|
I'm Safe OnLine Blog Fii primul care afla !
|
Aboneaza-te la RSS Feed
|
Microsoft a confirmat ca problemele cu patch-ul MS10-015 se trag de la malware, mai precis de la rootkitul TDSS.
The Microsoft Security Response Center: Update – Restart Issues After Installing MS10-015 and the Alureon Rootkit
Vezi si: Cauza problemelor MS10-015 este un bug in rootkit Bugul vechi de 17 ani da dureri de cap Microsoft
Cauza ecranului albastru de care s-au plans multi dupa ce au instalat acum o saptamana un update de la Microsoft este un, sa-i zicem, bug din rootkit-ul TDSS / TDL3 aka Alureon sau Tidserv.
Autorii rootkit-ului au lansat un update pentru a face malware compatibil cu update-ul de la Microsoft.
Despre TDSS numai de bine. Autorii isi vad nederanjati de treaba, lanseaza update-uri zilnic sau de mai multe ori pe zi, probabil numara calculatoarele infectate si banii care le intra in buzunar. Prevx se intreaba cand va face Interpol ceva pentru a prinde aceasta banda.
Prevx: Autorii TDL3 isi cer “scuze” pentru neplacerile create
Vezi si: Falsii antivirusi din ce in ce mai agresivi (1)
Antivirus XP 2010, cunoscut si cu denumirile Vista Antispyware 2010, Antivirus Vista 2010, Win 7 Antispyware 2010 sau XP Internet Security 2010, este un alt exemplu de program dificil de inlaturat.
Tags: malware
BitDefender si ESET atrag atentia asupra unui nou vierme: Win32.Worm.Zimuse.A., Win32.Worm.Zimuse.B
Zimuse este un amestec de virus, rootkit si vierme. Zimuse suprascrie Master Boot Record (MBR), adica acea parte a hard discului in care este stocata informatia folosita de BIOS pentru a porni sistemul de operare.
Utilizatorul poate sa nu stie multa vreme ca are calculatorul infectat. Dupa 40 de zile de la infectare, versiunea A a viermelui va afisa o eroare. Versiunea B afiseaza o eroare dupa 20 zile. Urmatorul restart va fi fatal pentru computer.
BitDefender spune ca viermele ajunge pe calculator sub forma unui inofensiv test de inteligenta.
Dupa 10 zile (varianta A) sau 7 zile (varianta B) de la infectie viermele se poate raspandi via USB.
ESET a fabricat un tool care elimina viermele: ESET Ezimuse Remover.
Bitdefender ofera un tool aici: PC Removal Tool
Mentine copii de siguranta ale fisierelor importante de pe hard disc (documente, imagini, filme) si fa backup regulat.
Vorbim de operatiunea Aurora, vulnerabilitati, exploituri, spionaj, etc. in timp ce adevaratele pericole pentru utilizatorul de acasa se propaga invizibil pe net.
TDSS sau TDL este denumirea unei familii de rootkituri de ultima generatie. De cand a aparut exista un joc de-a soarecele si pisica intre producatorii rootkit-ului si cei care incerca sa identifice si sa elimine rootkitul de pe calculator. Actualizari au loc rapid dupa ce un produs reuseste sa identifice sau sa elimine rootkitul.
TDL3 este ultima generatie, a treia, a acestei familii. TDL3 ramane neidentificat de multi antivirusi, anti-rootkituri si trece cu usurinta de firewall-ul personal. TDL3 este in prezent cel mai stealth rootkit.
Instalarea nu are nimic spectaculos. Iei un crack de pe un site specializat sau unul de pe torente sau DC++, il executi, te bucuri de program (dar cel mai probabil nu) si bine inteles de rootkit & Co. Calculatorul tau devine un zombie si parte dintr-un botnet, fiind controlat de la distanta de raufacatori. Cautarile sunt redirectionate si esti agasat de popup-uri.
TDL3 reuseste sa scape de detectia euristica. Instalarea decurge in mai multe etape. In user mode reuseste sa treaca de firewall. Instalarea continua in kernel mode sau system mode (mod de operare al procesorului). Kernel este inima sistemului de operare si are control asupra orice misca in sistem. Codul este despachetat si un driver este infectat. In functie de configuratia calculatorului este infectat atapi.sys sau iastor.sys. Fiserele infectate au in continuare aceiasi dimensiune, tactica fiind folosita pentru a scapa de detectie. Infectarea driverului asigura lansarea automata a partii principale a rootkit-ului la pornirea sistemului de operare.
Codul principal al rootkitului este salvat in ultimul sector al hard discului. Portiunea hard discului unde este salvat codul este ascunsa de catre rootkit. Tot aici sunt salvate trei fisiere: tdlcmd.dll, tdlswp.dll, config.ini plus alte fisiere descarcate de pe net.
Unele produse antivirus pot sa detecteze prezenta fisierelor tdlcmd.dll si tdlwsp.dl fara sa le inlature. Toolul dezvoltat de Kaspersky poate uneori sa inlature rootkitul: TDSSKiller. Alt produs care incearca sa tina pasul cu dezvoltarea TDSS este Dr.Web. Prevx promite detectia si eliminarea TDL.
Daca anul trecut detectia si eliminarea dura considerabil pe forumurile de specialitate, acum dupa ce toolurile au fost actualizate poti scapa destul de repede de infectie. Asta pana la urmatorul pas facut de producatorii rootkitului.
Un alt botnet a fost pus la podea. De data asta a fost Lethic, responsabil pentru 10% din spamul global. Succesul se datoreaza Neustar.
M86 Security: Lethic botnet – The Takedown
Despre Lethic:
Arbor Networks: Lethic Spambot Analysis: Pills, Watches, and Diplomas
M86 Security: Lethic spambot
In noiembrie, anul trecut, FireEye a reusit sa lichideze botnet-ul Mega-D.
Tags: malware
Un drive-by download este o descarcare de fisiere (malitioase) care se petrece fara ca utilizatorului sa stie. Sau mai bine zis se petrece pana sa-si dea seama ca s-a intamplat ceva. In cateva secunde de la deschiderea paginii PC-ul se transforma intr-un zombie si trimite spam. Vizionare placuta …
In prima parte se vede cum sunt descarcate fisiere de la mai multe IP-uri, se observa in video “remote port 8080”. Un pic mai tarziu PC-ul incepe sa trimita spam (se observa “remote port 25”).
Detectorul de rootkit-uri Gmer gaseste un rootkit instalat.
Vezi si: siszyd32.exe – drive-by downloads | Eliminarea siszyd32.exe
|
Avertisment ! Vizitarea site-ului din video poate duce la infectarea PC-ului si la furtul de informatii de pe PC. |
Update: site-ul a fost curatat.
Tags: malware
O noua campanie siszyd32.exe a inceput zilele trecute. Scriptul folosit anul trecut a fost actualizat. Sunt exploatate mai multe vulnerabilitati.
Am vazut si cateva site-uri romanesti infectate. Simpla vizitare a acestora poate duce la instalarea malware.
Pentru a fi “on the safe side” dezactiveaza JavaScript in browser sau foloseste NoScript in Firefox.
Vezi si: Eliminarea siszyd32.exe
Tags: malware
Productorul falselor aplicatii de securitate din familia “WiniGuard” lanseaza cate o clona pe zi. Aplicatia are aceiasi interfata si multe denumiri, una mai atragatoare ca alta. Cred ca baietii fac brainstorming in fiecare dimineata.
De la inceputul anului pana acum am descoperit:
Tot inainte !!
Ieri am prezentat aplicatia bilingva APcDefender (cam buggy si in interior). Astazi SysProtector.
Cum se va numi clona de maine ?
Tags: malware
APcDefender, aka PcsProtector sau PCprotectar a gasit … 0 (zero) infectii. Ceva e in neregula cu versiunea asta, jumate in engleza, jumate in germana, lol.
Record de viteza, a scanat 12 862 fisiere in cateva secunde si pot sa fiu fericit. PC-ul meu e in sfarsit curaaaaat.
Tags: malware
Am vazut ca multa lume se chinuie si zile cu acest trojan. Ce am gasit pe net despre el, la o cautare rapida, sunt urmatoarele:
L-am cautat in cateva baze de date cu malware si nu l-am gasit.
Mi-a venit ideea sa-l caut cu DC++. Zis si facut. Am instalat StrongDC++, am configurat modemul, m-am conectat la vreo 100 de huburi din Romania si am cautat siszyd32.exe. Am gasit 4 calculatoare infectate, de la 2 am reusit sa fac download, 2 versiuni diferite, un fisier de vreo 22,5 KB si unul de 33,5 KB.
Am executat cele doua programe, pe rand, pe o masina virtuala ca sa vad ce fac. Dupa ce au sunat acasa, ambele s-au apucat sa trimita spam intr-o veselie.
Analiza de mai jos nu este foarte detaliata. M-a interesat in special cum poate fi oprit.
A fost instalat un serviciu ascuns si un fisier in %systemdrive%\WINDOWS\system32\drivers\xxxxxx.SYS, unde xxxxxx este o denumire la intamplare formata din 5 sau 6 litere.
A mai fost scris un fisier .dat (xxxxx.dat) in %systemdrive%\Documents and Settings\NetworkService\Application Data\.
In directorul system32 am mai gasit un fisier suspect xxxxxx.bat.
Dupa oprirea serviciului cu Gmer, reboot, scanare cu Malwarebytes’Anti-Malware calculatorul era curat.
Procedura detaliata aici: Eliminarea siszyd32.exe. Succes ! Scrie un comentariu pe blog sau pe forum daca ai probleme cu acest trojan.
Tags: siszyd32.exe
