Dość ciekawy przypadek wykorzystywania domen z końcówką .gov (rządowa) do kierowania użytkowników na strony zawierające złośliwe oprogramowanie możemy odnaleźć w wyszukiwarce Google po wpisaniu słów: zoo porn i ograniczeniu wyników do domen .gov. Okazuje się, że domeny tubes-0611.uppersiouxcommunity-nsn gov oraz tubes-1911.emporia-kansas gov kierują użytkownika na stronę programu FLV Direct, którego instalacja rzekomo odsłoni nam pielesze poszukiwanych treści. Wynik serwisu Virustotal dość szybko uświadamia nam, że pobierane oprogramowanie nie należy do najprzyjemniejszych. W całym przypadku najlepsze jednak jest to, że strony kierujące do programów partnerskich programu FLV Direct nie są hostowane na serwerach domen rządowych, a jedynie w wyniku manipulacji wpisów DNS wykorzystują domenę .gov do swoich niecnych celów. A dokładniej: Czytaj dalej »
Archiwum (tag: bezpieczeństwo
)
-
Rządowe domeny serwują złośliwe oprogramowanie wykorzystując podmienione wpisy DNS
- Data dodania:
- 15 7.10
- Kategorie:
- newsy
-
Faszyzm rządzi na Facebooku
- Data dodania:
- 10 7.10
- Kategorie:
- newsy
Taki letni fun. Testowałem serwis Facebook i chcąc na koniec zabaw usunąć konto (a dokładniej dezaktywować, gdyż podobno usunięcie polega na dezaktywacji i nie logowania się przez 30 dni ale jakoś w to nie wierzę) i dostałem taką oto wesołą CAPTCHę. Nic tylko się uśmiechnąć i wyjechać nad wodę czego wszystkim czytelnikom życzę. Można kliknąć na obrazek w celu powiększenia. Ja projektując test CAPTCHA dla tak dużego serwisu jednak wystrzegałbym się kilku wyrazów ;]
-
100 000 telefonów z Symbianem zainfekowanych trojanem
- Data dodania:
- 10 7.10
- Kategorie:
- newsy
Firma NetQin poinformowała o ponad stu tysiącach telefonów zarażonych złośliwym oprogramowaniem, które udaje grę w celu przekonania użytkownika do instalacji. Trojan jest nastawiony na masowe wysyłanie wiadomości SMS do telefonów ze skrzynki kontaktowej oraz do numerów losowych. Oczywiście wysłana wiadomość jest usuwana ze skrzynki nadawczej oraz logów dotyczących SMSów. Fundacja Symbian oznaczyła już aplikację jako złośliwą i unieważniła nadany podpis dla tej aplikacji. Dzięki temu jeśli telefon posiada aktywną opcję sprawdzania zablokowanych certyfikatów, system nie zostanie zainfekowany. Niestety Symbian na początku zbagatelizował problem przyznając, że trojan ten nie stanowi większego zagrożenia. Myślę, że 100 000 botnet z przejętych telefonów dał im do myślenia. Szkoda, że tak późno. Atakowane systemy to Symbian S60 w wersji 3 i 5. Jeśli posiadanie telefon z tej rodziny, miejcie się na baczności, nie klikajcie, nie instalujcie, nie korzystajcie ;]
-
Nowe bazy danych z mailami w promocji za 99 dolarów
- Data dodania:
- 09 7.10
- Kategorie:
- newsy
Znów piękna promocja trafiła w pielesze mej skrzynki pocztowej. Jeszcze przez kilka dni można dokonać zakupu w specjalnej cenie w wysokości 99 dolarów za każdą z baz adresów mailowych. Bazy są podzielone na specjalności od lekarskich, przez finansowe, po prawnicze. Do wyboru i do koloru. Cały list ma się tako:
Only until Friday Jul 9 you can take any list below for just $99:
-
Kto założył mi konto w serwisie Twitter czyli nowa fala spamu nadpływa
- Data dodania:
- 08 7.10
- Kategorie:
- newsy
Pomoc techniczna z mikroblogerskiego serwisu Twitter napisała do mnie wiadomość mailową ;]. W nagłówku moje imię (pobrane z adresu e-mail) oraz informacja w treści, że w skrzynce czeka na mnie 10 (lub 5 w innym mailu) nowych wiadomości. Klikany adres wygląda mniej więcej tak: http://twitter.com/account/confirm_email/borys/D386E-2119C-611021 albo http://twitter.com/account/confirm_email/borys/013C8-BD3E5-572839, a tak na prawdę łączy się z: 112.137.167.244/~allthena/yrz.html lub 78.110.52.245/~pesnimir/imcm.html (najpewniej skradzione konta) by na końcu skierować nas do: areahomestore_com tudzież alldwzard_com gdzie zwyczajnie dostajemy na przysłowiową twarz reklamę apteki Canadian Pharmacy czyli sprzedającej medykamenty wszelakie. Zalecamy nie klikać, nie odwiedzać, nie kupować, nie połykać!
-
AVG blokuje stronę bothuntersów
- Data dodania:
- 07 7.10
- Kategorie:
- newsy
O skuteczności, a zwłaszcza nieskuteczności systemów antywirusowych pisałem już wielokrotnie. Niestety system antywirusowy posiadać należy choć czasem mogą spotkać nas zaskakujące niespodzianki. Jeden z czytelników (Dzięki Pawle!) podesłał wczoraj informację, że jego system antywirusowy wykrył zagrożenie na naszej stronie i zablokował dostęp do tejże. Po szybkiej analizie okazało się, że problematycznym konkretnym adresem jest wpis o pozdrowieniach dla pracowników firmy ESET pozostawionych przez twórców złosliwego oprogramowania. Najciekawsze jest to, że sam wpis nie posiada technicznych treści poza tekstem umieszczonym na witrynie internetowej. Najwyraźniej pracownicy firmy AVG poszli na łatwiznę i dodali to zdanie do niebezpiecznych sygnatur. Niestety popełnili błąd narażając swoich użytkowników na niepoprawną klasyfikację atakującej strony. Czytaj dalej »
-
Humor twórców złośliwego oprogramowania
- Data dodania:
- 06 7.10
- Kategorie:
- ciekawostki, newsy
Znane są przypadki gdy w ukrytych treściach stron internetowych cyber złoczyńcy pozdrawiają określone firmy lub osoby. Podobnie bawią się w dodawanie dodatkowych cytatów do wnętrza aplikacji, w zupełnie czasem nie zrozumiałym celu. Tak było i tym razem. Podczas debugowania złośliwej aplikacji TDL 3 rootkit, zostały odkryte następujące zdania:
- You people voted for Hubert Humphrey, and you killed Jesus
- Ah Lou, come on man, we really like this place
- Dude, meet me in Montana XX00, Jesus (H. Christ)
- I felt like putting a bullet between the eyes of every panda that wouldn’t screw to save it’s species. I wanted to open the dump valves on oil tankers and smother all those french beaches I’d never see. I wanted to breathe smoke
Wszystkie cytaty pochodzą z filmów: Fear and Loathing in Las Vegas, Fight Club, Brake my wfie, please i ewidentnie wskazują, że kto jak kto ale twórcy złośliwego oprogramowania poczucie humoru mają przednie…
-
Wywiad ze scamerem
- Data dodania:
- 05 7.10
- Kategorie:
- ciekawostki, newsy
Bardzo interesujący wywiad pojawił się w serwisie scam-detectives.co.uk. Co prawda autorzy na wstępie zauważyli, że ciężko jest w 100% uwiarygodnić odpowiadającego na pytania to istnieje spora szansa na to, że informacje podane przez scamera są prawdziwe. Postaram się w wielkim skrócie odnotować najciekawsze informacje, a zainteresowanych odsyłam do pełnej treści wywiadu. Czym jest scam chyba wszyscy wiedzą ale na wszelki wypadek przypomnę, iż są to zwyczajne próby zdobycia pieniędzy w wyniku oszustw i manipulacji. Najpopularniejszym przykładem scamu jest Nigerian Scam (419) czyli próba przekonania ofiary, że po wpłacie określonej kwoty będzie możliwy odbiór wielomilionowego spadku… itp. Czytaj dalej »
-
Uwaga na SPAM reklamujący Viagrę za pomocą potwierdzenia adresu e-mail w Wikipedii
- Data dodania:
- 02 7.10
- Kategorie:
- newsy
Coraz dziwniejsze metody są wybierane przez spamerów do nakłonienia użytkownika do odwiedzenia reklamowanych stron. Otrzymałem wczoraj kilka wiadomości zawierających temat: Wikipedia e-mail address confirmation czyli ewidentnie rzekomo zawierające potwierdzenie mojego adresu e-mail w serwisie Wikipedia. Pole OD zawierało wiki@wikimedia.org, a treść w każdym przypadku była taka sama (za wyjątkiem prawdziwego adresu odnośnika oraz adresu IP): Czytaj dalej »
-
Kradzież ponad 10 milionów dolarów w 10 dolarowych transakcjach
- Data dodania:
- 01 7.10
- Kategorie:
- newsy
Okazuje się, że warto szczegółowo analizować wyciąg ze swojego rachunku bankowego. Prawie zupełnie jak w filmie „Hakerzy” gdzie z tysięcy przelewów, obcinane i wykradane były drobne centy, tak i w odkrytym przez Amerykańską Federalną Komisję Handlu przekręcie, używając małych sum w wysokości 10 dolarów i mniej, doprowadzono do kradzieży ponad 10 milionów dolarów! Oszuści założyli kilkanaście fałszywych firm, które pobierały maksymalnie 10 dolarowe opłaty z kart kredytowych. Nie jest znane źródło, z którego firma uzyskała dane do kart kredytowych.
Najważniejsze, że dane konto było ogałacane z pieniędzy wyłącznie raz. Dzięki temu proceder długo pozostał niezauważony i możliwe było wyprowadzenie tak ogromnej sumy pieniędzy do kont znajdujących się na Cyprze, w Bułgarii, Estonii, Łotwie, Litwie i Kirgistanie. Oczywiście do przelewów wykorzystywany był mechanizm mułów, którzy nieświadomie stali się ofiarami własnej naiwności. O mechanizmie działania takich procederów pisałem szczegółowo tutaj. Warto zapoznać się z tymi metodami aby uchronić się od przykrych doświadczeń.
-
Oskarżenie w sprawie zarobku w wysokości 100 milionów dolarów na fałszywym oprogramowaniu antywirusowym
- Data dodania:
- 30 6.10
- Kategorie:
- newsy
Schemat działania fałszywego oprogramowania antywirusowego jest taki, iż odwiedzając stronę internetową (na przykład z użyciem reklamy), zostajemy przekierowani na inną witrynę, która wyglądem przypomina oprogramowanie systemu Windows (foldery i nazwy systemowe itp.), gdzie wyskakujące okna informują nas o wykrytym wirusie w naszym systemie. Oczywiście jest to forma oszustwa, gdyż namawiając nas do zapłaty kilkudziesięciu dolarów za program rzekomo usuwający szkodnika z naszego systemu, zostajemy nabici w butelkę. Produktów tego typu jest wiele i opisywałem je nie raz i nie dwa, jednak jakiś miesiąc temu postawiono zarzuty przestępstw komputerowych właśnie w kierunku takiego procederu.
Co najciekawsze, oskarżonym udało się oszukać użytkowników z ponad 60 krajów na łączną kwotę stu milionów dolarów! Spora to kwota za taki szwindel ale przy ponad milionie ofiar mogła jak widać uzbierać się z opłat za oprogramowanie niezła sumka. Sugerujemy uważne przyglądanie się komunikatom pojawiającym się przed oczami i mądre dokonywanie opłat. Jeśli zachodzi podejrzenie, że w naszym systemie zadomowiło się złośliwe oprogramowanie, spróbujmy użyć w pierwszej kolejności darmowych produktów i potwierdźmy naszą teorię. Ja czekam na wyrok w tej sprawie :]
-
Serwis niebezpiecznik.pl pod obstrzałem
- Data dodania:
- 29 6.10
- Kategorie:
- newsy
Po ostatnich wpisach na temat haseł polskich internautów serwis niebezpiecznik.pl jest niedostępny. Przyczyną jest rozproszony skierowany atak w usługi serwisu (DDoS). Administratorzy Niebezpiecznika walczą i na pewno podzielą się w późniejszym terminie szczegółami na ten temat. Aktualnie zapraszają na profil w serwisie Twitter oraz Facebook. Z góry zaznaczę, że jeśli podobna sytuacja przydarzy się Bothuntersom to zalecam cierpliwe czekanie, aż się komuś znudzi… a ja pojadę na wyczekiwany urlop :]
-
Ponad 100 urządzeń medycznych zarażonych złośliwym oprogramowaniem
- Data dodania:
- 29 6.10
- Kategorie:
- newsy
To nie science fiction, a zwykła amerykańska rzeczywistość. W zeznaniu przed komisją Kongresu USA, rzecznik Departamentu Spraw Weteranów przyznał, że przez 14 miesięcy odkryto ponad 122 medyczne urządzenia w ośrodkach zdrowia, które były zarażone przez szkodliwe oprogramowanie. Winna instytucja VA, która posiada ponad 50 000 podłączonych do sieci urządzeń pracuje nad wprowadzeniem wydzielonych sieci wirtualnych, zarzekając się, iż do końca roku projekt powinien zostać zakończony. Z uwagi na specyficzne warunki pracy związane z urządzeniami medycznymi, w których operacje muszą być certyfikowane, sporym utrudnieniem jest aplikowanie aktualizacji i nowego oprogramowania.
Poważnie się zastanawiam co stałoby się gdyby trojan poprzestawiał pacjentom ustawienia dotyczące np. dozowania medykamentów. Lub co gorsza gdyby po prostu pewne urządzenia przestały działać. Niestety komputeryzacja jak widać na tym przykładzie, niesie także wiele zagrożeń, do których trzeba podchodzić z głową i pomyślunkiem :]
Źródło: http://sunbeltblog.blogspot.com/2010/05/malware-and-medicine-122-va-devices.html
-
Najlepsze oprogramowanie oraz licencje bardzo tanio i za darmo
Przybyło do mnie kilka maili o bardzo krótkich i treściwych tematach i zawartościach typu: Windows 7 Ultimate 64 bit = -$149.95, A lot of software for Windows and MAC OS in different languages! Microsoft Office 2004 for MAC, License software! Purchase program Microsoft after a half price, The Best Software! Free Software Downloads and Reviews. Wszystkie zawierają prostą stronę internetową, która zawiera odnośnik do stron, które natomiast kierują użytkownika z użyciem metody META HTTP-EQUIV=refresh do hxxp://digital-oembuy_ru. Różne witryny wykorzystane do przekierowań zostały raczej dodane w nielegalny sposób poprzez kradzież loginów i haseł od legalnych właścicieli tudzież wykorzystanie błędów w oprogramowaniu WWW. Trafił się też polski akcent gdyż jedna ze stron to http://gigantos.udp_pl/u.html. Zgłosiłem problem firmie obsługującej hosting i w krótkim czasie skontaktowali sie z klientem i usunęli problematyczną treść.
Nagłówek klienta pocztowego jest różny. Wiadomości wysyłane są z różnymi polami Od z adresów serwerów yahoo czy hotmail ale nie tylko. Wskazuje to na wykorzystanie albo ukradzionych kont albo specjalnie do tego celu kont założonych na tych serwisach. Czytaj dalej »
-
Wyciek prawie 10 000 haseł z portali onet.pl, wp.pl, interia.pl, o2.pl
- Data dodania:
- 26 6.10
- Kategorie:
- newsy, statystyki
Ostatnio głośno jest o pojawiających się w sieci plikach zawierających ukradzione loginy i hasła do popularnych serwisów, więc dorzucimy także coś od siebie. Właśnie wszedłem w posiadanie świeżego pliku zawierającego prawie 10 000 loginów i haseł do domen firm onet.pl, wp.pl, interia.pl, o2.pl. Niezwłocznie poinformowałem wszystkie firmy z prośbą o weryfikację autentyczności danych. Zobaczymy jak poradzą sobie z problemem.
Statystyki liczby skradzionych haseł:
439 – onet.pl.txt
1332 – interia.pl.txt
2922 – wp.pl.txt
4636 – o2.pl.txtCo gorsza witryna, na której znalazłem te dane posiada także listy na przykład 3 000 loginów i haseł do kont ssh /część na konto administratora/, ponad 50 kont ftp, ponad 5 000 błędów typu Local File Include, ponad 1 000 witryn z błędem SQL Injection i pliki wynikowe zawierające dane zebrane z trojanów Zeus. Albo ktoś kogoś nie lubi i wystawił wyniki jego zabaw w sieci albo ktoś się zagapił i zapomniał zabezpieczyć katalogów dostępowych do tych danych :]
Szczegóły zostaną ujawnione w późniejszym okresie.
Aktualizacja:
1) W serwisie niebezpiecznik.pl możecie wpisując swój adres mail sprawdzić czy jest na liście skradzionych haseł.
2) Ważne jest nie postrzeganie słowa wyciek jako wycieku z portali. Hasła wyciekły od kogoś kto je zdobył najpewniej wykradając je innej osobie tudzież bezpośrednio od zainfekowanych złośliwym oprogramowaniem systemów użytkowników i wystawił na WWW.
3) Szybka analiza statystyczna pierwszych 50 haseł: Czytaj dalej »
-
Błąd typu XSS na stronie amerykańskiej agencji bezpieczeństwa NSA
- Data dodania:
- 26 6.10
- Kategorie:
- newsy
Pisaliśmy kilka dni temu o tym, że błędy zdarzają się największym, najlepszym i najprzedniejszym firmom i instytucjom oraz o tym, że bardzo ważne jest podejście do znalezionego błędu i jego szybkie poprawienie. Dwa dni temu na stronie NSA.gov, która jest oficjalną witryną Amerykańskiej Agencji Bezpieczeństwa został odkryty błąd typu XSS. Błąd działał także podczas bezpiecznego połączenia SSL i co najśmieszniejsze jest z niewiadomych przyczyn obecny w oprogramowaniu Oracle’s PeopleSoft Enterprise w wersji 8, które to oprogramowanie nie wykazuje tego błędu na innych witrynach je wykorzystujących! Najpewniej jakiś dodatek tudzież modyfikacja chłopaków z NSA sprawiła, że możliwe było wykrycie błędu. Warto przypomnieć, że nie cały rok temu wykorzystując błąd SQL Injection zostały wstrzyknięte obce treści do tejże witryny.
-
Web spam z wczoraj czyli szybka i krótka analiza
- Data dodania:
- 25 6.10
- Kategorie:
- newsy
Wczoraj pojawiło się na blogu w ciągu kilku godzin 8 komentarzy, które zostały zakwalifikowane jako SPAM, web spam dokładniej sprawę ujmując. Boty próbowały wpisywać losowe wartości do pól komentarzy pod wpisami oczekując, że za chwilę pojawią się one na stronie. Gdyby operacja się powiodła rozpoczęłyby zmasowany atak rozsyłający jak najwięcej spamowych komentarzy. Tak mniej więcej rozkładał się zakres próbkowania:
-
Spamujący trojan, który nie uruchamia się na systemie Windows XP
- Data dodania:
- 24 6.10
- Kategorie:
- newsy
Że idą nowoczesne czasy gdzie interfejsy będą fruwające nad wszechmiar to już jest dość jasno wiadome. Windows 7 pnie się w statystykach w górę, a Windows XP spada choć może jeszcze nie na łeb i szyję to jednak dość odczuwalnie. W stronę nowoczesności powędrowali także twórcy złośliwego oprogramowania. Jak możecie przeczytać na blogu, złapany został w pułapkę trojan, który w swojej najnowszej wersji zupełnie nie chce uruchamiać się na Windowsie XP. Z początku testerzy byli przekonani, że to kolejna próba wykrywania czy zarażany system znajduje się na analizowanej wirtualnej maszynie ale po szybkich testach na realnym sprzęcie okazało się, że trojan jest po prostu zbyt nowoczesny. Albo to czyjaś wpadka albo jakaś nowa polityka tworzenia malwaru ;]
Sam trojan po dodaniu bibliotek .DLL do systemu aktywuje się na poważnie dopiero po restarcie komputera, gdyż pobiera wspomagające aplikacje oraz zaczyna rozsyłać spam zawierający między innymi plik Statement_of_Fees_2009-2010.zip, który zawiera instalacyjną wersję złośliwego oprogramowania: Statement_of_Fees_2009-2010.DOC.exe. Dodatkowo instaluje w zależności od nastroju różne dodatkowe przybytki jak choćby popularny trojan do wykradania haseł Zbot. Nie chciałbym teraz ale muszę to napisać. Skuteczną obroną przed tym trojanem będzie korzystanie z systemu Windows XP . I niech mi jeszcze ktoś raz próbuje wmówić, że Windows 7 jest bezpieczniejszy ;]]]]
-
Błedy typu XSS na stronach firm F-Secure oraz Symantec
- Data dodania:
- 23 6.10
- Kategorie:
- newsy
Drobne wpadki zdarzają się jak wiadomo nawet największym jak mieliśmy się okazję przekonać niedawno na przykładzie firmy IronPort. Tym razem na ruszt XSSowych błędów wskoczyła firma F-Secure, która bardzo szybko zareagowała na odkrycie (i dodatkowo zdrowo zareagowała opisując problem na swoim blogu) oraz firma Symantec ze stroną Norton Update Center. Jak widać o pozytywny PR trzeba dbać we wszystkich zakamarkach swojego świata, zwłaszcza gdy jest się firmą zajmującą się bezpieczeństwem :]
-
Błąd w Skype aktywnie wykorzystywany przez cyberprzestępców do uruchamiania złośliwego kodu
- Data dodania:
- 22 6.10
- Kategorie:
- newsy
W październiku 2009 roku firma Skype wypuściła na rynek zaktualizowaną wersję znanej na całym świecie aplikacji do rozmów. Pozbyli się tym samym podatności w dodatku EasyBits Extras Manager. Oprogramowanie EasyBits służy do ochrony komercyjnego oprogramowania przed nielegalnym i nielicencjonowanym użyciem. Więc po prawdzie błąd związany z bezpieczeństwem znalazł się w produkcie służącym bezpieczeństwu ;] Niezależnie od braku szczegółowej informacji na temat błędu kilka miesięcy zajęło cyberprzestępcom rozpracowanie błędu.
Przez firmę Security Labs zostały wykryte ataki wykorzystujące ten błąd więc warto abyście sprawdzili, której wersji oprogramowania Skype używacie i czy na pewno jest to wersja ostatnia gdyż jeśli nie, możliwe będzie uruchomienie w Waszym systemie obcej aplikacji. Złośliwy kod atakujący Skype był podczas odkrycia wykrywany przez 1 silnik antywirusowy w serwisie VirusTotal oraz zawierał dodatkowy kod zaciemniający czyli będzie bardzo skutecznym narzędziem w zdobywaniu nowych końcówek do botnetu.
Wesołe jest to, iż w notce od Skype zalecane jest korzystanie z oprogramowania antywirusowego, z czego jak widać, mimo oczywistości z zysków posiadania programów antywirusowych, w tym konkretnym przypadku nie zda się to na wiele…