• InfoProf
    www.infoprof.pl

    Portal poświęcony wyszukiwaniu i ochronie informacji

  • Informacje
    Subskrybuj ten kanal
  • Android.Gamex

    Trojan pojawia się w pakiecie o nazwie de.mehrmannd.sdbooster. Po instalacji żąda zezwolenia na zapisywanie na zewnętrznych urządzeniach pamięciowych. Po instalacji rejestruje usługę com.android.md5.Settings. Szkodnik spróbuje uzyskać dostęp do systemu na prawach użytkownika root. Jeśli mu się uda, spróbuje zainstalować wbudowane pakiety z pliku /assets/logos.png: com.android.setting, com.android.update. Skopiuje też com.android.setting do /system/app/ComAndroidSetting.apk. Wysyła IMEI i IMSI na zewnętrzny serwer. Pobiera także inne szkodniki na skompromitowane urządzenie. Monitoruje statusy SCREEN_ON i SCREEN_OFF, by uruchamiać pobrane szkodniki podczas gdy ekran jest wyłączony.


  • Google Chrome instalator? Nie. Bankowy złodziej danych.

    Fałszywe instalatory oprogramowania czy aktualizacji to już nic nowego. Na tym blogu wielokrotnie ostrzegaliśmy na przykład przed fałszywymi instalatorami Mozilli Firefoxa czy Open Office. Dziś przyszło nam ostrzec Was przed szkodnikiem który podszywa się pod Instalator popularnej przeglądarki Google Chrome.


  • W32.Wergimog.B

    'Po uruchomieniu szkodnik kopiuje się do lokalizacji %UserProfile%/Application Data/Microsoft/ jako plik o nazwie services[trzy losowe cyfry].exe. Następnie szkodnik modyfikuje rejestr tak by uruchamiać się wraz z każdym uruchomieniem usługi Adobe Reader Speed Launcher. Kolejnym posunięciem szkodnika jest utworzenie mutexa. Później robak uruchamia proces Explorer.exe i wstrzykuje swój kod do jego wnętrza. Może również wstrzykiwać się do innych działających procesów przykładowo: csrss.exe czy System Idle Process. Następnie szkodnik otwiera backdoora na porcie 5786 do lokalizacji ns2.kasprsky.org lub ns2.lksadxniuszkla.org i oczekuje na polecenia zdalnego napastnika. Robak może podejmować następujące działania: pobierać z sieci i uruchamiać pliki, przeprowadzać ataki pakietami UDP i Syn,oraz ataki Slowloris , uruchamiać procesy, otwierać wskazane adresy. Worm może także zbierać następujące informacje o zainfekowanej maszynie: wersja systemu operacyjnego, nazwy użytkowników i typy przypisanych do tych nazw kont, detale związane z kontem w FileZilla. Stara się również uzyskać informacje związane z ewentualny danymi do konta na stronach: hackforums.net, thepiratebay.org,megaupload.com hotfile.com, fileserve.com, uploading.com. Szkodnik monitoruje również zapytania do DNS-ów, jeśli użytkownik spróbuje dostać się na jedną z wymienionych poniżej stron ( będących w większości stronami producentów oprogramowania ochronnego) sophos.fr,sophos.com, housecall.com, jotti.org, novirusthanks.org, threatexpert.com, virus.org, virustotal.com, banners.fastclick.net, banner.fastclick.net, awaps.net, avp.com, avp.ch, atdmt.com, ar.atwola.com, ads.fastclick.net, ad.fastclick.net, ad.doubleclick.net, updates.symantec.com, service1.symantec.com, securityresponse.symantec.com, liveupdate.symantecliveupdate.com, liveupdate.symantec.com, customer.symantec.com, symantec.com, viruslist.ru, viruslist.com, f-secure.com, gdata.de, hijackthis.de, kaspersky-labs.com, kaspersky.com, kaspersky.ru, anti-virus.by, szkodnik przekieruje go na stronę startową wyszukiwarki Google. Worm modyfikuje również każdy wpis którego dokona użytkownik na następujących portalach: Facebook, Twitter, Myspace, Linkedin, Hi5, Hyves, Omegle.Ns koniec szkodnik poszukuje w komputerze innych szkodników i kończy ich procesy. Robak rozprzestrzenia się poprzez kopiowanie na napędy wymienialne ( jako plik o nazwie dsci5829.jpg ukryty w katalogu %\\adober~1


  • W32.Stekct

    Robak rozprzestrzenia się za pośrednictwem komunikatorów internetowych oraz portali społecznościowych. Pojawia się jako plik o nazwie MDM.EXE, który zostaje zapisany w domyślnym katalogu Windows. Następnie szkodnik dodaje się do listy autoryzacyjnej firewalla. Robak wyłącza następujące procesy oprogramowania ochronnego: antivirservice, avgnt, aviraupgradeservice, avp, kavsvc, msascui, msmpsvc, windefend oraz proces aktualizacji wuauserv. Szkodnik otwiera backdoora i pobiera z sieci oraz uruchamia na skompromitowanej maszynie potencjalnie szkodliwe pliki oraz pobiera treść spamowych wiadomości które następnie za pośrednictwem komunikatorów AIM, Google Talk, ICQ, Yahoo! Messenger,Windows Live Messenger, Skype oraz na platformie Facebook.


  • Trojan.Komodola

    Po uruchomieniu szkodnik upuszcza do domyślnego katalogu systemowego liczne pliki: gb_catchme.exe, devcon.exe, snetcfg.exe, registro_sicredi.reg, registro_itau.reg, registro_driver.reg, registro_bb.reg, gb_service.exe. Ponadto upuszcza plik o nazwie SessionChange_[data]_[czas].log bezpośrednio na dysk systemowy. Później modyfikuje następujące klucze rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\auto_gas\"Start" = "0x2"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\auto_gas\"ErrorControl" = "0x0"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\auto_gas\"ObjectName" = "LocalSystem"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\auto_gas\"Type" = "0x10"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\auto_gas\"DisplayName" = "Auto Gas"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\auto_gas\"ImagePath" = "%System%\gb_service.exe"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\NetCfgLockHolder\"(Default)" = "Sample Netcfg Application (netcfg.exe)"
    trojan zbiera informacje ze skompromitowanej maszyny i wysyła do zdalnego napastnika. Szkodnik odinstalowuje programy: GpPlugin, WinpkFilter driver,a także może przekierowywać odwołania do stron bankowych na szkodliwe serwery - dzięki czemu szkodnik zdobywa loginy i hasła do tych stron.


  • Luki w odtwarzaczach

    W ostatnim czasie, w dwóch popularnych odtwarzaczach multimedialnych (Apple QuickTime 7.x oraz RealPlayer 15.x) wyktyto luki, pozwalające na przeprowadzanie ataków umożliwiających zdalne wykonywanie obcego kodu w systemach gdzie działają podatne wersje danego odtwarzacza. Łącznie w obu programach odkrytych zostało 20 błędów.


  • Trojan.Festi

    Zadaniem tego trojana jest pobieranie z sieci plików na skompromitowaną maszynę. Kiedy szkodnik zostanie uruchomiony upuszcza do podkatalogu drivers domyślnego katalogu systemowego plik o losowej nazwie i rozszerzeniu .sys. Plik ten jest następnie rejestrowany w systemie jako usługa. Później szkodnik łączy się ze zdalną lokalizacją pod adresem muduck.ru i pobiera z niej a następnie uruchamia na skompromitowanej maszynie inne pliki.


  • Backdoor.Vasport

    Po uruchomieniu szkodnik kopiuje się do profilu użytkownika, ( katalog Dane Aplikacji) jako plik o nazwie conime.exe. Następnie trojan otwiera backdoora poprzez utworzenie połączenia HTTP POST z lokalizacją svr01.passport.serveuser.com. Szkodnik posiada umiejętność tworzenia połączeń z wykorzystaniem proxy. Może także pobierać z sieci i uruchamiać na skompromitowanej maszynie potencjalne szkodliwe pliki.


  • Backdoor.Wiarp

    Po uruchomieniu szkodnik tworzy w lokalizacji Documents and Settings\All Users\Application Data \ katalog MicroTemp a w nim dwa pliki o nazwach: werport.dll oraz wiarpc.dll. Następnie otwiera backdoora do lokalizacji [http://]update.yahoo-upgrade.com/ch[usunięte] i oczekuje na polecenia zdalnego napastnika. Szkodnik jest w stanie podejmować następujące działania: wstrzykiwanie plików do działających procesów, kończenie procesów, tworzenie usług, pobieranie plików z sieci, otwieranie linii poleceń.


  • Backdoor.Linfo

    PO uruchomieniu szkodnik tworzy w domyślnym katalogu Windows następujące pliki: linkinfo.dll, tp.dat, tp.ds, ponadto tworzy swój plik o nazwie lg.dat w lokalizacji %ProgramFiles%\Internet Explorer. Kolejnym posunięciem szkodnika będzie utworzenie mutexa, dzięki obecności którego nie dojdzie do wielokrotnej infekcji skompromitowanej maszyny tym samym szkodnikiem. Następnie trojan otwiera backdoora do następujących lokalizacji: [http://]www.ancold.org.au/mycfg/mycmd/[ENCODED HO[usunięte], [http://]www.ancold.org.au/mycfg/myscr/Myup[usunięte] i oczekuje na polecenia od zdalnego napastnika. Szkodnik może na polecenie podejmować następujące działania: zbierać informacje na temat systemu operacyjnego. Uruchamiać pliki pobrane z sieci, przemieszczać lub usuwać pliki znajdujące się w komputerze, wysyłać pliki z komputera do wskazanych lokalizacji, uruchamiać zdalną powłokę, wylistowywać procesy, tworzyć spisy zawartości dysków, przeszukiwać pliki w poszukiwaniu konkretnej zawartości, zmieniać częstotliwość z jaką komputer komunikuje się z serwerem, pobierać i aktualizować swój plik konfiguracyjny, wylogowywać aktualnie pracującego użytkownika, restartować lub wyłączać komputer


  • ANDROIDOS_BOXER.A

    Szkodnik udaje darmowy instalator odtwarzacza Flash. Może być pobrany przez nieświadomego użytkownika z witryn {...}1ayerandroid-apk.ru lub {...}us-api.ru. Po instalacji będzie wysyłał SMSy na numery o podwyższonej opłacie, najczęściej zagraniczne, w ten sposób narażając użytkownika na wysokie koszty.


  • Trojan.Ransomlock.N

    Po uruchomieniu szkodnik kopiuje się do lokalizacji %Profil użytkownika%\Dane Aplikacji\ jako plik o nazwie itunes_service01.exe. Następnie rozpoczyna modyfikowanie rejestru w celu zapewnienia sobie startu za każdym razem gdy uruchomiony zostanie system operacyjny. Dodaje się m.in.do klucza odpowiedzialnego za uruchamianie tzw. active desktop, czy wpis który spowoduje, że szkodnik będzie się uruchamiał wraz z każdym uruchomieniem kontrolera ActiveX oraz procesów winlogon.exe oraz userinit.exe. Później trojan tworzy wpisy, których zadaniem jest wyłączenie Managera Zadań oraz Edytor Rejestru. Kolejny wpis: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDesktop" = "1" blokuje uruchomienie pulpitu. Szkodnik ukrywa również ikony oraz modyfikuje klucze odpowiedzialne za ustawienia poziomu zabezpieczeń przeglądarki Internet Explorer. Po dokonaniu tych modyfikacji szkodnik łączy się z predefiniowanymi adresami www i pobiera z nich stronę w języku HTML, zawierającą wiadomość od porywacza. Strona zawiera informacje na temat sposobu odzyskania przez użytkownika możliwości korzystania z komputera czyli drogi przekazania pieniędzy napastnikowi w zamian za kod odblokowujący.


  • Trojan.Tatanarg.B

    Po uruchomieniu trojan upuszcza do domyślnego katalogu Temp następujące pliki: ke64fufyjr.exe, ke64dlbzxln.exe, ke64dmlaci.exe, a także tworzy w tym samym katalogu pliki o nazwach: 1.m.log oraz 2.m.log. Szkodnik może także pobrać z internetu inne swoje moduły w zaszyfrowanej postaci. Pliki te zapisuje w lokalizacji %Profil Uzytkownika%\Dane Aplikacji\Help pod nazwami ceptr.tll oraz comm.tll. Kolejnym posunięciem szkodnika będzie połączenie się z nastepującymi lokalizacajmi na porcie 31439: www.fantastijitu.ru, www.tortikiua.ru, www.einstreubetrieb-abeln.de/, www.willowbendfitnessclub.com/, www.aexaidariou.gr/, www.bredenmaster.com/, www.fundacionelarcapanama.org/, www.qualitymayorista.com/, www.einstreubetrieb-abeln.de/ i pobiera z nich plik o nazwie g.php.Trojan wstrzykuje swój kod do procesu explorer.exe. Szkodnik monitoruje aktywność następujących przeglądarek: Sol, Chrome, Firefox, Opera, Internet Explorer, Maxthon, Netscape Navigator i przechwytuje szczegóły związane z korzystaniem z otwieranych w przeglądarkach stron: loginy, hasła,kody dostępu, w niektórych przypadkach dane będą zawierać także datę oraz historię działania na stronie. Zdobyte dane wysyła do zdalnego napastnika. Szkodnik może podpisywać swoje binarki fałszywym certyfikatem.


  • Bloodhound.Flash.15

    Bloodhound.Flash.15 jest piętnastą odmianą grupowego eksploita korzystającego z błędów w Adobe Flash Playerze. Jak zwykle, eksploit służy do prób wykonywania obcego kodu w potencjalnie podatnych środowiskach.


  • Majowe biuletyny bezpieczeństwa Microsoft

    Microsoft opublikował informacje o nowych zagrożeniach w swoich produktach. Majowe wydanie dotyczy zagrożeń i tym samym bezpieczeństwa zarówno samych systemów Windows jak również pakietu Office i środowiska .NET Framework. Dzięki wykrytym wcześniej a teraz ujawnionym podatnościom, potencjalny napastnik mógł starać się przejąć kontrolę nad systemem gdzie działa jeden lub więcej podatnych elementów. Wykryte podatności pozwalają wykonać kilka różnych modeli ataków - w tym takie, które zmierzają do zdalnego uzyskania dostępu do systemu, bez specjalnego udziału potencjalnej ofiary. Tradycyjnie, publikacja szczegółów podatności zbiega się w czasie z udostępnieniem przez Microsoft odpowiednich poprawek, które eliminują zagrożenia.


  • Trojan.Cleaman

    Szkodnik ten może zostać przeniesiony do komputera przez inne malware, pobrany ze szkodliwej strony w sposób cichy, lub pojawić się jako załącznik do maila. Trojan może wykorzystywać nieprawidłowy certyfikat w celu oszukania użytkownika. Po uruchomieniu szkodnik zakłada haki na następujące API: ntdll.NtResumeThread, ntdll.NtEnumerateValueKey, ntdll.NtQuerySystemInformation, ntdll.LdrLoadDll, kernel32.FindFirstFileA, kernel32.FindNextFileA, kernel32.FindFirstFileW, kernel32.FindNextFileW, ws2_32.connect. Następnie szkodnik ukrywa wszystki pliki o nazwach dplayx.dll oraz dplaysvr.exe, ukrywa w ten sposób także oryginalne pliki systemowe. Jeśli system wywoła ukryty plik, otrzyma odpowiedź od trojana, że plik taki nie istnieje. Ponadto trojan wstrzykuje się do każdego działającego procesu który znajdzie, a także do każdego nowo uruchamianego procesu i ładowanej biblioteki. Szkodnik sprawdza każdą domenę do której zostanie wysłane zapytanie. Jeśli będzie to domena jednej z wyszukiwarek internetowych: www.google.com, www.bing.com, search.yahoo.com, szkodnik przekieruje zapytanie pod inny adres. Trojan kontaktuje się również z adresami: 66.85.153.132, 94.63.147.17


  • Trojan.Ransomlock.L

    Trojan musi zostać ręcznie pobrany i uruchomiony przez użytkownika. Po uruchomieniu, szkodnik kopiuje się do następującej lokalizacji: %UserProfile%\Application Data\[folder o losowej nazwie]\ jako plik wykonywalny o losowej nazwie. ( przykładowo Pkypyykyp\30FC4B4468AA6C1DBE20.exe). Może również kopiować się do domyślnego katalogu systemowego - również jako plik o losowej nazwie. Kolejnym posunięciem szkodnika jest zablokowanie w rejestrze usług systemowych takich jak: Manager zadań, edytor rejestru, usługi konfiguracyjne systemu (msconfig). Ponadto usuwa wszystkie wpisy do rejestru związane z uruchamianiem komputera w trybie awaryjnym - w ten sposób uniemożliwia skorzystanie z tej usługi. Szkodnik może wyświetlać następujący komunikat: ERROR 1409: Could not write value Folders to Key. Trojan wstrzykuje się również do procesu svchost.exe. Kolejnym posunięciem szkodnika jest połączenie się z jedną ze zdalnych lokalizacji i pobranie z niej komendy wskazującej szkodnikowi jakie działanie ma podjąć. Szkodnik może otrzymać następujące polecenia: EXECUTE, GEO, IMAGES, KILL, LOAD, LOCK, UNLOCK, UPGRADE, URLS, WAIT. Jeśli otrzymaną komendą jest komenda LOCK, szkodnik zablokuje pulpit, czyniąc w ten sposób komputer bezużytecznym. Następnie trojan pobiera z sieci i wyświetla obrazek z żądaniem okupu, za odblokowanie pulpitu.


  • Trojan.Pasam

    Szkodnik pojawia się w komputerze jako szkodliwy plik Worda zawierający wbudowany plik Flash expploitujący lukę Adobe Flash Player CVE-2012-0779 Object Type Confusion Remote Code Execution Vulnerability (CVE-2012-0779). Po uruchomieniu szkodnik upuszcza do domyślnego katalogu systemowego pliki: iglicd64.dll, oraz msjtea40.dll. Ponadto kopiuje oryginalny plik systemowy samsrv.dll do lokalizacji dllcache\ jako plik o nazwie samsrv.dll~. Następnie infekuje oryginalny plik samsrv.dll tak aby ładował on złośliwą bibliotekę iglicd64.dll. Kolejnym posunięciem szkodnika jest otwarcie backdoora na skompromitowanej maszynie poprzez połączanie komputera z lokalizacją updating.vicp.cc. Połączenie realizowane jest na porcie 443 TCP. trojan może podejmować następujące działania: wysyłać nazwę hosta, listę plików, spis działających procesów, dane na temat wolnego miejsca na dysku, może także kończyć działanie wskazanych procesów, usuwać, uruchamiać, lub wysyłać pliki na zdalny serwer.


  • OSX.Flashback.L

    Szkodnik dostaje się do komputera poprzez exploitowanie luki Oracle Java SE Remote Java Runtime Environment Denial Of Service Vulnerability (BID 52161). Trojan upuszcza do systemu następujące pliki: ~/jupdate, ~/Library/LaunchAgents/com.java.update.plist. Jeśli w systemie są obecne następujące aplikacje: Library/Little Snitch, Developer/Applications/Xcode.app/Contents/MacOS/Xcode, Applications/VirusBarrier X6.app, szkodnik nie upuści swoich plików do systemu. Jeśli jednak dojdzie do infekcji szkodnik usunie następujący katalog - ~/Library/Caches/Java/cache. Działanie to ma utrudnić, lub wręcz uniemożliwić jego wykrycie. Następnie szkodnik łączy się z lokalizacjami [http://]31.31.79.87/stat_j/o[usunięte], [http://]31.31.79.87/stat_j/fai[usunięte]


  • Android.Notcompatible

    Szkodnik żąda zezwoleń na otwieranie połączeń sieciowych, dostęp do informacji o sieciach i uruchomienie wraz z systemem. Po uruchomieniu odszyfrowuje plik res\raw\data by odczytać adres serwera C&C. Następnie łączy się z nim i oczekuje na komendę która pozwala na wykorzystanie zarażonego urządzenia jako serwera proxy.


  • Malezyjski SMSowy szkodnik

    Szkodnik wysyłający SMSy, który celuje w telefony z zainstalowanym midletem Javy, zaczął się rozprzestrzeniać w Malezji.


  • Oracle (nie)załatane

    Pewien badacz kodu (Joxean Koret) zajmujący się lukami w oprogramowaniu Oracle, cztery lata temu odkrył, że wiele z odmian baz danych Oracle (od 8i o 11g R2) jest podatnych na pewien atak określony mianem TNS Poison (szczegóły niżej). Ponieważ Koret był dobrym "białym kapeluszem", zgłosił sprawę do producenta, przedstawił eksploita, okoliczności wykrycia błędu. Swój eksploit w trosce o dobro świata schował zaś do szuflady - aby ów nie wpadł w niepowołane ręce. Firma Oracle przyjęła informacje od badacza i pozostawiła sprawę na bocznym torze. Jest to co prawda niezbyt chlubne działanie, acz w praktyce spotykane w realiach zmian w dużych projektach jakim niewątpliwie jest baza Oracle.


  • Trojan.Ransomlock.K

    Zadaniem szkodnika jest zablokowanie pulpitu i wyświetlenie komunikatu z żądaniem okupu. Szkodnik musi być zainstalowany ręcznie przez oszukanego użytkownika. Na wyświetlanym obrazku znajduje się komunikat, iż komputer został zablokowany ze względów bezpieczeństwa. Oferuje "Windows security check" który ma rzekomo sprawdzić czy komputer jest bezpieczny i odblokować maszynę. Rzekome sprawdzenie kosztuje 100 euro.


  • Ransomcrypt powraca

    W sieci pojawiła się następna wersja szkodnika Ransomcrypt. Podstawowa wersja tego malware została wykryta już w 2009 roku, jednak podobnie jak to się dzieje z innym "porywaczem" GpCode, co jakiś czas wraz z kolejną "modą" na tego typu ataki odgrzewane są co bardziej udane szkodniki wykorzystujące ten wektor ataku. Warto w tym miejscu zauważyć, że w okresie ostatnich 2-3 miesięcy pojawiło się w sieci co najmniej 5 nowych szkodników "porywających" dane, co pozwala zaryzykować stwierdzeniem, że właśnie obserwujemy powrót wspomnianej już "mody".


  • W32.Priter

    PO uruchomieniu szkodnik łączy się z następującymi zdalnymi lokalizacjami w celu pobrania plików konfihiracyjnych oraz pozostałych plików wykonywalnych:
    http://www.1disk.cn/ContentPane.aspx?down=ok&filepath=test7758%2fDNF.dat
    http://www.1disk.cn/ContentPane.aspx?down=ok&filepath=test7758%2fDNF.dat
    http://home.51.com/?u=lichao3596&c=diary&a=getdataview&id=10047625
    http://home.51.com/?u=test4862&c=diary&a=getdataview&id=10052358
    http://hi.baidu.com/test6345/home
    http://www.fnsorfnfgsajr.com/test.htm
    W zależności od tego jaki plik konfiguracyjny zostanie pobrany ze zdalnej lokalizacji szkodnik może podejmować następujące działania: Infekować pliki wykonywalne, tworzyć pliki wykonywalne o nazwach identycznych ze znalezionymi w komputerze plikami .doc, dodawać do folderów pliki wykonywalne o nazwie identycznej z nazwą folderu. Usuwać swoje pliki. Kolejnym działaniem podejmowanym przez szkodnika jest otwarcie backdoora poprzez połączenie z adresem IP:222.174.115.155. Dzięki backdoorowi zdalny napastnik może podejmować następujące działania: kradzież informacji na temat sieci, pobieranie i uruchamianie plików wykonywalnych, infekowanie plików wykonywalnych, wylistowywanie działających procesów, zatrzymywanie procesów, usuwanie plików, kopiowanie plików, wykonywanie zrzutów ekranowych i przesyłanie ich do wskazanej lokalizacji, zmiana połączeń wykorzystywanych przez szkodnika ( adresy i porty)


    • Oddaj swój głos na ten kanał





    Wybierz ocene