Pravidelný občasník originálního humoru

Štítek: Malware RSS

Virus v požadavku na zrušení objednávky co si stáhnete z Google Docs

Dorazí vám žádost o "zrušení objednávky" a informace mají být na připojeném odkazu, ten vede do Google Docs, takže na první pohled nic nebezpečného. Odkaz je ale odkazem pro stažení a získáte ZIP a v tom je teprve dokument pro Word. Pokud máte funkční antivir, tak bez problémů zjistí, že jde o Trojan.O97M/Madeba.A!det.Samotné stažení a otevření ZIPu je neškodné, do vážného problému se dostanete až otevřením onoho DOC souboru v ZIPu se schovávajícím.

Virus v požadavku na zrušení objednávky co si stáhnete z Google Docs

Spam s virem se tváří jako informace o objednávce z Amazonu

Takřka klasika, kde odesílatel malware/viru velmi pečlivě dbá na to, aby poslaný mail měl "správnou" adresu v odesílateli (což je tak jako tak jenom textová položka) a text odpovídající tomu, co asi Amazon skutečně posílá. Na konci velmi dlouhého spamu najdete ZIP obsahující JavaScript soubor s kódem malware. Kde ani raději nechtějte vědět, co provede.

Spam s virem se tváří jako informace o objednávce z Amazonu

Každopádně, na tomhle nic úplně nového není - užívalo se to už někdy na počátku roku (ale i loni) a nová vlna pouze používá staré triky - většinou vám do počítače přinese Locky, tedy ransomware.  Samozřejmě, aby se tohle spustilo, tak napadený musí otevřít ZIP a otevřít v něm vložený JavaScript.

Většinou vám do počítače přinese Locky, tedy ransomware.

Jaký antivirový software si pořídit pro Windows?

Asi takto: od kupovaného řešení očekáváte lepší stabilitu, menší náročnost a nepřinášení zásadních problémů

Blokuje vám ESET stránky (například Justice.cz, tedy obchodního rejstříku)? Nepanikařte.

 Dan Selucký poslal následující screenshot, ve kterém ESET Smart Security 9 blokuje www.justice.cz a tvrdí, že je tam HTML/Refresh.BC. Osobně bych řekl, že tam nic není a že ESET poněkud blázní nad tím, že je tam prastarý HTML Refresh.

 Blokuje vám ESET stránky Justice.cz, tedy obchodního rejstříku? Nepanikařte.

<HTML>
<HEAD>
<META HTTP-EQUIV="Refresh" CONTENT="0;URL=http://portal.justice.cz">
<TITLE>MINISTERSTVO SPRAVEDLNOSTI ČR</TITLE>
</HEAD>
</HTML>

Samozřejmě je tu ještě pořád varianta, že to je opravdu nějaké hacknuté a že si to selektivně vybíra, kdy a komu to předhodí něco jiného. Moc bych na to nesázel. Nakonec ani obvyklé online nástroje pro kontrolu virů na justice.cz nic zvláštního nanacházejí (některé z nich umí kontrolovat i adresu na Internetu). 

Jinak by Justice.cz neuškodilo, kdyby vraceli rovnou HTTP Reponse místo dokumentu s META REFRESH. Přeci jenom se nacházím v roce 2016. 

DODATEK: Potvrzeno, plané hrozby, viz vyjádření ESETu pro ESET hlásí plané hrozby na webu včetně IHNED.cz, na opravě pracuje. Byť hlášení v článku uvedené se týká jiného "viru" (JS/SCrInject.B).

DODATEK2: ESET to má už i v centru technické podpory, viz Falešná detekce viru JS/ScrInject.B trojan. Je tam řeč i o HTML/Refresh.BC a návod jak se vrátit k předchozí verzi virové databáze kde není špatně definice. 

DODATEK3: V 12:43 informoval ESET o vydání nových definic, ty by měly problém řešit.

Až si budete chtít stahovat torrenty, dejte si velký pozor co k tomu použijete

 Stahovat torrenty (viz Co používat pro stahování torrentů?) znamená, že si musíte do počítače pořídit nějaké to software, které je umí stahovat (pokud tedy nemáte to štěstí a nemáte například Synology NAS co to bude dělat pro vás). Už dlouho předlouho je známo, že uTorrent má v oblibě k intalaci přibalovat nějaké to crapware, bloatware a čert ví co všechno. Jsou tak fikaní, že si to do počítače pořídit nemusíte, ale musíte být obezřetní a odškrtnout nějaké to odškrtávátko. Prostě včas zaregovat.

Až si budete chtít stahovat torrenty, dejte si velký pozor co k tomu použijete

Mezi šmejdy co to dělají se řadí i Vuze (takže jsem do výše uvedeného tipu doplnil varování i pro tento stahovač torrentů, za upozornění díky Luboši Langerovi). Při instalaci vám vtipně do počítače přihodí cosi jménem "Malware Protection Live". Není to v zásadě nic nového, tohle už dělali i někdy v roce 2014. A už tehdy univerzální odpovědí bylo že "Naše nabídky mohou být odmítnuty výběrem vlastní při zobrazneí nabídky a poté odškrtnutím zaškrtávátka".

Měli byste vědět, že Malware protection LIve stejně jako dřívější Windows Live Protect (a určitě to bude mít řadu dalších jmen) je fake anti-malware software. Dříve nebo později vám prozradí, že máte v počítai malware a za nějakou tu částku vám nabídne, že vás ho zbaví. Žádné malware tam samozřejmě mít nebudete. Funkční anti-malware najdete napříkald v Jak odstranit z Windows malware, adware či bloatware, osobní dobrá zkušenost je  MalwareBytes Anti-Malware a Surfright HitmaPro 3. 

Nový phishing se vydává za zprávu z Volksbank

 Klasické schéma - zpráva z banky, stažení archivu, ve kterém najdete EXE tvářící se jako PDF. Samozřejmě jde o virus. Málokdo si všimne adresy kam vlastně vede odkaz, stejně jako nebude řešit podivnou adresu odesílatele.

Nový phishing se vydává za zprávu z Volksbank

VirusTotal už tento vzorek zná

Na Facebooku jedou nová podvodná videa. A hezky masově spamují a zavirují počítač

Bohužel lidská hloupost je nesmírná, protože tady klasicky naletí na výzvu ke stažení ovladače pro Flash. A pak už si dobrovolně zavirují počítač.

Google vás nepustí na Martinus.sk. A když jste zvědaví proč, tak prozradí, že tam nikdy nic škodlivého nebylo

Google už zase vyvádí divné věci s varováním před viry. Pokud přes Google půjdete na www.martinus.sk, dozvíte se "Warning - visiting this web site may harm your computer!". Jenže když si rozkliknete "Safe Browsing diagnostic page", tak se dozvíte, že Martinus.sk je čisté, za posledních 90 dní se na něm nic neobjevilo a v 69 testovaných stránkách není nic, co by bylo špatně. A samozřejmě vás zablokuje i přímo Google Chrome a Mozilla Firefox - oba prohlížeče totiž používají stejný systém.

Samotné www.stopbadware.org také nic v hledání neuvádí, pouze varuje, že "if a site was recently identified as badware, it might take up to a few hours to appear in our Clearinghouse. Please check back a bit later". Na což nelze říci nic jiného, že když už to dokázali mít v databází rizikových adres, tak by to snad mohli mít i v databází si informacemi proč. Jinak je to celé tak poněkud kontraproduktivní.

DODATEK 18:30: Tak informační stránka si to konečně rozmyslela - "Part of this site was listed for suspicious activity 2 time(s) over the past 90 days." a "Of the 111 pages we tested on the site over the past 90 days, 6 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2012-11-11, and the last time suspicious content was found on this site was on 2012-11-11."

Zablokovali jste si účet na Faceboku, pokračujte k aktivaci ... a pořiďte si do počítače malware hned v prvním kroku

"You have blocked your Facebook account", "Account blocked", "Your account blocked", "Account activation" a řada podobných předmětů má aktuálně jedno společné. Jde o novou vlnu spamu vedoucího k pořízení malware. Podvodných e-mailů, rozesílaných na zcela náhodné adresy. Vypadají jako maily od Facebooku a vybízejí ke kliknutí a přihlášení k účtu na Facebooku.

Po kliknutí vás ale čeká něco zcela jiného. Něco co vypadá jako stránka od Adobe umožňující stáhnout Flash. A také vám to okamžitě začne stahovat a doufá, že nabízený soubor si spustíte. Samozřejmě, o Flash nejde, o Facebook také ne, pokud jste něco takového spustili, máte v počítači malware, virus, něco co tam rozhodně nechcete mít.

Samotný spam vede na řadu různých adres, které se vždy nacházejí buď na hacknutých webech, nebo na webech, kde útočníci mohli nahrát vlastní obsah. Odtamtud vás samozřejmě přesměrují na další adresy a pokusí se vás přesvědčit ke spuštění aktualizace vašeho Flashe. Nabízený "update_flash_player.exe" přitom například Microsoft Security Essentials vůbec jako malware/virus nepozná. Chrome ano, stejně tak jako vás může varovat, ještě před vstupem na stránku s malware - adresy už jsou známé a některé prohlížeče (Chrome, Firefox například) vás včas zastaví.

Virus Kobface a jeho tvůrci, velké množství stop vede ... do Prahy

 Kobface se stal svým způsobem legendou, tvůrcům se postaral o příjmy ve výši milionů dolarů a podle New York Times (Web Gang Operating in the Open) se pětice jeho tvůrců nijak neskrývá. Najdete je v Rusku a jejich identita je známa roky. Včetně toho, že jsou aktivní na sociálních sítích - Facebooku, Foursquare i Twitteru. Ovládají přitom síť několika set počítačů a prostřednictvím podvodného "antivirového" software vydělávají peníze. Velké peníze.

Virus Kobface a jeho tvůrci, velké množství stop vede ... do Prahy

Ještě zajímavější je ale Exclusive: How five members of the Koobface malware gang were unmasked od antivirové společnosti Sophos. Obsahuje totiž mapu společností a lidí, kteří stojí za Kobface. A najdete v ní řadu společností i adres v České republice. Pokud chcete vědět více, Sophos v The Koobface malware gang - exposed! předkládá delší čtení o tom, jak došlo k odhalení autorů Kobface. A i tam se dočtete, že:

"Mateřská loď Kobface" byla hostovaná na IP adrese 78.108.178.44, nacházející se v síti UP Telecom v Praze ...

Detektivní pátrání Sophosu nakonec vede do Ruska a k několika lidem. V pokračování posledně zmíněného článku od Sophosu pak zjistíte, že tvůrci Kobface si s nějakým skrýváním moc hlavu nelámali a jejich aktivity na sociálních sítích jsou stejné, jako aktivity kteréhokoliv uživatele. Na Facebooku tak nakonec najdete jejich fotografie a přes řadu vazeb na legitimně vypadající a fungující firmy se lze dostat ke konkrétním jménům a osobám. A Sophos se pak posléze dostal ještě k další české firmě.

"MobSoft Ltd ... funguje podle webu na dvou místech, jedno je v České republice, druhé v Rusku"

MobSoft stále najdete v rejstříku firem - jako MobSoft, s.r.o. a jako MobSoft development consulting, s.r.o a vlastníky jsou skutečně dva lidé z Ruska (v prvním případě) a jeden člověk z Ruska (v druhém případě). A co se Česka týče, není to všechno - další z jmen spojených s Kobface vede k další české společnosti, Paytelecom a.s. a i tu stále najdete v rejstříku. Nachází se na stejné adrese jako předchozí společnosti. 

Diskuze na aktuálně umožňují vkládat škodlivé odkazy

Mají to na tom Aktuálně.cz poněkud nedotažené - spammerům se tam vcelku bez problémů daří vkládat spam. Co je ale horší,  automatické vytváření odkazů vcelku vpoklidu vytváří klikatelné odkazy na weby s viry, malware a dalším svinstvem. Je to dobře vidět na následujícím příkladu, kde sice odkaz není "celý", ale jasně je vidět, že stačí aby útočník použil odkaz dostatečně krátký a do diskuzí na Aktuálně.cz může umisťovat prakticky cokoliv.

Diskuze na aktuálně umožňují vkládat škodlivé odkazy

Nejvíce nebezpečné domény - COM, INFO, VN, CM, AM, CC

Každoroční zpráva McAfee mapující výskyt virů a škodlivého software na jednotlivé internetové domény přináší několik překvapení - .VN (Vietnam) se vyšvihl na třetí místo a .info se stalo ještě více nebezpečným místem. Česká republika je stále na 54 místě.

Cameron Diaz je nejvíce nebezpečnou internetovou celebritou

McAffee Most Dangerous Celebrities je zábavná studie. Například i tím, že k ní korporátní komunikace přilepují neustále "(tm)". Jinak je to ale shrnutelné - celebrity lákají tvůrce virů a podvodů. Na lidi prostě celebrity fungují. Ale to už ví bulvár desítky let. A Česká republika je na čele žebříčku.

Varování - nové ICQ 7.2 instaluje do systému Toolbar a mění vyhledávání na ICQ Search - bez varování

Důrazné varování - nové ICQ 7.2 (vnucuje se uživatelům ICQ automaticky) do vašeho systému instaluje ICQ Toolbar (prozradím rovnou, že žádný takový toolbar v systému rozhodně nechcete) a přenastaví vyhledávání na ICQ Search (a to nechcete ani omylem, protože je to jenom špatně přebarvený Google s filtrací a šmírováním od ICQ). Tyhle dvě věci vám ICQ 7.2 nainstaluje automaticky, pokud to ručně nezrušíte - a není to vidět, dokud se o to nezačnete zajímat.

ICQ 7.2 behaves like any other malware, beware!

Jak poznat rizikovou aplikaci a nepořídit si vir na Facebooku *

Facebook je masově využíván tvůrci virů k šíření jejich tvorby - cíl je stejný jako v případě virů přicházejících elektronickou poštou nebo napadající návštěvníky webových stránek - získat přístup k jejich počítači, dostat do něj malware, trojského koně, keylogger či jakékoliv další škodlivé software. A takto získaný počítač používat pro další šíření virů, rozesílání spam a hacking počítačů.

Popularita Facebooku přivedla na svět další virus

Podvržená adresa odesílatele a upozornění na provedenou změnu hesla. Úsměvné je, že "nové" heslo by mělo být uložené v přiloženém ZIP souboru. Podle WebSense se EXE spojí s dalšími servery aby stáhl další kód a připojil počítač k Bredolab botnet. Jinými slovy, pokud se na tohle nachytáte, bude váš počítač plně ovládaný někým jiným a bude používán pro rozesílání spamu, krádeže osobních údajů a útoky na další počítače. Přiložený virus (Facebook_Password_27b6f.exe v mém případě) má několik různých ozančení - Trojan.Downloader.Bredolab.AZ (F-Secure), Packed.Win32.Krap.w (Kaspersky), TrojanDownloader:Win32/Bredolab.X (Microsoft) či Mal/Bred-A (Sophos).

Virus je rozesílán klasicky náhodně formou spamu,nemá nic společného s tím, jestli máte či nemáte účet na Facebook.com.

AVG: Uživatelé jsou na sociálních sítích zranitelnější než kdykoli dříve

Výzkum AVG a Rady marketingových ředitelů (CMO Council) ukázal, že masivní používání sociálních sítí přináší řadu nebezpečí. Je ale dobré se zamyslet nad tím, zda náhodou nemají máslo na hlavě provozovatelé sociálních sítí a zda AVG skutečně pochopilo, jak sociální sítě fungují

Jak se zbavit Google Updater aplikace - návod od Google co moc nepomůže

Google nějak sám neví, kam vlastně Google Updater instaluje - na poslední řádce se tak například snaží smazat složku, ve které Updater vůbec není. A podobně je tomu i se zásahy do registry, které v "odinstalátoru" provádí

Adobe Flash Player využíván na 20 tisících stránkách pro útoky

Čerstvě zjištěná chyba v Adobe Flash Player (přehrávači) je podle článku na Security Focus masově využívána pro útoky na návštěvníky webů prostřednictvím SQL injection (vsunutí SQL kódu). Útočný kód je podle SF přítomen na zhruba 20 tisících webových stránkách a přesměrovává uživatele na stránky obsahující vlastní kód zneužívající chybu v Flash přehrávači.

Dancho Danchev se problému věnuje v článku Malware Attack Exploiting Flash Zero Day Vulnerability, ve kterém upozorňuje na to, že jde o jeden z mála příkladů velmi rychlého využítí objevené chyby a poukazuje na to, že jako ve většině útoků toho druhu jde útok na vrub sítim umístěným v Číně. Další informace uvádí Symantec, který identifikoval minimálně dvě domény (wuqing17173.cn a woai117.cn), na kterých je umístěn útočný kód. Blizzard navíc varuje své uživatele, že tento druh útoků je používán i pro útoky vedoucí k získání jmen a hesel použitelných pro krádež účtů hráčů World of Warcraft online. Další podrobnosti najdete též v Vulnerability Note VU#395473 (US-CERT).

Adobe podle US-CERT vydalo novou verzi, 9.0.124.0, kterou by uživatelé Microsoft WIndows měli urychleně nainstalovat - a nezapomenout provést update pro všechny prohlížeče, které používají.

www.kisswow.com.cn/m.js aneb SvětSítí.cz vám může hacknout počítač

Další v článku jmenovaný virus/malware najdete i na dalších českých stránkách - je mezi nimi i pár známých jmen - Strabag, Alza či SPŠ Zlín

Čas plyne a virus na Sazavafest.cz stále útočí na vlastní návštěvníky

Když zahraniční média píší katastrofické články o desítkách tisíc webových serverů napadených botnet aktivitami, vypadá to jako něco dostatečně neskutečného a vzdáleného. Našeho malého českého internetu si přece nějací škodiči všímat nebudou. Chyba lávky, samozřejmě budou. Pro roboty je IP adresa jako IP adresa. A proto můžete na sazavafest.cz/carodejnice (otevírat na vlastní nebezpečí!) najít kód, který útočí na prohlížeče návštěvníků a snaží se jim dostat do počítače.

Na konci stránky je kus velmi podezřele vypadajícího kódu, který se po patřičném "rozbalení" sebe sama postará o stažení skutečného útočného kódu z IP adresy 77.221.133.150. A pokud útok úspěje, v počítači se objeví keylogger (mimo jiné odchytávající i hesla pro internetové bankovnictví).

Potud všechno klasika. Podobně napadených webových serverů jsou skutečně desítky tisíc. A stránek s podobným kódem mnohonásobně vic. Horší na celé situaci je, že dny plynou a provozovatel serveru, ačkoliv o problému ví, nedělá vůbec nic. Nic nedělá ani hostingová společnost, která může být uplně stejně zodpovědná, jako provozovatel stránek.  Podivné, nezodpovědné a hloupé. Zejména u stránek akce, která měla docela slušnou podporu médií.

Provozovatelům Sazavafest.cz i hostingové firmě psal Daniel Čáslavka už prvního května. Kód byl ze stránek krátce odstraněn, aby se tam vzápěti objevil znovu. Poté co Daniel Čáslavka upozornil POOH.CZ, jsme psal provozvatelům i hostingové firmě rovněž - virus je ve stránkách stále přítomen a na e-maily se neobtěžují ani odpovědět.

Update 5.5 večer - Premysl Klimsza (Analyzer, s.r.o - hosting zmíněných stránek) mi napsal, že dnes došlo k odstranění kódu - ten se do stránek dostává od toho, kdo stránky uploaduje přes FTP. Což napovídá na starý známý klasický virus, který tohle smetí vkládá do všech HTM/HTML stránek a poté jenom čeká, až je někdo umístí na nějaký server. Zároveň se ptá, jestli se může proti něčemu takovému bránit na straně serveru a domnívá se, že antivir podobnou věc neodhalí.

No, antivirus by podobnou věc odhalit mohl. Ale asi to bude patřit mezi složitý oříšek. Je na hostingové firmě, aby nezodpovědného uživatele se zavirovaným počítačem odkázala do patřičných mezí.

A onen nezodpovědný uživatele? Stále se ani neozval.

Update 6.5 poledne -¨virus je pochopitelně zpět.

Držet se stranou temných uliček Internetu nepomáhá

Google varuje, web je prý strašidelnější, než si mnozí lidé připouštějí. Lidská hloupost, nezodpovědnost zodpovědných orgánů a síla Google je ve skutečnosti to, co napomáhá útočníkům nejvíce.

Nový útok se tváří jako kritický update pro Windows XP/2000/2003/Vista

Důvěřivý uživatel obohatí svůj počítač o malware sloužící pro sběr poštovních adres pro spamové databáze a odchytávání hesel pro řadu programů (FTP a poštovních klientů).

Zkoušet štěstí u Google se nemusí vyplatit

MessageLabs varuje (PDF), Zkusím štěstí/I'm feeling lucky u Google je zneužíváno útočníky pro přivádění uživatelů na stránky obsahující malware. Search engine spam se v lednu postaral o 17% celkového spamu a má stoupající tendenci. Využívá vlastností URL vyhledávacích strojů právě jako je Zkusím štěstí tlačítko. To přesměruje návštěvníka Google na první nalezený výsledek vyhledávání, aniž by zobrazilo obvyklou Google mezistránku s výsledky. Lze se tak vyhnout i označování potenciálně nebezpečných stránek, které Google zavedl před několika měsíci.

Ve spamu rozesílaném klasicky elektronickou poštou se přitom neobjevuje adresa webu, který malware obsahuje. Je skryta právě pomocí odkazu na Google Zkusím štěstí (btnl parametr). Paradoxně není ani nutné, aby útočníkova stránka byla na prvním místě vyhledávání. Jak uvádí MessageLabs, využití inurl může velmi usnadnit dosažení požadovaného výsledku.

Google se v reakci nechal slyšet, že "velmi tvrdě pracuje na zachování kvality indexu" a stránky šířící malware, spyware, viry, adware či trojské koně pravidelně odstraňuje. Bohužel rychlost odstraňování z indexu asi nikdy nebude dostatečná k tomu, aby útočníci mezitím nenašli dostatek obětí.

Útočníci využívají i nedostatky podobného druhu přítomné v jiných portálech. Příklad využívající Yahoo! :

rds.yahoo.com/_ylt=A0geu8VOxqFH0H4BafZXNyoA/SIG=
1194k0p6d/EXP=1201870798/**http%3a//formthick.com/

Heath Ledger zemřel a stal se nástrojem pro šíření malware

Tvůrci malware využili hosting u Volny.cz a zajímavé je, že si opravdu dali práci a vytvořili několik scannerů, které vypadají velmi věrohodně.

Náhodný JavaScript pomáhá viru unikat antivirům

Koncept viru útočí na základní podstatu antivirových programů, které většinu virů poznávají podle signatur, částí kódu případně jinak vyjádřitelných neměnných hodnot

Botnet může znamenat až 60 let vězení

Pod svícnem bývá tma. "Botmaster" pracoval jako konzultant v oblasti počítačové bezpečnosti


( strana 1 z 1 ) ( celkem článků: 27)