Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Twitter XSS

Georg Wicherski Kaspersky Lab Expert
Dodany 22 września 2010, 10:07 CEST

To był jeden z tych dni, gdy miałem jeden z tych momentów, w których mówimy „Och, nie..”. Zalogowałem się do mojego konta na Twitterze, gdy nagle wyskoczyło okienko z komunikatem z moim ciasteczkiem.

Najwyraźniej Twitter zawiera aktywnie wykorzystywaną lukę XSS. Z mojej wstępnej analizy wynika, że aby aktywować odsyłacz, trzeba na niego najechać. Jak dotąd widziałem tylko kilka takich programów typu „proof of concept”. Jednak na razie lepiej wyłączyć JavaScript na Twitterze.

Aktualizacja nr 1 (14:05 CEST): Potwierdzono, że luka ta jest wykorzystywana automatycznie bez konieczności interakcji użytkownika. Wyłączcie obsługę JavaScript dla Twittera!

Aktualizacja nr 2 (14:13 CEST): Luka pozwala na załadowanie drugiego JavaScript z zewnętrznego adresu URL bez konieczności interakcji użytkownika, przez co jest niebezpieczna.

Aktualizacja nr 3 (14:24 CEST): Kod robaka wykorzystującego...


Czy znów grozi nam Storm?

Georg Wicherski Kaspersky Lab Expert
Dodany 6 maja 2010, 11:59 CEST
Tagi:

Ostatnio głośno było o nowym wcieleniu niesławnego robaka Storm – którego Kaspersky Lab określa jako Zhelatin. Felix Leder, Mark Schlößer oraz Tillmann Werner opublikowali obszerny tekst analityczny, z którego wynika, że nowe próbki posiadają około 66% kodu pierwotnego robaka Storm. Dzięki ich uprzejmości mogłem przyjrzeć się szczegółowym wynikom tej analizy.

Analiza sugeruje, że z oryginalnego robaka Zhelatin wzięto przede wszystkim silnik pozwalający na rozsyłanie spamu i przeprowadzanie ataków DDoS. Najnowsze próbki odwołują się do jednego centralnego serwera C&C (IP jest zakodowany na końcu pliku) zlokalizowanego w Holandii.

ShadowServer skontaktował się już z dostawcą usług hostingowych w celu zdjęcia tego serwera, tak więc powstrzymanie zagrożenia nie będzie trudne. Na razie KLoud Security Network wykrył jedynie 139 takich trojanów o nazwie Trojan.Win32.Fraudload.apnh, dlatego uważamy że...


Obserwacja sieci P2P robaka Kido/Conficker

Georg Wicherski Kaspersky Lab Expert
Dodany 16 kwietnia 2009, 12:27 CEST

Na podstawie analizy zachowania sieciowego robaka Kido udało nam się stworzyć aplikację, która pomogła nam zbadać komunikację tego szkodnika za pośrednictwem sieci P2P, za pomocą której w zeszłym tygodniu dostarczane były uaktualnienia. W ciągu 24-godzinnej obserwacji zidentyfikowaliśmy 200 652 unikatowych numerów IP uczestniczących w sieci, o wiele mniej niż wynikało z wcześniejszych szacunków dotyczących rozmiaru epidemii Kido.

Wynika to głównie z faktu, że w sieci P2P uczestniczą tylko najnowsze warianty Kido i tylko część węzłów zainfekowanych wcześniejszymi wariantami zostało uaktualnionych nowymi modyfikacjami.

Jeżeli chodzi o globalny rozkład infekcji, sprawdziły się pierwotne szacunki dotyczące liczby zarażonych maszyn. Brazylia i Chile to regiony, które wyraźnie wyróżniają się pod względem liczby uczestników sieci P2P:

Jednak wygląda na to, że żaden region na świecie nie...


Przestępcy wykorzystują szum wokół robaka Kido/ Conficker

Georg Wicherski Kaspersky Lab Expert
Dodany 31 marca 2009, 11:55 CEST

Jak wcześniej informowała firma F-Secure, cyberprzestępcy wykorzystują szum wokół robaka Kido/ Conficker, aby przekonać użytkowników do zakupu ich oszukańczego oprogramowania antywirusowego. Rozwiązanie to wyświetla niekiedy fałszywe ostrzeżenia w "czystych" systemach i próbuje przekonać swoje ofiary do zakupu programu usuwającego tego szkodnika, który cyberprzestępcy oferują za 39,95 dolarów. W przeciwieństwie do tego, co twierdzili na swojej stronie internetowej, remove-conficker.org (strona ta została już zdjęta), ich rozwiązanie nie wykrywa Kido:
<embed src="http://www.youtube.com/v/zjBuXG6Ott0&amp;hl=en&amp;fs=1" width="425" height="344" type="application/x-shockwave-flash" allowfullscreen="true" allowscriptaccess="always"></embed>

Niestety nie są to jedyne osoby próbujące zarobić na powszechnym strachu przed tym mega-robakiem. Na pewnej stronie internetowej ktoś oferuje w zamian za pieniądze swoją...