Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Szkodliwe oprogramowanie w Amazon App Store

Roel Schouwenberg Kaspersky Lab Expert
Dodany 27 grudnia 2012, 11:35 CET
Tagi:

Podobnie jak wiele innych osób, skorzystałem z wyprzedaży na Amazon.com i zamówiłem Kindle Fire HD. Gdy zacząłem buszować w Amazon App Store, nie upłynęło wiele czasu, zanim natknąłem się na szkodliwe oprogramowanie.

Szukając konkretnej aplikacji do benchmarkingu, trafiłem na kilka dodatkowych. Jedna z nich od razu wydała się podejrzana.

Do aplikacji tej dołączony jest szkielet reklam AirPush. Tym samym można ją potencjalnie zaliczyć do kategorii oprogramowania AdWare. Jednak po bardziej szczegółowej analizie okazuje się, że aplikacja w rzeczywistości niewiele robi. Najwyraźniej została stworzona naprędce, aby jej autor mógł zarobić pieniądze.

„Internet Accelerator Speed Up” w żaden sposób nie optymalizuje połączenia. Oto jak działa ta aplikacja:

Po uruchomieniu, zanim zostaną wyświetlone inne komunikaty, aplikacja poinformuje cię, że twoje połączenie zostało zoptymalizowane o 20-45%. I to...


Kolejna luka zero-day w Adobe Flash

Roel Schouwenberg Kaspersky Lab Expert
Dodany 12 kwietnia 2011, 09:11 CEST
Tagi:

Prawie miesiąc temu ostrzegaliśmy o luce zero-day we Flashu, wykorzystywanej w atakach ukierunkowanych. W tym czasie szkodliwe pliki SWF były osadzone w plikach Microsoft Excel. Excel posłużył jako nośnik infekcji.

W tym miesiącu przyszła kolej na aplikację Microsoft Word. Szkodliwy plik .doc, o którym pisał Brian Krebs, posiada wiele cech wspólnych ze szkodliwym arkuszem Excela z zeszłego miesiąca. Nawet jeśli za tymi dwoma incydentami nie stoi ten sam gang, najnowszy atak z pewnością został zainspirowany wcześniejszym.

W przeciwieństwie do zeszłego miesiąca tym razem na komputerach użytkowników nie jest instalowany backdoor Poison Ivy. W ataku wykorzystywany jest backdoor, któremu niektórzy producenci nadali nazwę Zolpiq, większość jednak zastosuje dla niego nazwę generyczną.

Zolpiq ujawnia się w systemie w sposób mniej ewidentny niż Poison Ivy. W niedzielę dodaliśmy do naszych baz danych sygnaturę tego...


Szkodliwe reklamy rozprzestrzeniane przez ICQ

Roel Schouwenberg Kaspersky Lab Expert
Dodany 26 stycznia 2011, 10:50 CET

W ostatnich dniach otrzymaliśmy wiele doniesień o komputerach zainfekowanych fałszywymi programami antywirusowymi (scareware). Winowajca nazywa się Antivirus 8.

Interesujące jest to, że na ekranach użytkowników pojawiały się okna wyskakujące fałszywego programu antywirusowego, chociaż nie korzystali aktywnie z komputera. Podczas analizy zauważyliśmy, że okna te pojawiają się wtedy, gdy ICQ wyświetla nowe reklamy.

Zainstalowałem ICQ i pozwoliłem mu działać kilka minut, aby “złapał” reklamy. Oto co zauważyłem:

Strona ta jest utrzymywana na [snip]charlotterusse.eu.

Sądząc po dodanej ramce iframe, możnaby pomyśleć, że ktoś włamał się do serwera przechowującego reklamy tego sklepu. Nie zupełnie. Pogrzebałem trochę i odkryłem, że żaden z tych serwerów – oprócz charlotterusse.com – nie jest w jakikolwiek sposób związany z tą marką odzieży.

W całej sprawie najbardziej...


Jeszcze raz o robaku VBMania

Roel Schouwenberg Kaspersky Lab Expert
Dodany 13 września 2010, 11:45 CEST
Tagi:

Być może zauważyliście, że zmniejszyliśmy poziom zagrożenia internetowego na niskie ryzyko. Po tym jak przyjrzeliśmy się ponownie robakowi Email-Worm.Win32.VBMania i skali jego rozprzestrzenienia się, doszliśmy do wniosku, że wyższy poziom zagrożenia był nieuzasadniony.

Liczba infekcji jest dość niska. Liczba wysłanych wiadomości spamowych jest stosunkowo wysoka, jednak nie stanowią one już zagrożenia, ponieważ szkodliwe pliki, do których prowadziły zawarte w wiadomościach odsyłacze, zostały już usunięte. Tak więc, VBMania nie złowi już kolejnych ofiar przy użyciu poczty elektronicznej. Ponadto, VBMania nie uruchamia się poprawnie w systemie Windows 7, jeżeli jest włączone UAC.

Robakowi VBMania pozostają dwa wektory infekcji: tworzy własne kopie na współdzielonych folderach sieciowych oraz urządzeniach USB. Ręczne usuwanie VBMania może być uciążliwe, jednak szkodnik ten nie stanowi...


Atak zero-day na Adobe Reader - przy pomocy skradzionego certyfikatu

Roel Schouwenberg Kaspersky Lab Expert
Dodany 9 września 2010, 09:29 CEST
Tagi:

Wczoraj Adobe opublikował porady dotyczące nieznanej wcześniej luki zero-day w oprogramowaniu PDF Reader/Acrobat. Luka ta jest aktywnie wykorzystywana na wolności.

Jest to dość prosty exploit. Jedyną ciekawostką jest to, że wykorzystuje Return Oriented Programming (ROP) w celu obejścia technologii ASLR i DEP w systemie Windows Vista oraz 7.

Już od jakiegoś czasu spodziewałem się, że ROP będzie wykorzystywany w exploitach na większą skalę. Dlaczego? Ponieważ Windows 7 zyskuje coraz większą popularność zarówno wśród klientów indywidualnych jak i korporacyjnych.

O ile większość zainfekowanych PDF-ów pobiera szkodliwe funkcje, w tym przypadku szkodliwa zawartość jest osadzona w PDF-ie. PDF umieszcza plik wykonywalny w folderze %temp% i próbuje go wykonać.

Plik ten jest podpisany cyfrowo ważnym podpisem amerykańskiej firmy Credit Union!

Gdy przyjrzeć się bliżej poniższym zrzutom...


LNK zero-day - podstawy

Roel Schouwenberg Kaspersky Lab Expert
Dodany 20 lipca 2010, 09:55 CEST
Tagi:

W weekend zająłem się analizowaniem luki zero-day LNK w systemie Windows, o której pisał niedawno Aleks. Luka ta została sklasyfikowana jako CVE-2010-2568 i jest aktywnie wykorzystywana na wolności.

Główny wniosek, do jakiego doszedłem, jest taki, że luka ta stanowi fundamentalną cześć sposobu, w jaki Windows obsługuje pliki LNK. To oznacza, że istnieją dwa ogromne negatywy – po pierwsze, ze względu na to, że funkcjonalność ta jest dość standardowa, coraz trudniej będzie stworzyć skuteczne wykrywanie generyczne, które nie wywołuje fałszywych trafień.

Po drugie, przypuszczam, że Microsoft będzie miał problemy z załataniem tej luki. Wygląda na to, że nie istnieje żaden model bezpieczeństwa związany ze sposobem obsługi skrótów przez Windowsa. Cała ta sytuacja przypomina mi nieco o lukach w formacie WMF.
Opublikowaliśmy generyczne wykrywanie zainfekowanych plików LNK, które próbują...


Nirwana dla cyberprzestępców?

Roel Schouwenberg Kaspersky Lab Expert
Dodany 16 lipca 2010, 11:05 CEST
Tagi:

13 lipca Microsoft skończył wsparcie dla systemu XP/Service Pack 2. Według raportów, wiele komputerów nadal działa pod kontrolą tego systemu operacyjnego. Wygląda to na poważny problem, prawda? Tak naprawdę, nie jestem wcale o tym przekonany.

Przyjrzyjmy się najpierw komputerom klienckim – tym, które nie są zarządzane centralnie. Dlaczego takie komputery nadal miałyby mieć zainstalowany dodatek SP2? Możemy założyć, że Windows Updates został na nich wyłączony. Przychodzą mi na myśl tylko dwa powody takiego stanu rzeczy: działanie WU uniemożliwiła infekcja szkodliwym oprogramowaniem lub wyłączyli ją użytkownicy posiadający nielegalną wersję systemu, aby móc dalej korzystać z niej za darmo.

W pierwszym przypadku, do infekcji już doszło. W drugim przypadku, istnieje niewielkie prawdopodobieństwo, że maszyna została kiedykolwiek załatana po pierwotnym zainstalowaniu SP2. To oznacza, że takie...