Przeżyliśmy już kilka sytuacji gdy badacze doprowadzali do sytuacji, że dany botnet dostawał mocno po du…żej liczbie swoich serwerów i w ten czy inny sposób wpływało to na liczbę wysyłanych wiadomości typu SPAM. Tak było i tym razem kiedy tydzień temu, ekipa z TLLOD po wnikliwej analizie złośliwego oprogramowania, wytypowała 30 serwerów zarządzających siecią botnet u 8 dostawców internetowych. W zorganizowanej, skoordynowanej akcji udało się wyłączyć 20 z 30 serwerów ale jak to zawsze bywa, część operatorów nie odpowiedziała na próby komunikacji (zapewne specjalnie). Czytaj dalej »
Archiwum (tag: malware
)
-
Drastyczny spadek wysyłanego spamu przez botnet Pushdo/Cutwail bo uderzeniu w serwery zarządzające
- Data dodania:
- 03 9.10
- Kategorie:
- newsy
-
Złośliwe oprogramowanie wykorzystuje nazwy legalnych aplikacji Wireshark i VirusTotal
- Data dodania:
- 31 8.10
- Kategorie:
- newsy
Cyberprzestępcy wykorzystują wszelakie metody by przekonać użytkownika do słuszności instalacji złośliwego oprogramowania. Niejednokrotnie w celu zwiększenia wiarygodności swoich produktów wykorzystują marki znanych aplikacji. Na przestrzeni ostatniego miesiąca pojawiły się dwie aplikacje wykorzystujące marki innych produktów związanych z bezpieczeństwem. Po pierwsze rewelacyjny serwis WWW: VirusTotal, do którego możemy przesłać plik, który zostanie przeanalizowany przez kilkadziesiąt silników antywirusowych i po drugie równie rewelacyjna aplikacja do analizy ruchu sieciowego Wireshark (nowa wersja pojawiła się wczoraj więc zapraszam do zabawy). Czytaj dalej » -
Statystyka dotycząca najpopularniejszych wersji złośliwego oprogramowania
- Data dodania:
- 27 7.10
- Kategorie:
- newsy, statystyki
Firma FireEye zajmująca się między innymi analizą sieci botnet oraz wszelkiej maści złośliwego oprogramowania wydała interesujące podsumowanie statystyczne ujmujące pierwsze dwadzieścia rodzin złośliwego oprogramowania pod względem liczby występowania we wszechświecie. Zachęcam do przyjrzenia się całemu wpisowi gdzie znajdziecie więcej interesujących wykresów. Dla mnie osobiście najcenniejsza jest informacja, że liczba zróżnicowania wersji danego trojana nie ma drastycznego wpływu na liczbę zainfekowanych maszyn. Innymi słowy fakt, że posiadamy 100 wersji tego samego trojana nie oznacza, że będziemy posiadali więcej maszyn pod kontrolą. O wiele ważniejsze są metody propagacji infekcji czyli spryt, spryt i jeszcze raz spryt ;] -
Pseudo konto w serwisie ImageShack nakłania mnie do instalacji lewego Flasha
- Data dodania:
- 26 7.10
- Kategorie:
- newsy
Otrzymałem wiadomość, w której dziękują mi, za dokonanie rejestracji w serwisie ImageShack. W treści wiadomości znajduje się login i hasło do serwisu oraz zarejestrowany odnośnik: hxxp://www forsight com au/ gdzie bezczelnie pojawią się statyczny obrazek podlinkowany do Trojana wykrywanego przez połowę silników antywirusowych, rzekomo informujący mnie o braku zainstalowanej odpowiedniej wersji wtyczki Flash. Metoda stara ale jak widać jara. Niezłe jest to, że obrazek o braku flasha jest pobierany bezpośrednio z oficjalnej strony Coca Coli: http://www.thecoca-colacompany.com/images/noflash_singlevideo.gif. Sprytna metoda na oszczędzenie transmisji :] Oczywiście jeśli nie klikniemy w plik .exe to automatycznie zostaniemy w jego stronę po kilku sekundach przekierowani. Dodatkowo zapewne jak ostatnio dla statystyk lub atakowania użytkownika w inny sposób w tle uruchamia się odnośnik do hxxp://diamonddoctor ru:8080/index.php?pid=10Treść wiadomości: Czytaj dalej »
-
Ponad 100 urządzeń medycznych zarażonych złośliwym oprogramowaniem
- Data dodania:
- 29 6.10
- Kategorie:
- newsy
To nie science fiction, a zwykła amerykańska rzeczywistość. W zeznaniu przed komisją Kongresu USA, rzecznik Departamentu Spraw Weteranów przyznał, że przez 14 miesięcy odkryto ponad 122 medyczne urządzenia w ośrodkach zdrowia, które były zarażone przez szkodliwe oprogramowanie. Winna instytucja VA, która posiada ponad 50 000 podłączonych do sieci urządzeń pracuje nad wprowadzeniem wydzielonych sieci wirtualnych, zarzekając się, iż do końca roku projekt powinien zostać zakończony. Z uwagi na specyficzne warunki pracy związane z urządzeniami medycznymi, w których operacje muszą być certyfikowane, sporym utrudnieniem jest aplikowanie aktualizacji i nowego oprogramowania.
Poważnie się zastanawiam co stałoby się gdyby trojan poprzestawiał pacjentom ustawienia dotyczące np. dozowania medykamentów. Lub co gorsza gdyby po prostu pewne urządzenia przestały działać. Niestety komputeryzacja jak widać na tym przykładzie, niesie także wiele zagrożeń, do których trzeba podchodzić z głową i pomyślunkiem :]
Źródło: http://sunbeltblog.blogspot.com/2010/05/malware-and-medicine-122-va-devices.html
-
Web spam z wczoraj czyli szybka i krótka analiza
- Data dodania:
- 25 6.10
- Kategorie:
- newsy
Wczoraj pojawiło się na blogu w ciągu kilku godzin 8 komentarzy, które zostały zakwalifikowane jako SPAM, web spam dokładniej sprawę ujmując. Boty próbowały wpisywać losowe wartości do pól komentarzy pod wpisami oczekując, że za chwilę pojawią się one na stronie. Gdyby operacja się powiodła rozpoczęłyby zmasowany atak rozsyłający jak najwięcej spamowych komentarzy. Tak mniej więcej rozkładał się zakres próbkowania:
-
Pozdrowienia dla pracowników firmy ESET pozostawione przez twórców złosliwego oprogramowania
- Data dodania:
- 20 6.10
- Kategorie:
- newsy
Co jakiś czas twórcy wszelkiej maści wirusów pozdrawiają swoich prześladowców czyli badaczy, którzy próbują popsuć im szyki oraz firmy zajmujące się oprogramowaniem antywirusowym. Czasem pozdrowienia zawierają się w nazwie domeny, czasami są zaszyte bezpośrednio w pliku binarnym złośliwego oprogramowania, wszystko zależy od inwencji twórców. Ostatnio pozdrowieniu zostali pracownicy firmy ESET tworzacy antywirusa NOD32. W kodzie HTML strony WWW jeden z tagów zawierał ID o nazwie: hello_nod32_guys_how_u_doing. Ponadto w kodzie odpowiedzialnym za część skryptową pojawiło się takie zdanie: /*hello nod32 guys; the force is strong with u, young Padawans, but u won’t defeat us; any resistance is futile;/. W ten oto sposób ciemna strona mocy pozdrawia stronę jasną nie wystawiając się na możliwe schwytanie :]Źródło: http://sunbeltblog.blogspot.com/2010/05/little-note-to-guys-at-eset.html
-
Uwaga na fałszywy cheat dla Modern Warfare 2. Oszukując innych, oszukujesz siebie
- Data dodania:
- 14 6.10
- Kategorie:
- newsy
W pewnym momencie uczestnictwa w rywalizacji zwanej grą komputerową okazuje się, że brakuje nam umiejętności i zwyczajnie część graczy jest od nas lepsza. Wtedy mamy ochotę użyć czegoś co nazywamy uogólniając cheat-em czyli coś co nielegalnie pomaga. Może to być na przykład program, który automatycznie namierza celownik naszej broni w głowy przeciwnika lub podmienia biblioteki kart graficznych w locie umożliwiając widzenie przez ściany. Niezależnie od techniki stajemy się półbogami choć przeciwko piekielnie dobrym graczom często i cheaty zawodzą. Na forach poświęconych grze Modern Warfare 2 pojawił się odnośnik do filmu w serwisie Youtube reklamującego właśnie cheat to gry tejże. Oczywiście żądni władzy gracze chcąc oszukiwać innych graczy doprowadzają do sytuacji gdy sami sobie instalują złośliwe oprogramowania :] W serwisie VirusTotal.com wykrywany był 11 czerwca przez 24 z 41 silników antywirusowych. Jak widać metod zarażania jest wiele i użytkownicy muszą się ostrożnie dobierać aplikacje, które uruchamiają na swoim komputerze.Źródło: http://sunbeltblog.blogspot.com/2010/06/modern-warfare-2-cheat-console-only.html
-
Wady i zalety usługi DNS blackholing w wydaniu firm zewnętrznych takich jak DNS Norton Symantec
Guzik poprosił o komentarz w sprawie uruchomienia usługi DNS Blackholingu przez firmę Norton from Symantec http://nortondns.com/. O tego typu zabezpieczeniu mówiłem już prawie 3 lata temu na kilku konferencjach i przez cały ten czas twierdzę, że jest to bardzo skuteczna metoda na walkę ze szkodnikami w zarządzanej przez nas sieci. Zasady działania opiszę po krótce cytując swój tekst z tego bloga: Czytaj dalej »
-
Ponad 135 tysięcy stron podmienionych i udających serwis Youtube
- Data dodania:
- 10 6.10
- Kategorie:
- newsy
Kolejna spora porcja podmienionych witryn została odkryta przez firmę eSoft. Liczba ponad 135 tysięcy wyników w google zawierające zainfekowane witryny robi odpowiednie wrażenie. Ktoś znów zaangażował się w kampanię, która zainfekuje wielu. Fałszywe strony podszywają się pod serwis Youtube i odnaleźć je można na przeróżne frazy od Gulf Oil Spill do NBA Playoffs. Oczywiście niezależnie od poszukiwanych filmów dostajemy informację na temat braku zainstalowanego kodeka, który oczywiście od razu jest do nas wysyłany. Jeśli uruchomimy złośliwe oprogramowanie to przysłowiowo już po nas. Serwis VirusTotal.com przekazuje wykrywalność próbki na poziomie 8/41 czyli bardzo, bardzo słabo. Zalecamy nie klikać, uważać, nie instalować!
