Szkodnik, który zaatakował niemieckich użytkowników, może szybko przyjąć postać polskojęzyczną. W przypadku zainfekowania komputera, system operacyjny zostaje zablokowany i niezdolny do pracy. Złośliwe oprogramowanie wyświetla monit, z żądaniem aktywacji legalnego oprogramowania. W tym celu użytkownik musi wpłacić 100 euro na konto podane na ekranie.

więcej »

W weekend klienci Lenovo zostali zaskoczeni w najmniej spodziewanym momencie – podczas pobierania sterowników ze strony chińskiego producenta, tysiące Internautów otrzymało również pasażera na gapę – konia trojańskiego Bredolab. Wielu z nich wciąż o tym nie wie. więcej »

Firma ESET produkująca oprogramowanie zabezpieczające i antywirusowe dlasystemów Windows, opublikowała raport o zagrożeniach dla komputerów w Polsce w sierpniu tego roku. Po zebraniu i zsumowaniu danych okazało się, że najwięcej komputerów zostało zainfekowanych przez konia trojańskiego wykradającego dane logowania do gier sieciowych, między innymi popularnych World of Warcraft i Tibii.

więcej »

Użytkownicy Facebooka po raz kolejny padli ofiarą ataku typu clickjacking – robaka, który wykorzystuje ukryty przycisk „Like” (Lubię to). Za sprawą ataku clickjacking (nazwanego przez Sophos likejacking) wiele profili użytkowników sieci Facebook zostało zaktualizowanych o wiadomość mówiącą, że użytkownik lubi stronę o nazwie ": |: | 101 Hottest Women in the World: D: |: |: (101 najgorętszych kobiet na świecie). więcej »

Firma Symantec poinformowała o wykryciu nowego typu trojana, który podsłuchuje rozmowy przeprowadzane za pośrednictwem programu Skype. Peskyspy, bo nim mowa, to zupełnie nowe podejście do szpiegowania internautów.

Program nie tylko podsłuchuje rozmowy, ale także nagrywa je i wysyła we wcześnie określone miejsce. Peskyspy wpina się pomiędzy program Skype, a sterownik kontrolera dźwięku, wykorzystując przy tym dziury bezpieczeństwa w stosie audio systemów Windows. Oznacza to, że całkowicie pomija on wszelkie zabezpieczenia protokołu Skype.

Rejestrowane rozmowy zapisywane są w skompresowanych plikach MP3 i przechowywane na dysku. Peskyspy ma także tzw. tylne drzwi, przez które atakujący może pobrać wszystkie zapisane konwersacje.

Według firmy Symantec Peskyspy nie ma na razie potencjału do stworzenia dużego zagrożenia. Jest natomiast próbką, która nie ma jeszcze zdolności samodzielnego przenoszenia się z komputera na komputer.

Zapewne już niebawem do sieci trafią nowe odmiany tego trojana, których szkodliwość będzie większa. Ciekawe, ile odmian naliczymy, zanim pojawi się pierwsza, która będzie włączać się do rozmowy z tekstem "Rozmowa kontrolowana!"?

więcej »

Firma M86 Security poinformowała o zidentyfikowaniu nowej, trzeciej już wersji trojana Zeus, który zajmuje się okradaniem kont bankowych. Pierwsze sygnały o pojawieniu się Zeusa zaczęły wypływać na początku ubiegłego miesiąca. Aktualnie szacuje się, że trojan ukradł około milion dolarów. więcej »

Cyberprzestępcy do infekowania złośliwym oprogramowaniem chętnie wykorzystują ważne wydarzenia i ciekawe tematy. Tym razem jako przynętę wykorzystali telefony iPhone firmy Apple. Najnowszy przypadek wykryty przez PandaLabs - laboratorium Panda Security specjalizujące się w wykrywaniu i analizie złośliwego oprogramowania - dotyczy nowego ataku typu pharming, wykorzystującego trojana Banker.LKC. W wyniku tego ataku dane bankowe ofiar trafiają w ręce cyberprzestępców.

Pharming to zaawansowana wersja phishingu. Polega na manipulowaniu systemem DNS (Domain Name Server) poprzez konfigurację protokołu TCP/IP lub pliku hostów. Serwery DNS przechowują adresy numeryczne lub adresy IP (np. 62.14.63.187.) przypisane do każdej nazwy domeny lub adresu URL (np. www.mibanco.com).

W wyniku ingerencji cyberprzestępców wpisanie przez użytkownika nazwy witryny www powoduje przekierowanie go na inny adres IP. Tam znajduje się fałszywa strona www przypominająca jedynie wyglądem oryginalną.

W przypadku ataku wykrytego przez PandaLabs za manipulację systemem DNS odpowiada trojan Banker.LKC. Złośliwy kod przedostaje się do systemu pod nazwą VideoPhone[1]_exe. Po uruchomieniu pliku otwarte zostaje okno przeglądarki internetowej z wyświetloną witryną www, na której sprzedawany jest iPhone. Gdy użytkownik przegląda stronę, trojan dokonuje modyfikacji pliku hostów, przekierowując adresy URL banków i innych firm na fałszywe witryny www.

Oznacza to, że podczas logowania do banku internauta - niezależnie od tego, czy adres jest wpisywany ręcznie w przeglądarkę, czy użytkownik korzysta z wyszukiwarki - zostaje przekierowany na fałszywą stronę. Tam wprowadza swoje poufne dane (numery kont, hasła itp.), które trafiają następnie w ręce cyberprzestępców.

więcej »

Kaspersky Lab, producent rozwiązań do ochrony danych, informuje o wykryciu nowego, bardzo niebezpiecznego wirusa szyfrującego dane - Virus.Win32.Gpcode.ak.

Gpcode.ak szyfruje pliki o różnych rozszerzeniach, między innymi: .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h i wiele innych. Do szyfrowania wykorzystywany jest algorytm RSA z kluczem o długości 1024 bitów. Analitycy z Kaspersky Lab dodali sygnatury tego szkodliwego kodu do baz danych 4 czerwca 2008 r. Posiadanie aktualnych sygnatur zagrożeń całkowicie chroni przed infekcją wirusem Gpcode.

Specjaliści z Kaspersky Lab skutecznie walczyli z poprzednimi wariantami wirusa Gpcode, z powodzeniem łamiąc nawet 660-bitowy klucz wykorzystywany przez autora szkodnika do szyfrowania danych (więcej informacji na ten temat można znaleźć w artykule Szantażysta: historia Gpcode'a w Encyklopedii Wirusów Viruslist.pl prowadzonej przez Kaspersky Lab).

Szacowano wówczas, że gdyby twórca Gpcode'a poprawnie zaimplementował algorytm RSA złamanie 660-bitowego klucza zajęłoby około 30 lat przy użyciu jednego komputera z procesorem 2,2 GHz. Dopracowanie swojego "dzieła" zajęło autorowi dwa lata - wszystkie błędy występujące w starych wersjach zostały usunięte i użyto innego klucza - tym razem 1024-bitowego.

Dotychczas analitykom z Kaspersky Lab nie udało się odszyfrować plików zaatakowanych przez nowego Gpcode'a - klucz o długości 1024 bitów to bardzo poważna sprawa, a ponadto nie wykryto żadnych błędów w implementacji algorytmu RSA. Zatem w momencie powstawania tego tekstu jedynym sposobem na odzyskanie zaszyfrowanych danych jest użycie klucza, którym dysponuje autor wirusa.

więcej »

Najnowsze zagrożenie dla korzystających z bankowości elektronicznej to „koń trojański” ZeuS, który oprócz komputerów atakuje również telefony komórkowe. Media od kilku tygodni biją na alarm. Do Polski dotarł znany już za granicą ZeuS – złośliwy program, który wykrada dane dostępowe do kont bankowości elektronicznej. więcej »

F-Secure ostrzega przed nowym trojanem, który blokuje dostęp do plików żądając okupu. Podczas procederu ofiara jest przekonywana, że to nie jest atak, tylko próba uratowania cennych danych przed całkowitą utratą.

Po infekcji komputera Trojan W32/DatCrypt sprawia, że pliki muzyczne, wideo, zdjęcia czy dokumenty nie mogą zostać otworzone – pojawia się informacja o błędzie. W rzeczywistości są one zaszyfrowane przez DatCrypt. Następnie trojan wyświetla poradę o potrzebie zainstalowania aplikacji nazwanej Data Doctor 2010. Wygląda ona na autentyczny komunikat z Windows.
Aplikacja jest rekomendowana jako oprogramowanie naprawiające błąd w odczytywaniu plików.

więcej »

Kaspersky Lab, producent rozwiązań służących do ochrony danych, informuje o pojawianiu się nowych szkodliwych programów wykorzystujących popularność ostatnich wydarzeń związanych z uruchomieniem Wielkiego Zderzacza Hadronów znajdującego się w ośrodku CERN w pobliżu Genewy (http://pl.wikipedia.org/wiki/Wielki_Zderzacz_Hadronów).

To nic nowego, że autorzy szkodliwego oprogramowania wykorzystują duże wydarzenia medialne do promowania swoich "dzieł" - metody socjotechniki pomagają im w nakłanianiu użytkowników do pobrania i zainstalowania na swoich komputerach szkodliwych programów. Cyberprzestępcy chętnie wykorzystują zainteresowanie wywołane medialnymi tematami, takimi jak 11 września w Stanach Zjednoczonych, huragan Katrina czy też wybory prezydenckie.

Teraz przyszła kolej na Wielki Zderzacz Hadronów, największy na świecie akcelerator cząstek. Wszystko wskazuje na to, że ta największa maszyna na świecie także pomoże twórcom szkodliwego oprogramowania. Śledząc najnowsze wydarzenia związane z Wielkim Zderzaczem Hadronów jeden z analityków z Kaspersky Lab natknął się na dziwnie wyglądający komentarz pozostawiony przez jednego z "czytelników" o nicku "Edwawils1976":

This thing rocks!
By the way, you can watch "Large Hadron Collider" start video report at
http://***sed.com/clip/?id=Large_Hadron_Collider
Pretty interesting, isn't it?"

Tłumaczenie:

Ta maszyna rządzi!
Przy okazji, możesz obejrzeć raport wideo z uruchamiania "Wielkiego
Zderzacza Hadronów" pod adresem
http://***sed.com/clip/?id=Large_Hadron_Collider
Całkiem interesujące, prawda?

więcej »

Program antywirusowy firmy AVG zaliczył niemałą wpadkę. W udostępnionej w poniedziałek aktualizacji bazy wirusów pojawiła się fałszywa sygnatura trojana. To doprowadzało do tego, że program wykrywał zagrożenie w jednym z plików systemowych Windowsa XP.

AVG Anti-Virus zalecał użytkownikom usunięcie zarażonego pliku, którym miał być "user32.dll". Jako że jest to jeden z wielu niezbędnych do poprawnego działania systemu plik, jego usunięcie powoduje, że system nie może się uruchomić, wpadając w pętlę ładowania.

Z doniesień wynika, że problem dotyczy wyłącznie systemu operacyjnego Windows XP, i programów AVG, w wersjach: 7.5 i 8.0.

Firma AVG już udostępniła zaktualizowaną bazę sygnatur wirusów, w której wspomnianej fałszywki już nie ma. Użytkownicy, których systemy operacyjne zostały "okrojone" z tak naprawdę zdrowego pliku powinni wykorzystać płytę instalacyjną do wykonania naprawy systemu.

więcej »

iPad firmy Apple w kilka tygodni po premierze w Stanach Zjednoczonych Ameryki ma już na swoim koncie pierwsze, poważne oprogramowanie złośliwe. No, może nie do końca. Nowy "złośliwiec" co prawda skierowany jest do posiadaczy iPadów, ale działa na komputerach PC, pracujących pod kontrolą systemów Windows. więcej »

Firma ESET ostrzega przed nowym koniem trojańskim Win32/Hexzone.AP, który zdołał zbudować w sieci nową sieć botnet składającą się z prawie 2 milionów zainfekowanych komputerów. Hexzone w szerokim wachlarzu swoich możliwości posiada m.in. umiejętność rejestrowania znaków wprowadzanych za pośrednictwem klawiatury podczas logowania się do konta w banku internetowym.

Hexzone to koń trojański, który po przedostaniu się na komputer użytkownika przejmuje nad nim pełną kontrolę i przekierowuje maszynę za pośrednictwem protokołu HTTP do serwera, gdzie przekazywane są dalsze instrukcje działania. W ten sposób zainfekowany komputer może posłużyć twórcy Hexzone do wykonania dowolnej operacji: od rozsyłania spamu, zainicjowania ataku DoS, przez działanie jako keylogger rejestrujący znaki wprowadzane za pośrednictwem klawiatury, aż po pobranie i instalację kolejnych wrogich aplikacji.

Według specjalistów branży bezpieczeństwa IT koń trojański Hexzone zainfekował już 1,9 mln stacji roboczych na całym świecie, tworząc tym samym pokaźnych rozmiarów sieć botnet – grupę komputerów połączonych ze sobą za pośrednictwem Internetu i potrafiących bez wiedzy użytkownika wykonywać polecenia twórców złośliwego oprogramowania. Samo zagrożenie jest dystrybuowane z serwera znajdującego się na terenie Wielkiej Brytanii, a instrukcje działania Hexzone pobiera z kolejnego serwera zlokalizowanego również w Wielkiej Brytanii. Oba serwery korzystają z domen zarejestrowanych w Rosji.

Przed Hexzone ostrzegł już w swoim serwisie internetowym znany amerykański dziennik USA Today. Byron Acohido z USA Today w blogu na http://blogs.usatoday.com/technologylive/2009/04/hackers-infect-19-million-pcs-.html szczegółowo opisał działanie trojana Hexzone oraz opublikował listę producentów rozwiązań antywirusowych, których programy chronią przed tym zagrożeniem.

więcej »

Dostępna jest już nowa wersja 4.1 komunikatora Skype. W trakcie prac nad aktualizacją programiści skupili się przede wszystkim nad zmniejszeniem ilości przesyłanego spamu oraz odkrytym niedawno przez firmę Symantec trojanem Peskyspy.

Ograniczenie spamu w nowej wersji dla systemów Windows polega na wyłączeniu klikalności odnośników do stron internetowych, przesyłanych wraz z prośbami o autoryzację użytkowników. Jednocześnie wyeliminowano pewne błędy powodujące problemy z wyświetlaniem obrazu w trakcie rozmów.

Peskyspy jest trojanem, który podsłuchuje rozmowy przez Skype, magazynuje je na dysku. Dodatkowo może utworzoną "bibliotekę" przesłać do wskazanego przez atakującego użytkownika komputera.

Nowa wersja programu dostępna jest we wbudowany system aktualizacji. Można ją także pobrać ze strony internetowej http://www.skype.com/intl/pl.

więcej »

Miliony muzycznych i filmowych plików w sieci może być zainfekowanych destrukcyjnym kodem. Firma Symantec w ostatnim czasie odnotowała rosnącą ilość komputerów zaatakowanych przez trojana o nazwie Brisv.A. Trojan ten modyfikuje kod plików multimedialnych o rozszerzeniu .asf, .mp2, .mp3, wma czy .wmv.

W momencie ich odtwarzania program Windows Media Player łączy się z serwerem, z którego pobierane są kolejne próbki złośliwego oprogramowania. Ponadto trojan odszukuje wszystkie multimedialne pliki i konwertuje je do formatu .wma. Usunięcie destrukcyjnego kodu i przywrócenie plików do oryginalnej postaci może być bardzo trudne.

Więcej informacji na temat trojana Brisv.A można znaleźć na stronach firmy Symantec pod adresami:

• https://forums.symantec.com/t5/Malicious-Code/Sharing-Isn-t-Always-Caring/ba-p/386710;jsessionid=1954A58CCDFE8DF4F162790568E4CAC8#A238
• http://www.symantec.com/security_response/writeup.jsp?docid=2008-071823-1655-99

więcej »

Użytkownicy komputerów Mac powinni zwiększyć swoją czujność. Eksperci firmy Symantec poinformowali o wykryciu nowego trojana o nazwie OSX.Iservice, infekującego te właśnie komputery. Złośliwy kod rozprzestrzenia się w sieciach P2P (peer-to-peer) i jest częścią pirackiej wersji instalacyjnej aplikacji Apple iWork 09.

Użytkownicy komputerów Mac, którzy nie zainstalowali żadnego oprogramowania antywirusowego, nie zauważą, że w ich systemie trojan otworzył tzw. „tylne drzwi” dla cyberprzestępców.

Jak wynika z „Raportu na temat gospodarki czarnorynkowej” przygotowanego przez firmę Symantec w listopadzie 2008 roku, polscy użytkownicy Internetu bardzo chętnie udostępniają pirackie pliki do ściągnięcia w sieciach P2P. Polska zajęła 6. miejsce w rankingu ilości udostępnianych plików do ściągnięcia poprzez sieć BitTorrent oraz 2. miejsce w rankingu ilości udostępnionych gier komputerowych.

Więcej informacji na temat Trojana OSX.Iservice można znaleźć na blogach firmy Symantec pod adresami: http://community.norton.com/t5/Norton-Protection-Blog/New-Trojan-Attacks-Pirates/ba-p/59431 oraz https://forums.symantec.com/t5/Malicious-Code/OSX-Iservice-It-s-not-going-to-iWork-for-you/ba-p/381915#A231

więcej »