Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Nowy 64-bitowy rootkit dla Linuksa wstrzykuje ramki iFrame

Marta Janus Kaspersky Lab Expert
Dodany 21 listopada 2012, 12:38 CET
Tagi:

Kilka dni temu na Full Disclosure mailing-list pojawił się interesujący szkodnik. Próbka ta jest godna uwagi, nie tylko dlatego że atakuje 64-bitowe platformy z Linuksem i wykorzystuje zaawansowane techniki w celu ukrywania się, ale przede wszystkim ze względu na nietypową funkcjonalność infekowania stron internetowych hostowanych na zaatakowanym serwerze HTTP – a tym samym działanie w ramach scenariusza drive-by download.

Moduł szkodliwego oprogramowania został specjalnie zaprojektowany dla jądra w wersji 2.6.32-5-amd64, które jest najnowszym jądrem wykorzystywanym w 64-bitowym systemie Debian Squeezy. Plik binarny ma ponad 500k - taki rozmiar wynika z faktu, że plik został skompilowany wraz z symbolami debugowania. Być może nadal znajduje się w fazie rozwojowej, ponieważ wydaje się, że niektóre funkcje nie działają w pełni lub nie zostały jeszcze w pełni zaimplementowane.

Szkodnik zapewnia sobie automatyczne...


"RunForestRun", "gootkit" oraz generowanie losowych nazw domen

Marta Janus Kaspersky Lab Expert
Dodany 2 sierpnia 2012, 10:51 CEST
Tagi:

Niedawno trafiliśmy na szkodliwe oprogramowanie sieciowe, które, zamiast wstrzykiwać ramkę wskazującą na stały, istniejący adres, generuje pseudolosową nazwę domeny, w zależności od aktualnej daty. Podejście to nie jest nowe - jest szeroko wykorzystywane przez botnety podczas generowania nazw domen C&C – nie jest jednak bardzo rozpowszechnione wśród szkodliwych programów sieciowych, jakie widzieliśmy do tej pory. Po odciemnieniu kodu (deobfuscation) ramka przekierowująca do szkodliwego adresu URL z wygenerowaną nazwą domeny jest dołączana do pliku HTML. Wszystkie adresy URL składają się z 16 pseudolosowych liter i należą do domeny ru. Wykonują one skrypt PHP po stronie serwera z argumentem sid=botnet2: Każdego dnia generowana jest nowa nazwa domeny, dlatego umieszczanie adresów URL na czarnej liście w momencie, gdy stają się aktywne, przypomina walkę z wiatrakami. Na szczęście, znając algorytm, możemy...

Niebezpieczne niewidoczne znaki

Marta Janus Kaspersky Lab Expert
Dodany 10 czerwca 2011, 11:03 CEST
Tagi:

Gdy przyszłam dzisiaj do pracy, jeden z moich kolegów z polskiego oddziału poprosił mnie o pomoc w wykryciu szkodliwego oprogramowania, które znajdowało się w sklepie internetowym jego znajomego. Przeglądana za pośrednictwem przeglądarki strona HTML zawierała odsyłacz do skryptu jquery.js w losowo wygenerowanej domenie cx.cc, jednak znajdujące się na serwerze pliki źródłowe nie zawierały ani śladu takiego odsyłacza. Rozwiązanie tej zagadki było proste – ten fragment kodu jest dodawany dynamicznie, przez zainfekowany skrypt PHP.

Przejrzeliśmy wszystkie pliki PHP przechowywane na serwerze, ale rezultat zaskoczył nas – na pierwszy rzut oka nie zauważyliśmy niczego podejrzanego. Mając w pamięci szkodliwe oprogramowanie div_colors, zaczęłam badać kod linijka po linijce. Moją uwagę przykuła niewielka funkcja na początku jednego z głównych plików PHP.

Kod ten wygląda niewinnie za sprawą wielowarstwowego...


YouTube atakuje!

Marta Janus Kaspersky Lab Expert
Dodany 7 lipca 2010, 10:35 CEST

Jak to bywa w niespokojnych czasach, ataku można spodziewać się zewsząd. Nawet oglądając filmy na YouTube w domowym zaciszu nie możemy czuć się bezpieczni.

W niedzielę, 4 lipca, wielu fanów pewnej popowej gwiazdki o nazwisku Justin Bieber spotkała przykra niespodzianka: oglądając na youtube.com teledyski swojego idola, byli oni bądź to bombardowani wyskakującymi komunikatami o jego śmierci, bądź to przekierowywani na strony typu "tylko dla dorosłych". Fakt ten dosyć szybko wzbudził zainteresowanie specjalistów z dziedziny bezpieczeństwa IT i okazało się, iż serwis YouTube padł ofiarą klasycznego ataku XSS (Cross-Site Scripting).

Ataki tego typu polegają na wstrzyknięciu do kodu strony internetowej szkodliwego skryptu, który następnie jest przetwarzany przez przeglądarkę użytkownika tak, jak pełnoprawny element tej strony. Szkodliwy kod jest wstrzykiwany z wykorzystaniem luki w mechanizmie pobierania danych...


Drive-by download - uważaj, jeżeli masz własną stronę WWW

Marta Janus Kaspersky Lab Expert
Dodany 18 czerwca 2009, 14:22 CEST

Bardzo popularną ostatnio formą ataku, przeprowadzanego przez przeglądarkę internetową, są ataki typu "drive-by download" (http://www.viruslist.pl/news.html?newsid=530). Polegają one na inicjowaniu pobierania szkodliwych programów na komputer użytkownika, bez jego wiedzy i zgody. Wydawałoby się, że ryzyko padnięcia ofiarą takiego ataku wiąże się ściśle z odwiedzaniem stron o podejrzanym pochodzeniu, jednak coraz częściej się zdarza, że zainfekowane okazują się być oryginalne strony znanych i zaufanych organizacji, takich jak banki, portale informacyjne czy sklepy internetowe. Ponadto strona, która podczas wczorajszych odwiedzin była "czysta", dzisiaj może być już zainfekowana! Jak to się dzieje? Czy twórcy witryn, którym ufamy, samodzielnie umieszczają szkodliwy kod na swoich stronach?

Pierwsze ofiarą ataków padają serwery, na których przechowywane są strony WWW. Znajdujące się na nich pliki źródłowe...