Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Trojan szantażysta GpCode powraca

Witalij Kamliuk Kaspersky Lab Expert
Dodany 30 listopada 2010, 10:30 CET
Tagi:

Otrzymaliśmy kilka zgłoszeń od ludzi z całego świata proszących o pomoc w związku z infekcją bardzo podobną do trojana GpCode, którego wykryliśmy w 2008 roku.

GpCode został po raz pierwszy wykryty w 2004 roku, następnie, aż do 2008 r. pojawiał się prawie co roku. Od tego czasu jego autor ucichł. Kilku naśladowców stworzyło imitacje GpCode’a, jednak w większości były to zwykłe strachy na lachy, a nie rzeczywiste zagrożenia, ponieważ nie wykorzystywały mocnych algorytmów szyfrowania.

Jak już wspominaliśmy wcześniej, ten typ szkodliwego oprogramowania jest bardzo niebezpieczny, ponieważ szanse na odzyskanie danych są niewielkie. W praktyce oznacza to niemal trwałe usunięcie danych z dysku twardego. W 2006 i 2008 roku zaproponowaliśmy kilka sposobów odzyskiwania, a nawet deszyfrowania danych przy pomocy naszych specjalnych narzędzi.

GpCode powrócił, silniejszy niż wcześniej. W przeciwieństwie do...


Gumblar: żegnaj Japonio

Witalij Kamliuk Kaspersky Lab Expert
Dodany 6 maja 2010, 09:56 CEST
Tagi:

Gumblar po raz pierwszy pojawił się wiosną 2009 roku. Od tego czasu zwrócił uwagę wielu lokalnych dostawców usług internetowych w różnych państwach, ponieważ szkodnik ten kradnie dane uwierzytelniania FTP, wstrzykuje do legalnych stron internetowych "szkodliwe" odsyłacze i umieszcza backdoory na zhakowanych serwerach.

Ogólną architekturę systemu Gumblara opisywaliśmy już wcześniej. Jedyną rzeczą, jaka zmieniła się od tego czasu, jest liczba zhakowanych serwerów oraz dodatkowa warstwa serwerów w łańcuchu procesu infekcji. Proces infekcji rozpoczyna się teraz na legalnej stronie internetowej, do której wstrzyknięto znacznik <script> (html-redirector), który odnosi się do serwera z php (php-redirector) generującego javascript, który dalej przekierowuje przeglądarkę. Liczba takich przekierowań wynosi od jednego do czterech, na koniec przeglądarka pobiera zawartość z serwera, który jest właściwym infektorem....


Czarny kapelusz traci kontrolę

Witalij Kamliuk Kaspersky Lab Expert
Dodany 23 października 2009, 12:09 CEST

Wydawałoby się, że twórcy szkodliwego oprogramowania zawsze próbują ukrywać swoją tożsamość. Nieprawda. Niektórzy z dzisiejszych cyberprzestępców, których motywuje tylko chęć zysków, ujawniają swoje dane osobowe. W tym miejscu chciałbym opowiedzieć o zdarzeniu, które nas samych zaskoczyło: czarny kapelusz ujawnił swoją tożsamość i próbuje "uzyskać rekompensatę" od firmy Kaspersky Lab za prowadzenie przez nią badań.

Ostatnio przyglądaliśmy się nowemu serwisowi online dla twórców szkodliwych programów: [avtracker dot info]. Celem tego serwisu jest śledzenie producentów oprogramowania antywirusowego. Na stronie głównej [avtracker dot info] znajduje się opis serwisu, który między innymi zapewnia ochronę szkodliwym programom przed analizą specjalistów ds. szkodliwego oprogramowania i nawołuje do ataków DDoS na firmy bezpieczeństwa:

Kilku naszych kolegów przekazało nam informacje dotyczące...


Nowy Gpcode - groźby bez pokrycia

Witalij Kamliuk Kaspersky Lab Expert
Dodany 19 sierpnia 2008, 11:12 CEST
Tagi:

Najnowszy wariant wirusa Gpcode, o którym pisaliśmy wcześniej, stanowi o wiele mniejszym zagrożeniem niż jego poprzednicy. Twierdzenie autora o wykorzystaniu przez niego algorytmu AES-256 oraz ogromnej liczbie unikatowych kluczy to blef. Autor nie użył nawet publicznego klucza do szyfrowania, tak więc wszystkie informacje potrzebne do odszyfrowania plików znajdują się w ciele szkodliwego programu.

Z naszej analizy wynika, że trojan wykorzystuje algorytm 3DES, jednak autor wykopał gotowy komponent Delphi, zamiast zadawać sobie trud stworzenia własnej procedury szyfrowania. Kod trojana jest dość nieporządny - a jego styl bardzo różni się od poprzednich wersji Gpcode'a - co świadczy o tym, że autor nie jest dobrym programistą.

Ten nowy wariant wirusa nazwaliśmy Trojan-Ransom.Win32.Gpcode.am. Nasze antywirusowe bazy danych zawierają procedury przywracania zaszyfrowanych plików - tak więc jeśli padłeś ofiarą...


Gpcode - kolejny powrót

Witalij Kamliuk Kaspersky Lab Expert
Dodany 12 sierpnia 2008, 10:12 CEST
Tagi:

Wczoraj usłyszeliśmy niepokojącą pogłoskę o nowej wersji Gpcode'a. Natychmiast zaczęliśmy rozmawiać z ofiarami i przeszukiwać Internet w celu znalezienia próbek.

Gdy trochę poszperaliśmy, znaleźliśmy próbkę odpowiadającą opisom podanym przez ofiary. Obecnie program jest rozprzestrzeniany za pośrednictwem botnetu. [nazwa nie została podana ze względów bezpieczeństwa].

Gpcode pozostawia plik tekstowy o nazwie crypted.txt, który zawiera żądanie zapłacenia 10 dolarów okupu. W pliku tym umieszczone są również dane kontaktowe autora: adres e-mail, numer ICQ i adres URL. Strona internetowa zawiera następujący tekst w języku rosyjskim (poniżej podajemy również tłumaczenie polskie):

Добрый день. 
Для вас 3 новости, не очень хорошая и две очень хороших и Начнем мы с неочень хорошей. 
Неочень хорошая новость...

not-a-virus:FraudTool.J2ME.KaspAV.a

Witalij Kamliuk Kaspersky Lab Expert
Dodany 11 sierpnia 2008, 13:54 CEST

Wczoraj natknęliśmy się na interesujące oprogramowanie dla telefonów komórkowych. Przeznaczone jest dla platformy J2ME dla urządzeń mobilnych i jest to midlet z ikoną Kaspersky Anti-Virus. Aplikacja imituje zachowanie naszego oprogramowania antywirusowego; celowo symuluje wykrycie wirusa, a następnie wyświetla komunikat o błędzie.

Na początku myśleliśmy, że to nowy program wykorzystywany do kradzieży pieniędzy z kont użytkowników, jednak po sprawdzeniu jego zachowania doszliśmy do wniosku, że to tylko pokaz - wygląda na to, że ktoś się nieźle bawi. Program nie modyfikuje systemu ani nie próbuje kraść pieniędzy.

Mimo że program sam w sobie nie jest szkodliwy, wykrywamy go jako FraudTool. Chociaż można go bezpiecznie uruchomić, uważamy, że użytkownicy powinni o nim wiedzieć. Ponieważ nie jest szkodliwy, dodaliśmy do jego nazwy przedrostek not-a-virus. Jeśli pojawi się kolejna modyfikacja tej...


Kolejny sposób przywrócenia plików po ataku Gpcode'a

Witalij Kamliuk Kaspersky Lab Expert
Dodany 27 czerwca 2008, 09:29 CEST

W naszym poprzednim poście na temat Gpcode'a pisaliśmy, że udało nam się znaleźć sposób przywrócenia plików innych niż te, które mogą zostać odzyskane przy użyciu narzędzia PhotoRec.

stopgpcode2.jpg

Okazuje się, że jeśli użytkownik posiada pliki zaszyfrowane przez Gpcode'a i niezaszyfrowane wersje tych plików, wtedy pary plików (zaszyfrowany i odpowiadającym mu niezaszyfrowany plik) mogą zostać wykorzystane do przywrócenia innych plików na zaatakowanej maszynie. Taką metodę wykorzystuje narzędzie StopGpcode2.

Gdzie można znaleźć te niezaszyfrowane pliki? Można wykorzystać do tego narzędzie PhotoRec. Ponadto, pliki te można znaleźć w folderze kopii zapasowych lub na nośniku przenośnym (np. oryginalne pliki zdjęć skopiowane na dysk twardy komputera zaatakowanego przez Gpcode'a mogą nadal znajdować się na karcie pamięci aparatu). Niezaszyfrowane pliki mogły również zostać zapisane w jakimś zasobie...