całym globie.

dodany: 10.08.2012 | tagi: ,

Dorifel – znacznie większy, niż przypuszczano i wciąż aktywny!

0

Datę 9 sierpnia 2012 roku zapamięta wiele europejskich firm. Tego dnia złośliwe oprogramowanie o nazwie Worm.Win32.Dorifel zainfekowało ponad 3000 urządzeń na całym świecie. 90% z nich to komputery używane przez przedsiębiorstwa i publiczne instytucje, których siedziby mieszczą się w Niderlandach.

Ofiarami ataku stały się zarówno organizacje rządowe, jak i szpitale. Kolejnymi państwami, w których ataki miały miejsce, były: Dania, Filipiny, Niemcy, Stany Zjednoczone i Hiszpania. Żaden z użytkowników, używających produktów Kaspersky Lab’s, nie zanotował szkód.

Złośliwe oprogramowanie trafiło do ofiar drogą mailową. Użyło luki „Right To Left”, aby ukryć swoje oryginalne rozszerzenie. Malware następnie pobrał inne złośliwe oprogramowanie, które zaszyfrowało dokumenty i umieściło je na zainfekowanym komputerze. Dorifel próbował również szyfrować pliki przygotowane do udostępnienia w sieci.

David Jacoby, ekspert Kaspersky Lab, opisał na swoim blogu:

„Kiedy śledziłem Dorifela zauważyłem, że serwery, na których się znajduje, nie były skonfigurowane odpowiednio i pozwoliły na wymianę katalogów w pewnych katalogach. To wyzwoliło we mnie chęć szukania więcej interesujących katalogów, co też zrobiłem, i ku mojemu zdziwieniu stwierdziłem, że na serwerze było o wiele więcej złośliwych składników”,

niż tylko Dorifel. Bardzo ciężko powiedzieć, czy ten scam jest skomplikowany i zaawansowany. Wśród ciekawych rzeczy, które ekspert znalazł, były:

  • pliki zawierające m.in. takie informacje, jak numery kart kredytowych,
  • niewykryte exploity Javy (Exploit.Java.CVE-2012-0507.oq i Exploit.Java.Agent.hl),
  • fałszywy antiwirus (Trojan-FakeAV.Win32.SmartFortress2012.ctq),
  • złośliwe oprogramowanie zawierające Trojan.Win32.TDSS.isql i inne, będące w trakcie analizy,
  • statystyki ataków dokonanych złośliwym oprogramowaniem Dorifel (wciąż aktywne),
  • narzędzia webinjects, używanie do uruchamiania stron do phishingu,
  • panele administracyjne dla Exploit Kits i Statistics.

Ekspert Kaspersky Lab stwierdził, że to dowody na to, że gang, który odpowiada za Dorifela, dokonywał także innych ataków.

Serwer zawiera również statystyki ataków, które wskazują na to, że inne kraje, jak Kanada, Chiny i Polska, też zostały zaatakowane.

Ekspert zastanawia się na blogu:

„Jedno pytanie, które nas dręczyło podczas researchu, to czy atak skierowany jest przeciwko rządowym organizacjom w Niderlandach. Niczego nie udało nam się ustalić, ale z jakiegoś powodu zdecydowana większość wszystkich ofiar pochodzi z Niderlandów. Postanowiłem przeprowadzić śledztwo w późniejszym terminie”.

Następnie David Jacoby napisał o analizie zasobów serwera, na którym znajdował się malware. „To nie pierwszy raz, gdy spotkaliśmy serwery używane do złośliwych ataków, posiadające słabą konfigurację, więc wiedzieliśmy, czego należy szukać”. Potem dodał, że mogą one wskazywać na niskie umiejętności techniczne gangu, stojącego za atakiem oraz że osoba która napisała malware’a nie jest tą samą, która użyła złośliwego oprogramowania.

„Chciałbym podkreślić” – dodał ekspert

– „że znaleźliśmy tony nowych, złośliwych plików na serwerze z Dorifelem, a także sporo exploitów, które mogą wskazywać na to, że komputery zainfekowane przez malware mogą mieć zainstalowane dodatkowe złośliwe oprogramowanie”.

Specjaliści z Kaspersky Lab zebrane próbki wysłali do analizy. Pracują także nad odpowiednią ochroną dla użytkowników i nad złapaniem przestępców.

Ekspert dodał:

„Jak zostało wspomniane wcześniej, znaleźliśmy kilka interesujących informacji, które mogą wskazywać, że scam i ZeuS/Citadel są powiązane, ale (…) nie jesteśmy w stanie tego potwierdzić”.

Niektóre z części układanki, które nie miały sensu, są na tym samym serwerze, na którym Kaspersky Lab zidentyfikowali nowe exploity Javy.

„Dlaczego serwer przetrzymuje exploity, nie wiadomo, ale myślimy, że exploity są używane w atakach typu drive-by-download, do pobierania dodatkowego malware’a, na przykład takiego, który kradnie informacje finansowe”.

Eksperci z Kaspersky Lab nie zidentyfikowali jeszcze wszystkich składników. Nie wiedzą też, kto stoi za tym atakiem.

„W tym momencie mamy komponenty, które mogą spowodować ogromne zniszczenia na zainfekowanym komputerze. Jeśli zostaniesz zainfekowany, możesz stracić informacje o finansach, twoje pliki mogą zostać zaszyfrowane, a na twoim komputerze zainstalowane zostaną backdoory”.

Dodał też:

„będziemy aktualizować nasz blog i dodawać nowe informacje najszybciej, jak tylko potrafimy”.

Ekspert Kaspersky Lab ostrzegł:

„proszę, strzeżcie się podejrzanych plików, nie otwierajcie załączników w e-mailach od organizacji, które zostały zaatakowane przez wirus. Upewnijcie się, że wasz komputer jest chroniony przez oryginalny program od Kaspersky’ego i że wszystkie łaty bezpieczeństwa, nie tylko dla Windows’a, ale także dla Javy są zainstalowane, bo przewidujemy, że będzie więcej ataków”.

Ekspert polecił dodatkowo zablokowanie dostępu następującym adresom IP: 184.82.162.163 oraz 184.22.103.202.

„Jeśli zobaczycie ruch sieciowy do tych adresów, możecie być prawie pewni, że zostaliście zainfekowani a trojan pobiera dodatkowe złośliwe oprogramowanie z tych hostów”.

Źródło: http://bit.ly/RGjENq

dodany: 27.07.2012 | tagi: , ,

Nowy trojan atakuje komputery Apple’a

0

Francuska firma Intego, zajmująca się bezpieczeństwem sieciowym, odkryła w komputerach Maca nowego konia trojańskiego. Nazwała go „Crisis”. Przez firmę Sophos trojan został nazwany „Morcutem”.

„Crisis” to nietypowy trojan. Po pierwsze dlatego, że dzięki jego kodowi odkryto jego powiązania z włoską firmą, która sprzedaje służbom specjalnym i organom ścigania warte 245 tys. dolarów oprogramowanie szpiegowskie. Po drugie dlatego, że w przeciwieństwie do innych trojanów, Crisis nie wykorzystuje luk w zabezpieczeniach do ataków, ale podstępnie doprowadza użytkowników do infekowania własnych Maców przez nich samych.

Crisis to złośliwe oprogramowanie, które szpieguje ofiary używające aplikacji społecznościowych, komunikatorów typu Skype czy MSN Messenger, a także przeglądarek, zwłaszcza Safari i Firefox na Macu. Na nieprzyjemne skutki jego działania mogą być narażone także osoby  dzwoniące przez Internet.

Crisis jest na tyle sprytny, że potrafi ukrywać się przed oprogramowaniem zabezpieczającym system, instalując rootkit oraz narzędzie „monkeys” za pomocą OS X’s Activity Monitor.

Zbadano też inne umiejętności trojana. Crisis nie tylko monitoruje działanie komunikatorów, ale także przechwytuje informacje przez nie przesyłane. Kiedy użytkownicy z zainfekowanym przez niego komputerem korzystali ze Skype’a, trojan pobrał komunikaty audio i wiadomości tekstowe. Crisis potrafi także włączyć wbudowaną w komputery Apple’a kamerkę internetową i mikrofon, aby podsłuchiwać i podglądać użytkowników. Trojan filtruje także przeglądarki. Pobiera np. adresy URL. Umie również zrobić zdjęcia otwartym w przeglądarce stronom. Do innych jego umiejętności należy także nagrywanie sekwencji ruchów na klawiaturze i wykradanie adresów z książki adresowej użytkownika. Całe żniwo, które zbierze, przesyła na pojedynczy serwer command-and-control (C&C).

Francuska firma określiła trojana jako „bardzo zaawansowanego i bogatego w funkcjonalności”. Tak skutecznego prawdopodobnie dlatego, że – jak odkryło Intego – część jego kodu pochodzi z komercyjnego oprogramowania szpiegowskiego.

Właśnie to oprogramowanie – Remote Control System (RCS) – jest promowane przez włoską firmę Hacking Team i sprzedawane tylko służbom specjalnym i organom ścigania. Hacking Team specjalizuje się w tak zwanej „ochronie ofensywnej”.

Na stronie Hacking Team możemy przeczytać, że RCS to „rozwiązanie zaprojektowane do unikania szyfrowania, za pomocą agenta bezpośrednio zainstalowanego na urządzeniu, służącego do monitorowania”.

W marketingowej broszurze na temat RCS, Hacking Team opisuje swoje oprogramowanie jako „Hakerski garnitur dla rządowych podsłuchów”, twierdząc, że oprogramowanie jest używane na całym świecie i może monitorować w jednym czasie setki tysięcy zainfekowanych komputerów lub smartfonów. Kosztuje ponoć 200 000 euro (245 660 dolarów).

„W związku ze swoją ceną, nie spodziewajmy się, że tego produktu będzie używać przeciętny script kiddies w „piwnicy” swoich rodziców” – komentuje Intego.

Źródło: http://bit.ly/Q3bwSK

dodany: 26.07.2012 | tagi: , , ,

Robak atakujący Microsoft Windows w Apple App Store

0

Złośliwe oprogramowanie dla systemu Windows zostało wykryte w… Apple App Store – dokonał tego użytkownik, który ściągnął aplikację „Instaquotes – Quotes Cards For Instagram” za pomocą iTunes.

Malware został wykryty przez sytem antywirusowy użytkownika – po głębszym zbadaniu sprawy przez trzy programy antywirusowe, okazało się, że jest to robak wykrywany jako:

  • CoiDung-A przez Sophos,
  • Worm-VB-900 przez ClamAV
  • VB-CB przez Microsoft Security Essentials

Apple poinformowane o zdarzeniu usunęło aplikację ze swojego sklepu.

Sam robak jest dość stary i powinien być unieszkodliwiony przez każdy system antywirusowy. Inni użytkownicy, którzy pobrali felerną aplikację, zgłosili także swoje zastrzeżenia na Apple Support Communities. Sama aplikacja była dostępna od 19 lipca, natomiast ostatniego weekendu jej cena została obniżona z  0.99$ do zera.

Nie wiadomo, jak dużo użytkowników pobrało zainfekowaną aplikację. Sytuacja jest o tyle żenująca dla Apple, że wyraźnie pokazuje, iż firma nie sprawdza nawet w podstawowym zakresie aplikacji pod kątem wirusów. Wcześniej (w tym samym miesiącu) Apple zamieścił także inne podejrzane oprogramowanie o nazwie „Find and Call”, które gromadziło informacje o kontaktach z telefonów, a potem wysyłało do nich wszystkich spamowego SMS-a – wszystko bez ostrzeżenia.

dodany: 24.07.2012 | tagi: , , , ,

Złośliwe oprogramowanie, przeznaczone dla Windowsa, dostało się do App Store systemu iOS Apple’a

27

24 lipca 2012 r. Internet obiegła wiadomość, że złośliwe oprogramowanie, mające szkodzić Windowsowi, dostało się do App Store systemu iOS Apple’a. Według obserwatorów, złośliwe oprogramowanie nie jest groźne dla systemów iOS czy MacOS, może jednak dotknąć użytkowników systemu Windows, którzy zarządzają swoimi aplikacjami na kontach iTunes.

Robak przeznaczony dla Windowsa, został odnaleziony w aplikacji dystrybuowanej przez Apple’owy App Store dla systemu iOS.

Użytkownik forum dyskusyjnego Apple’a, zamieścił post, w którym zawarł informację, że w pobranej, darmowej aplikacji „Instaquotes Quotes Cards for Instagram”, program antywirusowy ClamXav wskazał plik „Worm.VB-900”, jako zawierający robaka.

Na pierwszy rzut oka mogło wydawać się, że to fałszywy alarm, ale po dalszej analizie okazało się, że robak jest zagnieżdżony w pobranym oprogramowaniu.

Aplikacje App Store są rozpowszechniane w formacie pliku .ipa. Podobnie do aplikacji systemu OS X, aplikacja iOS zawiera pliki wykonywalne i pozostałe zasoby, wymagane do uruchomienia ich na platformie iOS.

Topher Kessler, autor tekstu „Windows malware slips into Apple’s iOS App Store”, który opublikował na reviews.cnet.com, napisał:

„Aby sprawdzić autentyczność postu, pobrałem omawianą aplikację z iTunes i poddałem ją skanowaniu przy użyciu darmowego Symantec’s iAntivirus. Okazało się, że aplikacja zawiera dwa wykonywalne pliki platformy Windows, które są oznaczone jako złośliwe oprogramowanie:

instaquotes.ipa/Payload/Instaquotes.app/FBDialog.bundle/FBDialog.bundle.exe

instaquotes.ipa/Payload/Instaquotes.app/FBDialog.bundle/images/images.exe

Ponieważ plik .ipa jest zarchiwizowany, mogłem wypakować obydwa pliki przy użyciu managera Pacifist, aby następnie poddać je dokładniejszemu skanowaniu. Tuż po rozpakowaniu, programy wykrywające złośliwe oprogramowanie (np. Sophos), które dotychczas nie zauważyły robaka, zgłosiły obecność złośliwego oprogramowania natychmiast, określając je jako „Mal/CoiDung-a”. Okazał się nim worm napisany w visual basic’u, który instaluje pliki w systemie plików Windows a następnie modyfikuje rejestr, aby uruchomić złośliwe oprogramowanie po restarcie systemu”.

Autor następnie skopiował pliki robaków na wirtualną maszynę Windows z zainstalowaną najnowszą wersją Microsoft Security Essentials. W rezultacie zostały one natychmiast wykryte i usunięte z systemu.

Robak, o którym mowa, został po raz pierwszy wykryty w sierpniu 2009 – można więc powiedzieć, że jest dość stary, wiec jest z łatwością rozpoznawany przez większość programów do zwalczania złośliwego oprogramowania. Lepiej jednak, do momentu wyjaśnienia całej sytuacji, nie pobierać aplikacji „Instaquotes”.

To nie pierwszy taki przypadek, kiedy do App Store dostało się złośliwe oprogramowanie. Wcześniej, w tym roku, Kaspersky Lab odkrył aplikację „Find & Call”, która była złośliwym oprogramowaniem zbierającym dane. Apple pozbył się trojana skutecznie i miejmy nadzieję, że zrobi to samo z robakiem, o którym pisze Kessler.

Po jego artykule, Apple usunął aplikację „Instaquotes” z iOS App Store. Nie jest już dostępna na iTunes i nie można jej pobrać bezpośrednio na urządzenia wyposażone w iOS.