Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Luka 0-day w Adobe Flash Player i produkt RCS zespołu HackingTeam

Siergiej Golowanow Kaspersky Lab Expert
Dodany 28 lutego 2013, 11:03 CET
Tagi:

W zeszłym tygodniu firma Adobe opublikowała łatę na lukę w aplikacji Flash Player. Luka ta była aktywnie wykorzystywana w atakach ukierunkowanych.

 

Zanim czytelnik zacznie dalej czytać niniejszy artykuł, zalecamy poświęcić chwilę i upewnić się, że najnowsza poprawka została zainstalowana na komputerze. Firma Adobe oferuje sprytne narzędzie do sprawdzenia, czy użytkownik posiada najnowszą wersję Flash Playera. Jeżeli w systemie zainstalowana jest przeglądarka internetowa Google Chrome, należy upewnić się, że jej wersja to „24.0.1312.57 m” lub nowsza.

Wróćmy do CVE-2013-0633, krytycznej luki, która została odkryta i zgłoszona do Adobe przez ekspertów z Kaspersky Lab – Siergieja Golowanowa i Aleksandra Poljakowa. Exploity dla luki CVE-2013-0633 zostały zaobserwowane podczas monitorowania tak zwanego „legalnego” oprogramowania nadzorującego, stworzonego przez włoską „firmę” HackingTeam. W...


KSN: Analiza przeglądarek internetowych

Siergiej Golowanow Kaspersky Lab Expert
Dodany 22 października 2012, 13:55 CEST
Tagi:

W dzisiejszych czasach cyberprzestępcy są niesamowicie szybcy w wykorzystywaniu luk w popularnych aplikacjach, takich jak: Adobe Reader, Flash i Java. Powód tej popularności jest prosty: exploity dla luk obecnych w tych programach mogą infekować komputery bez względu na używane przeglądarki internetowe czy systemy operacyjne. Założyliśmy, że zagrożenia dla użytkowników nie płyną z wyboru przeglądarki internetowej i przeprowadziliśmy kilka badań, aby sprawdzić to założenie.

Grafika opublikowana dzięki uprzejmości operatorów witryny PCMAG

Źródło danych

Kaspersky Security Network (KSN), chmura Kaspersky Lab, gromadzi anonimowe statystyki wszelkich zagrożeń, wykrytych na komputerach użytkowników, którzy dobrowolnie przystąpili do tego programu. Informacje te są następnie wykorzystywane do blokowania nieznanych szkodliwych programów, co również odbywa się za pośrednictwem chmury.

Dla celów badawczych...


Nowy szkodliwy program dla Maka: Backdoor.OSX.Morcut

Siergiej Golowanow Kaspersky Lab Expert
Dodany 30 lipca 2012, 10:11 CEST
Tagi:

Niedawno wiele laboratoriów antywirusowych otrzymało próbkę nowego szkodliwego programu atakującego użytkowników systemu MAC OS X. Próbka ta, o nazwie Backdoor.OSX.Morcut, była rozprzestrzeniana przy użyciu metod socjotechniki za pośrednictwem pliku JAR o nazwie AdobeFlashPlayer.jar oraz rzekomo została podpisana przez VeriSign Inc.



Powiadomienie z wirtualnej maszyny JAVA o uruchomieniu niezaufanego appleta

Jeżeli użytkownik zezwoli na uruchomienie pliku JAR, wtedy tworzy on plik wykonywalny payload.exe (993,440 bajtów) w folderze tymczasowym ~spawn[selection of numbers].tmp.dir i uruchamia go.



Sekcja kodu pliku JAR odpowiadająca za zapisywanie szkodliwego programu dla MAC OS X na dysku oraz uruchamianie go

Po uruchomieniu szkodliwy program inicjuje swoje komponenty i przekazuje im kontrolę. Komponenty obejmują:

  1. Instalatora, moduł komunikacji z serwerem zarządzania (plik mach-o dla x86 o rozmiarze 401,688 bajtów)....

Robak 2.0 lub LilyJade w akcji

Siergiej Golowanow Kaspersky Lab Expert
Dodany 25 maja 2012, 12:11 CEST

Dość rzadko zdarza nam się analizować szkodliwy plik stworzony w formie wieloplatformowej wtyczki dla przeglądarki. Jeszcze rzadziej trafiamy na wtyczki stworzone przy pomocy silników dla wielu przeglądarek. W poście tym przyjrzymy się robakowi rozprzestrzeniającemu się za pośrednictwem Facebooka, który został napisany przy użyciu systemu Crossrider – który nadal znajduje się w fazie testów beta.



Źródło obrazka: http://crossrider.com

Jak to się wszystko zaczęło...

Podczas monitorowania aktywności pewnego botnetu odkryliśmy, że pobierany jest nietypowy instalator. Nawiązywał on połączenie ze stroną http://stats.crossrider.com, posiadał identyfikator aplikacji 4761 oraz instalował aplikacje do foldera PROGRAM FILES pod nazwą “FACEBOOK LILY SYSTEM”. System Crossrider pozwala pisać zunifikowane wtyczki dla przeglądarek Internet Explorer (wersja 7 i nowsze), Mozilla Firefox 3.5 oraz Google Chrome. W...


Jeszcze raz o botnecie HLUX

Siergiej Golowanow Kaspersky Lab Expert
Dodany 17 lutego 2012, 11:01 CET

Temat botnetu HLUX nie pojawia się na tym blogu po raz pierwszy. Nadal jednak otrzymujemy pytania od mediów, na które wcześniej nie zostały udzielone odpowiedzi: Jaka jest sfera aktywności tego botnetu? Jakie polecenia otrzymuje od szkodliwych użytkowników? W jaki sposób rozprzestrzenia się bot? Z ilu zainfekowanych komputerów składa się botnet?

Przed podaniem odpowiedzi na te pytania warto wyjaśnić, że odłączony przez nas jakiś czas temu botnet HLUX nadal znajduje się pod kontrolą, a zainfekowane maszyny nie otrzymują poleceń z centrum kontroli (C&C), a zatem nie rozsyłają spamu. Wraz z Digital Crimes Unit firmy Microsoft oraz firmami SurfNET i Kyrus Tech, Inc. Kaspersky Lab przeprowadził operację „leja”, która doprowadziła do odłączenia botnetu oraz wspierającej go infrastruktury od centrum kontroli C&C.

Poniższe odpowiedzi odnoszą się do nowej wersji botnetu HLUX – jest to inny botnet, jednak...


TDL4 zaczyna wykorzystywać lukę 0-Day!

Siergiej Golowanow Kaspersky Lab Expert
Dodany 10 grudnia 2010, 10:28 CET
Tagi:

Na początku grudnia eksperci z Kaspersky Lab wykryli próbki szkodliwego programu TDL4 (nowa modyfikacja TDSS), który wykorzystuje lukę 0-day w celu eskalacji przywilejów pod Windowsem 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888). Wykorzystywanie tej luki zostało po raz pierwszy wykryte podczas analizy Stuxneta.

Dzięki wykorzystaniu exploita dla tej luki rootkit TDL4 może zainstalować się w systemie, a narzędzia bezpieczeństwa UAC (User Account Control) nie wygenerują żadnego powiadomienia. UAC jest domyślnie włączony we wszystkich najnowszych wersjach Windowsa.

Po tym jak trojan uruchomi się w systemie, np. Windows 7, jego proces otrzyma odfiltrowany token ze zwykłymi przywilejami użytkownika. Próba wstrzyknięcia się do procesu bufora wydruku kończy się błędem (ERROR_ACCESS_DENIED).

Błąd występuje wtedy, gdy TDL4 próbuje ingerować w proces bufora wydruku. Wcześniejsze...


Liczby i prawo związane ze sprawą Winlock

Siergiej Golowanow Kaspersky Lab Expert
Dodany 7 września 2010, 11:24 CEST
Tagi:

Podczas gdy Eugene jest zajęty robieniem zakładów, ja postanowiłem zastanowić się chwilę nad sprawą Winlock.

Rosyjskie organy ścigania szacują, że cyberprzestępcy mogli zgarnąć nawet 1 miliard dolarów. Chociaż trudno jednoznacznie podać dokładną kwotę (naturalnie cyberprzestępcy rozdzielili pieniądze na kilka różnych kont, aby nie zwracać na siebie uwagi), z prostego rachunku wynika, że suma ta nie jest tak nieprawdopodobna jak mogłoby się wydawać.

Z naszych statystyk wynika, że zainfekowanych mogło być około miliona osób. 10 cyberprzestępców, z których każdy dostał swoją dolę z okupu wynoszącego od 10 do 30 dolarów – nawet jeżeli cyberprzestępcy płacili 3 dolary od infekcji osobom, które zgodziły się rozprzestrzeniać tego szkodnika, po zliczeniu wychodzi całkiem spora sumka do podziału.

Naturalnie, aresztowane osoby nie były jedynymi zamieszanymi w całą sprawę. Sporą rolę...