Pravidelný občasník originálního humoru

Štítek: Malware RSS

Na Facebooku jedou nová podvodná videa. A hezky masově spamují a zavirují počítač

Bohužel lidská hloupost je nesmírná, protože tady klasicky naletí na výzvu ke stažení ovladače pro Flash. A pak už si dobrovolně zavirují počítač.

Google vás nepustí na Martinus.sk. A když jste zvědaví proč, tak prozradí, že tam nikdy nic škodlivého nebylo

Google už zase vyvádí divné věci s varováním před viry. Pokud přes Google půjdete na www.martinus.sk, dozvíte se "Warning - visiting this web site may harm your computer!". Jenže když si rozkliknete "Safe Browsing diagnostic page", tak se dozvíte, že Martinus.sk je čisté, za posledních 90 dní se na něm nic neobjevilo a v 69 testovaných stránkách není nic, co by bylo špatně. A samozřejmě vás zablokuje i přímo Google Chrome a Mozilla Firefox - oba prohlížeče totiž používají stejný systém.

Samotné www.stopbadware.org také nic v hledání neuvádí, pouze varuje, že "if a site was recently identified as badware, it might take up to a few hours to appear in our Clearinghouse. Please check back a bit later". Na což nelze říci nic jiného, že když už to dokázali mít v databází rizikových adres, tak by to snad mohli mít i v databází si informacemi proč. Jinak je to celé tak poněkud kontraproduktivní.

DODATEK 18:30: Tak informační stránka si to konečně rozmyslela - "Part of this site was listed for suspicious activity 2 time(s) over the past 90 days." a "Of the 111 pages we tested on the site over the past 90 days, 6 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2012-11-11, and the last time suspicious content was found on this site was on 2012-11-11."

Zablokovali jste si účet na Faceboku, pokračujte k aktivaci ... a pořiďte si do počítače malware hned v prvním kroku

"You have blocked your Facebook account", "Account blocked", "Your account blocked", "Account activation" a řada podobných předmětů má aktuálně jedno společné. Jde o novou vlnu spamu vedoucího k pořízení malware. Podvodných e-mailů, rozesílaných na zcela náhodné adresy. Vypadají jako maily od Facebooku a vybízejí ke kliknutí a přihlášení k účtu na Facebooku.

Po kliknutí vás ale čeká něco zcela jiného. Něco co vypadá jako stránka od Adobe umožňující stáhnout Flash. A také vám to okamžitě začne stahovat a doufá, že nabízený soubor si spustíte. Samozřejmě, o Flash nejde, o Facebook také ne, pokud jste něco takového spustili, máte v počítači malware, virus, něco co tam rozhodně nechcete mít.

Samotný spam vede na řadu různých adres, které se vždy nacházejí buď na hacknutých webech, nebo na webech, kde útočníci mohli nahrát vlastní obsah. Odtamtud vás samozřejmě přesměrují na další adresy a pokusí se vás přesvědčit ke spuštění aktualizace vašeho Flashe. Nabízený "update_flash_player.exe" přitom například Microsoft Security Essentials vůbec jako malware/virus nepozná. Chrome ano, stejně tak jako vás může varovat, ještě před vstupem na stránku s malware - adresy už jsou známé a některé prohlížeče (Chrome, Firefox například) vás včas zastaví.

Virus Kobface a jeho tvůrci, velké množství stop vede ... do Prahy

 Kobface se stal svým způsobem legendou, tvůrcům se postaral o příjmy ve výši milionů dolarů a podle New York Times (Web Gang Operating in the Open) se pětice jeho tvůrců nijak neskrývá. Najdete je v Rusku a jejich identita je známa roky. Včetně toho, že jsou aktivní na sociálních sítích - Facebooku, Foursquare i Twitteru. Ovládají přitom síť několika set počítačů a prostřednictvím podvodného "antivirového" software vydělávají peníze. Velké peníze.

Virus Kobface a jeho tvůrci, velké množství stop vede ... do Prahy

Ještě zajímavější je ale Exclusive: How five members of the Koobface malware gang were unmasked od antivirové společnosti Sophos. Obsahuje totiž mapu společností a lidí, kteří stojí za Kobface. A najdete v ní řadu společností i adres v České republice. Pokud chcete vědět více, Sophos v The Koobface malware gang - exposed! předkládá delší čtení o tom, jak došlo k odhalení autorů Kobface. A i tam se dočtete, že:

"Mateřská loď Kobface" byla hostovaná na IP adrese 78.108.178.44, nacházející se v síti UP Telecom v Praze ...

Detektivní pátrání Sophosu nakonec vede do Ruska a k několika lidem. V pokračování posledně zmíněného článku od Sophosu pak zjistíte, že tvůrci Kobface si s nějakým skrýváním moc hlavu nelámali a jejich aktivity na sociálních sítích jsou stejné, jako aktivity kteréhokoliv uživatele. Na Facebooku tak nakonec najdete jejich fotografie a přes řadu vazeb na legitimně vypadající a fungující firmy se lze dostat ke konkrétním jménům a osobám. A Sophos se pak posléze dostal ještě k další české firmě.

"MobSoft Ltd ... funguje podle webu na dvou místech, jedno je v České republice, druhé v Rusku"

MobSoft stále najdete v rejstříku firem - jako MobSoft, s.r.o. a jako MobSoft development consulting, s.r.o a vlastníky jsou skutečně dva lidé z Ruska (v prvním případě) a jeden člověk z Ruska (v druhém případě). A co se Česka týče, není to všechno - další z jmen spojených s Kobface vede k další české společnosti, Paytelecom a.s. a i tu stále najdete v rejstříku. Nachází se na stejné adrese jako předchozí společnosti. 

Diskuze na aktuálně umožňují vkládat škodlivé odkazy

Mají to na tom Aktuálně.cz poněkud nedotažené - spammerům se tam vcelku bez problémů daří vkládat spam. Co je ale horší,  automatické vytváření odkazů vcelku vpoklidu vytváří klikatelné odkazy na weby s viry, malware a dalším svinstvem. Je to dobře vidět na následujícím příkladu, kde sice odkaz není "celý", ale jasně je vidět, že stačí aby útočník použil odkaz dostatečně krátký a do diskuzí na Aktuálně.cz může umisťovat prakticky cokoliv.

Diskuze na aktuálně umožňují vkládat škodlivé odkazy

Nejvíce nebezpečné domény - COM, INFO, VN, CM, AM, CC

Každoroční zpráva McAfee mapující výskyt virů a škodlivého software na jednotlivé internetové domény přináší několik překvapení - .VN (Vietnam) se vyšvihl na třetí místo a .info se stalo ještě více nebezpečným místem. Česká republika je stále na 54 místě.

Cameron Diaz je nejvíce nebezpečnou internetovou celebritou

McAffee Most Dangerous Celebrities je zábavná studie. Například i tím, že k ní korporátní komunikace přilepují neustále "(tm)". Jinak je to ale shrnutelné - celebrity lákají tvůrce virů a podvodů. Na lidi prostě celebrity fungují. Ale to už ví bulvár desítky let. A Česká republika je na čele žebříčku.

Varování - nové ICQ 7.2 instaluje do systému Toolbar a mění vyhledávání na ICQ Search - bez varování

Důrazné varování - nové ICQ 7.2 (vnucuje se uživatelům ICQ automaticky) do vašeho systému instaluje ICQ Toolbar (prozradím rovnou, že žádný takový toolbar v systému rozhodně nechcete) a přenastaví vyhledávání na ICQ Search (a to nechcete ani omylem, protože je to jenom špatně přebarvený Google s filtrací a šmírováním od ICQ). Tyhle dvě věci vám ICQ 7.2 nainstaluje automaticky, pokud to ručně nezrušíte - a není to vidět, dokud se o to nezačnete zajímat.

ICQ 7.2 behaves like any other malware, beware!

Jak poznat rizikovou aplikaci a nepořídit si vir na Facebooku

Facebook je masově využíván tvůrci virů k šíření jejich tvorby - cíl je stejný jako v případě virů přicházejících elektronickou poštou nebo napadající návštěvníky webových stránek - získat přístup k jejich počítači, dostat do něj malware, trojského koně, keylogger či jakékoliv další škodlivé software. A takto získaný počítač používat pro další šíření virů, rozesílání spam a hacking počítačů.

Popularita Facebooku přivedla na svět další virus

Podvržená adresa odesílatele a upozornění na provedenou změnu hesla. Úsměvné je, že "nové" heslo by mělo být uložené v přiloženém ZIP souboru. Podle WebSense se EXE spojí s dalšími servery aby stáhl další kód a připojil počítač k Bredolab botnet. Jinými slovy, pokud se na tohle nachytáte, bude váš počítač plně ovládaný někým jiným a bude používán pro rozesílání spamu, krádeže osobních údajů a útoky na další počítače. Přiložený virus (Facebook_Password_27b6f.exe v mém případě) má několik různých ozančení - Trojan.Downloader.Bredolab.AZ (F-Secure), Packed.Win32.Krap.w (Kaspersky), TrojanDownloader:Win32/Bredolab.X (Microsoft) či Mal/Bred-A (Sophos).

Virus je rozesílán klasicky náhodně formou spamu,nemá nic společného s tím, jestli máte či nemáte účet na Facebook.com.

AVG: Uživatelé jsou na sociálních sítích zranitelnější než kdykoli dříve

Výzkum AVG a Rady marketingových ředitelů (CMO Council) ukázal, že masivní používání sociálních sítí přináší řadu nebezpečí. Je ale dobré se zamyslet nad tím, zda náhodou nemají máslo na hlavě provozovatelé sociálních sítí a zda AVG skutečně pochopilo, jak sociální sítě fungují

Jak se zbavit Google Updater aplikace - návod od Google co moc nepomůže

Google nějak sám neví, kam vlastně Google Updater instaluje - na poslední řádce se tak například snaží smazat složku, ve které Updater vůbec není. A podobně je tomu i se zásahy do registry, které v "odinstalátoru" provádí

Adobe Flash Player využíván na 20 tisících stránkách pro útoky

Čerstvě zjištěná chyba v Adobe Flash Player (přehrávači) je podle článku na Security Focus masově využívána pro útoky na návštěvníky webů prostřednictvím SQL injection (vsunutí SQL kódu). Útočný kód je podle SF přítomen na zhruba 20 tisících webových stránkách a přesměrovává uživatele na stránky obsahující vlastní kód zneužívající chybu v Flash přehrávači.

Dancho Danchev se problému věnuje v článku Malware Attack Exploiting Flash Zero Day Vulnerability, ve kterém upozorňuje na to, že jde o jeden z mála příkladů velmi rychlého využítí objevené chyby a poukazuje na to, že jako ve většině útoků toho druhu jde útok na vrub sítim umístěným v Číně. Další informace uvádí Symantec, který identifikoval minimálně dvě domény (wuqing17173.cn a woai117.cn), na kterých je umístěn útočný kód. Blizzard navíc varuje své uživatele, že tento druh útoků je používán i pro útoky vedoucí k získání jmen a hesel použitelných pro krádež účtů hráčů World of Warcraft online. Další podrobnosti najdete též v Vulnerability Note VU#395473 (US-CERT).

Adobe podle US-CERT vydalo novou verzi, 9.0.124.0, kterou by uživatelé Microsoft WIndows měli urychleně nainstalovat - a nezapomenout provést update pro všechny prohlížeče, které používají.

www.kisswow.com.cn/m.js aneb SvětSítí.cz vám může hacknout počítač

Další v článku jmenovaný virus/malware najdete i na dalších českých stránkách - je mezi nimi i pár známých jmen - Strabag, Alza či SPŠ Zlín

Čas plyne a virus na Sazavafest.cz stále útočí na vlastní návštěvníky

Když zahraniční média píší katastrofické články o desítkách tisíc webových serverů napadených botnet aktivitami, vypadá to jako něco dostatečně neskutečného a vzdáleného. Našeho malého českého internetu si přece nějací škodiči všímat nebudou. Chyba lávky, samozřejmě budou. Pro roboty je IP adresa jako IP adresa. A proto můžete na sazavafest.cz/carodejnice (otevírat na vlastní nebezpečí!) najít kód, který útočí na prohlížeče návštěvníků a snaží se jim dostat do počítače.

Na konci stránky je kus velmi podezřele vypadajícího kódu, který se po patřičném "rozbalení" sebe sama postará o stažení skutečného útočného kódu z IP adresy 77.221.133.150. A pokud útok úspěje, v počítači se objeví keylogger (mimo jiné odchytávající i hesla pro internetové bankovnictví).

Potud všechno klasika. Podobně napadených webových serverů jsou skutečně desítky tisíc. A stránek s podobným kódem mnohonásobně vic. Horší na celé situaci je, že dny plynou a provozovatel serveru, ačkoliv o problému ví, nedělá vůbec nic. Nic nedělá ani hostingová společnost, která může být uplně stejně zodpovědná, jako provozovatel stránek.  Podivné, nezodpovědné a hloupé. Zejména u stránek akce, která měla docela slušnou podporu médií.

Provozovatelům Sazavafest.cz i hostingové firmě psal Daniel Čáslavka už prvního května. Kód byl ze stránek krátce odstraněn, aby se tam vzápěti objevil znovu. Poté co Daniel Čáslavka upozornil POOH.CZ, jsme psal provozvatelům i hostingové firmě rovněž - virus je ve stránkách stále přítomen a na e-maily se neobtěžují ani odpovědět.

Update 5.5 večer - Premysl Klimsza (Analyzer, s.r.o - hosting zmíněných stránek) mi napsal, že dnes došlo k odstranění kódu - ten se do stránek dostává od toho, kdo stránky uploaduje přes FTP. Což napovídá na starý známý klasický virus, který tohle smetí vkládá do všech HTM/HTML stránek a poté jenom čeká, až je někdo umístí na nějaký server. Zároveň se ptá, jestli se může proti něčemu takovému bránit na straně serveru a domnívá se, že antivir podobnou věc neodhalí.

No, antivirus by podobnou věc odhalit mohl. Ale asi to bude patřit mezi složitý oříšek. Je na hostingové firmě, aby nezodpovědného uživatele se zavirovaným počítačem odkázala do patřičných mezí.

A onen nezodpovědný uživatele? Stále se ani neozval.

Update 6.5 poledne -¨virus je pochopitelně zpět.

Držet se stranou temných uliček Internetu nepomáhá

Google varuje, web je prý strašidelnější, než si mnozí lidé připouštějí. Lidská hloupost, nezodpovědnost zodpovědných orgánů a síla Google je ve skutečnosti to, co napomáhá útočníkům nejvíce.

Nový útok se tváří jako kritický update pro Windows XP/2000/2003/Vista

Důvěřivý uživatel obohatí svůj počítač o malware sloužící pro sběr poštovních adres pro spamové databáze a odchytávání hesel pro řadu programů (FTP a poštovních klientů).

Zkoušet štěstí u Google se nemusí vyplatit

MessageLabs varuje (PDF), Zkusím štěstí/I'm feeling lucky u Google je zneužíváno útočníky pro přivádění uživatelů na stránky obsahující malware. Search engine spam se v lednu postaral o 17% celkového spamu a má stoupající tendenci. Využívá vlastností URL vyhledávacích strojů právě jako je Zkusím štěstí tlačítko. To přesměruje návštěvníka Google na první nalezený výsledek vyhledávání, aniž by zobrazilo obvyklou Google mezistránku s výsledky. Lze se tak vyhnout i označování potenciálně nebezpečných stránek, které Google zavedl před několika měsíci.

Ve spamu rozesílaném klasicky elektronickou poštou se přitom neobjevuje adresa webu, který malware obsahuje. Je skryta právě pomocí odkazu na Google Zkusím štěstí (btnl parametr). Paradoxně není ani nutné, aby útočníkova stránka byla na prvním místě vyhledávání. Jak uvádí MessageLabs, využití inurl může velmi usnadnit dosažení požadovaného výsledku.

Google se v reakci nechal slyšet, že "velmi tvrdě pracuje na zachování kvality indexu" a stránky šířící malware, spyware, viry, adware či trojské koně pravidelně odstraňuje. Bohužel rychlost odstraňování z indexu asi nikdy nebude dostatečná k tomu, aby útočníci mezitím nenašli dostatek obětí.

Útočníci využívají i nedostatky podobného druhu přítomné v jiných portálech. Příklad využívající Yahoo! :

rds.yahoo.com/_ylt=A0geu8VOxqFH0H4BafZXNyoA/SIG=
1194k0p6d/EXP=1201870798/**http%3a//formthick.com/

Heath Ledger zemřel a stal se nástrojem pro šíření malware

Tvůrci malware využili hosting u Volny.cz a zajímavé je, že si opravdu dali práci a vytvořili několik scannerů, které vypadají velmi věrohodně.

Náhodný JavaScript pomáhá viru unikat antivirům

Koncept viru útočí na základní podstatu antivirových programů, které většinu virů poznávají podle signatur, částí kódu případně jinak vyjádřitelných neměnných hodnot

Botnet může znamenat až 60 let vězení

Pod svícnem bývá tma. "Botmaster" pracoval jako konzultant v oblasti počítačové bezpečnosti


( strana 1 z 1 ) ( celkem článků: 21)