Firma M86 Security poinformowała o zidentyfikowaniu nowej, trzeciej już wersji trojana Zeus, który zajmuje się okradaniem kont bankowych. Pierwsze sygnały o pojawieniu się Zeusa zaczęły wypływać na początku ubiegłego miesiąca. Aktualnie szacuje się, że trojan ukradł około milion dolarów. więcej »

Cyberprzestępcy do infekowania złośliwym oprogramowaniem chętnie wykorzystują ważne wydarzenia i ciekawe tematy. Tym razem jako przynętę wykorzystali telefony iPhone firmy Apple. Najnowszy przypadek wykryty przez PandaLabs - laboratorium Panda Security specjalizujące się w wykrywaniu i analizie złośliwego oprogramowania - dotyczy nowego ataku typu pharming, wykorzystującego trojana Banker.LKC. W wyniku tego ataku dane bankowe ofiar trafiają w ręce cyberprzestępców.

Pharming to zaawansowana wersja phishingu. Polega na manipulowaniu systemem DNS (Domain Name Server) poprzez konfigurację protokołu TCP/IP lub pliku hostów. Serwery DNS przechowują adresy numeryczne lub adresy IP (np. 62.14.63.187.) przypisane do każdej nazwy domeny lub adresu URL (np. www.mibanco.com).

W wyniku ingerencji cyberprzestępców wpisanie przez użytkownika nazwy witryny www powoduje przekierowanie go na inny adres IP. Tam znajduje się fałszywa strona www przypominająca jedynie wyglądem oryginalną.

W przypadku ataku wykrytego przez PandaLabs za manipulację systemem DNS odpowiada trojan Banker.LKC. Złośliwy kod przedostaje się do systemu pod nazwą VideoPhone[1]_exe. Po uruchomieniu pliku otwarte zostaje okno przeglądarki internetowej z wyświetloną witryną www, na której sprzedawany jest iPhone. Gdy użytkownik przegląda stronę, trojan dokonuje modyfikacji pliku hostów, przekierowując adresy URL banków i innych firm na fałszywe witryny www.

Oznacza to, że podczas logowania do banku internauta - niezależnie od tego, czy adres jest wpisywany ręcznie w przeglądarkę, czy użytkownik korzysta z wyszukiwarki - zostaje przekierowany na fałszywą stronę. Tam wprowadza swoje poufne dane (numery kont, hasła itp.), które trafiają następnie w ręce cyberprzestępców.

więcej »

iPad firmy Apple w kilka tygodni po premierze w Stanach Zjednoczonych Ameryki ma już na swoim koncie pierwsze, poważne oprogramowanie złośliwe. No, może nie do końca. Nowy "złośliwiec" co prawda skierowany jest do posiadaczy iPadów, ale działa na komputerach PC, pracujących pod kontrolą systemów Windows. więcej »

Użytkownicy Facebooka po raz kolejny padli ofiarą ataku typu clickjacking – robaka, który wykorzystuje ukryty przycisk „Like” (Lubię to). Za sprawą ataku clickjacking (nazwanego przez Sophos likejacking) wiele profili użytkowników sieci Facebook zostało zaktualizowanych o wiadomość mówiącą, że użytkownik lubi stronę o nazwie ": |: | 101 Hottest Women in the World: D: |: |: (101 najgorętszych kobiet na świecie). więcej »

Firma Trend Micro poinformowała o obecności niebezpiecznego kodu w wielu sterownikach oferowanych przez znaną firmę Razer. Okazuje się, że udostępniane za pośrednictwem strony internetowej producenta sterowniki są zarażone trojanem, który po zainstalowaniu umieszcza w folderze systemowym robaka WORM.ASPXOR.AB.

Trend Micro zaznacza przy okazji, że szkodnik cieszy się bardzo niską wykrywalnością. Według firmy tylko 7 producentów oprogramowania antywirusowego zapewnia jego wykrywalność.

Firma Razer zareagowała na informację o infekcji zamknięciem swojego internetowego działu wsparcia programowego. Każdy, kto od 19 września pobierał od producenta jakiekolwiek sterowniki powinien jak najszybciej przeskanować wszystkie dyski.

Zalecane przez firmę Razer oprogramowanie, zdolne wykryć szkodnika to: AVG 8.5, Avira Antivirus, Trend Micro Housecall, Avast Antivirus.

więcej »

Kaspersky Lab, producent rozwiązań do ochrony danych, informuje o wykryciu nowego, bardzo niebezpiecznego wirusa szyfrującego dane - Virus.Win32.Gpcode.ak.

Gpcode.ak szyfruje pliki o różnych rozszerzeniach, między innymi: .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h i wiele innych. Do szyfrowania wykorzystywany jest algorytm RSA z kluczem o długości 1024 bitów. Analitycy z Kaspersky Lab dodali sygnatury tego szkodliwego kodu do baz danych 4 czerwca 2008 r. Posiadanie aktualnych sygnatur zagrożeń całkowicie chroni przed infekcją wirusem Gpcode.

Specjaliści z Kaspersky Lab skutecznie walczyli z poprzednimi wariantami wirusa Gpcode, z powodzeniem łamiąc nawet 660-bitowy klucz wykorzystywany przez autora szkodnika do szyfrowania danych (więcej informacji na ten temat można znaleźć w artykule Szantażysta: historia Gpcode'a w Encyklopedii Wirusów Viruslist.pl prowadzonej przez Kaspersky Lab).

Szacowano wówczas, że gdyby twórca Gpcode'a poprawnie zaimplementował algorytm RSA złamanie 660-bitowego klucza zajęłoby około 30 lat przy użyciu jednego komputera z procesorem 2,2 GHz. Dopracowanie swojego "dzieła" zajęło autorowi dwa lata - wszystkie błędy występujące w starych wersjach zostały usunięte i użyto innego klucza - tym razem 1024-bitowego.

Dotychczas analitykom z Kaspersky Lab nie udało się odszyfrować plików zaatakowanych przez nowego Gpcode'a - klucz o długości 1024 bitów to bardzo poważna sprawa, a ponadto nie wykryto żadnych błędów w implementacji algorytmu RSA. Zatem w momencie powstawania tego tekstu jedynym sposobem na odzyskanie zaszyfrowanych danych jest użycie klucza, którym dysponuje autor wirusa.

więcej »

Najnowsze zagrożenie dla korzystających z bankowości elektronicznej to „koń trojański” ZeuS, który oprócz komputerów atakuje również telefony komórkowe. Media od kilku tygodni biją na alarm. Do Polski dotarł znany już za granicą ZeuS – złośliwy program, który wykrada dane dostępowe do kont bankowości elektronicznej. więcej »

Firma ESET produkująca oprogramowanie zabezpieczające i antywirusowe dlasystemów Windows, opublikowała raport o zagrożeniach dla komputerów w Polsce w sierpniu tego roku. Po zebraniu i zsumowaniu danych okazało się, że najwięcej komputerów zostało zainfekowanych przez konia trojańskiego wykradającego dane logowania do gier sieciowych, między innymi popularnych World of Warcraft i Tibii.

więcej »

F-Secure ostrzega przed nowym trojanem, który blokuje dostęp do plików żądając okupu. Podczas procederu ofiara jest przekonywana, że to nie jest atak, tylko próba uratowania cennych danych przed całkowitą utratą.

Po infekcji komputera Trojan W32/DatCrypt sprawia, że pliki muzyczne, wideo, zdjęcia czy dokumenty nie mogą zostać otworzone – pojawia się informacja o błędzie. W rzeczywistości są one zaszyfrowane przez DatCrypt. Następnie trojan wyświetla poradę o potrzebie zainstalowania aplikacji nazwanej Data Doctor 2010. Wygląda ona na autentyczny komunikat z Windows.
Aplikacja jest rekomendowana jako oprogramowanie naprawiające błąd w odczytywaniu plików.

więcej »

Użytkownicy komputerów Mac powinni zwiększyć swoją czujność. Eksperci firmy Symantec poinformowali o wykryciu nowego trojana o nazwie OSX.Iservice, infekującego te właśnie komputery. Złośliwy kod rozprzestrzenia się w sieciach P2P (peer-to-peer) i jest częścią pirackiej wersji instalacyjnej aplikacji Apple iWork 09.

Użytkownicy komputerów Mac, którzy nie zainstalowali żadnego oprogramowania antywirusowego, nie zauważą, że w ich systemie trojan otworzył tzw. „tylne drzwi” dla cyberprzestępców.

Jak wynika z „Raportu na temat gospodarki czarnorynkowej” przygotowanego przez firmę Symantec w listopadzie 2008 roku, polscy użytkownicy Internetu bardzo chętnie udostępniają pirackie pliki do ściągnięcia w sieciach P2P. Polska zajęła 6. miejsce w rankingu ilości udostępnianych plików do ściągnięcia poprzez sieć BitTorrent oraz 2. miejsce w rankingu ilości udostępnionych gier komputerowych.

Więcej informacji na temat Trojana OSX.Iservice można znaleźć na blogach firmy Symantec pod adresami: http://community.norton.com/t5/Norton-Protection-Blog/New-Trojan-Attacks-Pirates/ba-p/59431 oraz https://forums.symantec.com/t5/Malicious-Code/OSX-Iservice-It-s-not-going-to-iWork-for-you/ba-p/381915#A231

więcej »

W weekend klienci Lenovo zostali zaskoczeni w najmniej spodziewanym momencie – podczas pobierania sterowników ze strony chińskiego producenta, tysiące Internautów otrzymało również pasażera na gapę – konia trojańskiego Bredolab. Wielu z nich wciąż o tym nie wie. więcej »

Cyberprzestępcy pod pretekstem aktualizacji systemu Windows XP wprowadzili do wielu komputerów niebezpiecznego robaka znanego wcześniej jako Trojan.Generic.171369.

Wiadomość, która dotarła do ofiar przestępców została sfałszowana na wzór dyrektyw pochodzących od ekspertów komputerowych i producentów oprogramowania. Dodatkowo cyberprzestępcy zastosowali graficzny trik, dzięki któremu użytkownicy nie byli świadomi zagrożenia i wpadli w pułapkę.

więcej »

Firma Panda Security opublikowała kwartalny raport dotyczący aktywności złośliwego oprogramowania w okresie od lipca do września. Największą nowością jest fakt, iż w badanym kwartale hakerzy pobili wszelkie rekordy w tworzeniu nowych zagrożeń. W ciągu ostatnich trzech miesięcy Laboratorium PandaLabs zarejestrowało 5 milionów nowych odmian złośliwego oprogramowania. Większość z nich stanowiły trojany bankowe, ale wzrosła także liczba programów adware i spyware.

„Aktualnie otrzymujemy ok. 50 tys. nowych przykładów złośliwego oprogramowania dziennie. Jeszcze kilka miesięcy temu było to 37 tys. Nie ma podstaw, aby sądzić, że sytuacja ulegnie poprawie w ciągu najbliższych miesięcy” - mówi Luis Corrons, dyrektor techniczny PandaLabs.

Liczba zainfekowanych komputerów zwiększyła się o 15% w porównaniu do poprzedniego kwartału. W ponad 37% przypadków winne były trojany, a 18,68% infekcji spowodowało oprogramowanie adware. Liczba zagrożeń tej kategorii rośnie szczególnie szybko w związku z rozprzestrzenianiem się fałszywych programów antywirusowych i aplikacji typu rogueware.

W raporcie omówiono również tendencje badane w okresie lipiec – wrzesień 2009 r. Odnotowano znaczny wzrost rozpowszechniania złośliwego oprogramowania poprzez spam, portale społecznościowe i techniki optymalizacji wyszukiwarek, kierujące użytkowników do fałszywych stron internetowych, z których pobierane jest złośliwe oprogramowanie.

Te metody rozpowszechniania złośliwych programów często wykorzystują techniki inżynierii społecznej, bazując na aktualnościach, takich jak świńska grypa, Dzień Niepodległości, pożary lasów czy przemowy Baracka Obamy.

więcej »

Firma Symantec poinformowała o wykryciu nowego typu trojana, który podsłuchuje rozmowy przeprowadzane za pośrednictwem programu Skype. Peskyspy, bo nim mowa, to zupełnie nowe podejście do szpiegowania internautów.

Program nie tylko podsłuchuje rozmowy, ale także nagrywa je i wysyła we wcześnie określone miejsce. Peskyspy wpina się pomiędzy program Skype, a sterownik kontrolera dźwięku, wykorzystując przy tym dziury bezpieczeństwa w stosie audio systemów Windows. Oznacza to, że całkowicie pomija on wszelkie zabezpieczenia protokołu Skype.

Rejestrowane rozmowy zapisywane są w skompresowanych plikach MP3 i przechowywane na dysku. Peskyspy ma także tzw. tylne drzwi, przez które atakujący może pobrać wszystkie zapisane konwersacje.

Według firmy Symantec Peskyspy nie ma na razie potencjału do stworzenia dużego zagrożenia. Jest natomiast próbką, która nie ma jeszcze zdolności samodzielnego przenoszenia się z komputera na komputer.

Zapewne już niebawem do sieci trafią nowe odmiany tego trojana, których szkodliwość będzie większa. Ciekawe, ile odmian naliczymy, zanim pojawi się pierwsza, która będzie włączać się do rozmowy z tekstem "Rozmowa kontrolowana!"?

więcej »

Miliony muzycznych i filmowych plików w sieci może być zainfekowanych destrukcyjnym kodem. Firma Symantec w ostatnim czasie odnotowała rosnącą ilość komputerów zaatakowanych przez trojana o nazwie Brisv.A. Trojan ten modyfikuje kod plików multimedialnych o rozszerzeniu .asf, .mp2, .mp3, wma czy .wmv.

W momencie ich odtwarzania program Windows Media Player łączy się z serwerem, z którego pobierane są kolejne próbki złośliwego oprogramowania. Ponadto trojan odszukuje wszystkie multimedialne pliki i konwertuje je do formatu .wma. Usunięcie destrukcyjnego kodu i przywrócenie plików do oryginalnej postaci może być bardzo trudne.

Więcej informacji na temat trojana Brisv.A można znaleźć na stronach firmy Symantec pod adresami:

• https://forums.symantec.com/t5/Malicious-Code/Sharing-Isn-t-Always-Caring/ba-p/386710;jsessionid=1954A58CCDFE8DF4F162790568E4CAC8#A238
• http://www.symantec.com/security_response/writeup.jsp?docid=2008-071823-1655-99

więcej »

Firma ESET ostrzega przed nowym koniem trojańskim Win32/Hexzone.AP, który zdołał zbudować w sieci nową sieć botnet składającą się z prawie 2 milionów zainfekowanych komputerów. Hexzone w szerokim wachlarzu swoich możliwości posiada m.in. umiejętność rejestrowania znaków wprowadzanych za pośrednictwem klawiatury podczas logowania się do konta w banku internetowym.

Hexzone to koń trojański, który po przedostaniu się na komputer użytkownika przejmuje nad nim pełną kontrolę i przekierowuje maszynę za pośrednictwem protokołu HTTP do serwera, gdzie przekazywane są dalsze instrukcje działania. W ten sposób zainfekowany komputer może posłużyć twórcy Hexzone do wykonania dowolnej operacji: od rozsyłania spamu, zainicjowania ataku DoS, przez działanie jako keylogger rejestrujący znaki wprowadzane za pośrednictwem klawiatury, aż po pobranie i instalację kolejnych wrogich aplikacji.

Według specjalistów branży bezpieczeństwa IT koń trojański Hexzone zainfekował już 1,9 mln stacji roboczych na całym świecie, tworząc tym samym pokaźnych rozmiarów sieć botnet – grupę komputerów połączonych ze sobą za pośrednictwem Internetu i potrafiących bez wiedzy użytkownika wykonywać polecenia twórców złośliwego oprogramowania. Samo zagrożenie jest dystrybuowane z serwera znajdującego się na terenie Wielkiej Brytanii, a instrukcje działania Hexzone pobiera z kolejnego serwera zlokalizowanego również w Wielkiej Brytanii. Oba serwery korzystają z domen zarejestrowanych w Rosji.

Przed Hexzone ostrzegł już w swoim serwisie internetowym znany amerykański dziennik USA Today. Byron Acohido z USA Today w blogu na http://blogs.usatoday.com/technologylive/2009/04/hackers-infect-19-million-pcs-.html szczegółowo opisał działanie trojana Hexzone oraz opublikował listę producentów rozwiązań antywirusowych, których programy chronią przed tym zagrożeniem.

więcej »

Firma Panda Security ogłosiła wyniki badań procesu kradzieży tożsamości. Na podstawie analizy 67 milionów komputerów w 2008 r. okazało się, iż 1,1% użytkowników internetu na całym świecie było narażonych na działanie oprogramowania do kradzieży tożsamości.

Wyniki zebrane przez bezpłatny skaner online Panda ActiveScan dowodzą, że w ciągu ostatniego roku ponad 10 milionów użytkowników na całym świecie zostało zainfekowanych przez niebezpieczne aplikacje do kradzieży tożsamości (dane w oparciu o szacowaną populację internautów w Ameryce Północnej i na całym świecie w roku 2008: obliczono na podstawie miliarda użytkowników na całym świecie oraz 222,141,961 w Ameryce Północnej, ze średnią penetracją łącza ADSL wysokości 70%. Źródło: www.internetworldstats.com).

Według badania opublikowanego przez niezależną firmę badawczą Javelin Strategy & Research średni koszt jednej kradzieży tożsamości w Stanach Zjednoczonych Ameryki wyniósł 496 dolarów. Generuje to łączny szacowany koszt ryzyka infekcji szkodliwym oprogramowaniem w wysokości ok. 1,5 miliarda dolarów tylko w tym kraju.

Poniżej przedstawione są najważniejsze wnioski laboratorium PandaLabs na temat ewolucji procesu kradzieży tożsamości:

• 1,07% wszystkich komputerów przebadanych w roku 2008 było zainfekowanych aktywnym (wykonującym szkodliwe działania podczas badania) złośliwym kodem służącym do kradzieży tożsamości, np. trojanem bankowym
• 35% zainfekowanych komputerów posiadało aktualny program antywirusowy
• liczba komputerów zainfekowanych oprogramowaniem do kradzieży tożsamości wzrosła o 800% między pierwszą a drugą połową 2008 roku
• laboratorium Panda Security przewiduje - biorąc pod uwagę tendencję panującą w ciągu ostatnich 14 miesięcy - że tempo infekcji będzie wzrastać o kolejne 336% każdego miesiąca w ciągu bieżącego roku.

więcej »