Subscribe RSS

Posts Tagged ‘malware’

« Articole mai vechi

O noua tehnica care ar putea fi folosita in exploituri

March 5th, 2010 by imsafeonline | Comments Off | Filed in Stiri

 

Un inginer de la Google a dezvaluit o noua tehnica care ar putea fi folosita in exploituri pentru a sunta mecanisme de securitate din Windows, mai precis DEP (Data Execution Protection) si ASLR (Address Space Layout Randomization).

DEP ar trebui sa previna executarea unui cod malitios din anumite regiuni ale memoriei, iar ASLR randomizeaza layoutul regiunilor din memorie pentru a face dificila ghicirea unei anumite locatii.

Inginerul de la Google, fost angajat al Microsoft, nu este la prima isprava de acest gen. In 2005 a ajutat la popularizarea tehnicii heap spray care faciliteaza executia arbitrara a unui cod. De atunci tehnica a fost folosita pentru exploatarea cu succes a multor vulnerabilitati.

Daca tehnica de suntare a DEP si ASLR va fi adoptata putem asista la o exploatare cu mai mare succes a vulnerabilitatilor din Windows Vista si Windows 7.

TrendLabs Malware Blog: New Exploit Bypasses DEP

Tags:

Nu e ilegal sa ai un botnet …

March 4th, 2010 by imsafeonline | Comments Off | Filed in Stiri

 

In Spania nu e ilegal sa ai un botnet sau sa distribui malware. Asa ca proprietarii botnetului Mariposa, arestati acum 2 zile, ar putea scapa de inchisoare, pentru ca Spania nu a ratificat tratatul european impotriva criminalitatii informatice.

Pentru a-i baga la inchisoare autoritatile spaniole trebuie sa demonstreze ca cei trei au furat ceva: bani, identitati, etc. Panda Security spune ca botnetul a fost folosit pentru a fura date confidentiale de la mai mult de 800 000 victime, persoane fizice, companii, agentii guvernamentale si universitati din peste 190 tari. Autoritatile spaniole estimeaza ca 600 000 victime erau din Spania.

Seful Panda Security nu crede ca cei trei vor ajunge la inchisoare, dar spera ca autoritatile spaniole, sensibilizate de acest caz, vor pune la punct legislatia impotriva criminalitatii informatice.

Detalii: ‘Mariposa’ Botnet Authors May Avoid Jail Time

Tags: ,

Kneber e de fapt Zeus

February 18th, 2010 by imsafeonline | Comments Off | Filed in Stiri

 

Toate publicatiile online romanesti pe care le-am citit azi au scris cate ceva despre “un masiv atac informatic”.

In urma atacului s-ar fi transformat in zombies vreo cateva zeci de mii de calculatoare. Adica a fost creat un botnet destul de mic in comparatie cu altele.

Dar de fapt ce e “masivul atac” ? Nu e altceva decat un mini Zeus botnet folosind domenii inregistrate de un anume Hilary Kneber. De aici si numele dat acestui “nou” botnet. “Noul” botnet foloseste o versiune mai veche a Zeus, v. 1.2. Intre timp Zeus a ajuns la v. 1.3. Dar ce e Zeus ? Zeus este, dupa spusele Symantec, regele neincoronat al crimeware. Si ce e crimeware ? Crimeware este un tip de malware folosit pentru furtul identitatilor, a datelor de acces la diverse conturi, inclusiv cele bancare. In final sunt furati bani din conturile victimelor. De fapt se fura tot ce poate fi furat dupa ce dispui de anumite informatii confidentiale.

Tags: ,

Cauza problemelor MS10-015 este un bug in rootkit

February 16th, 2010 by imsafeonline | Comments Off | Filed in Stiri, malware

 

Cauza ecranului albastru de care s-au plans multi dupa ce au instalat acum o saptamana un update de la Microsoft este un, sa-i zicem, bug din rootkit-ul TDSS / TDL3 aka Alureon sau Tidserv.

Autorii rootkit-ului au lansat un update pentru a face malware compatibil cu update-ul de la Microsoft.

Despre TDSS numai de bine. Autorii isi vad nederanjati de treaba, lanseaza update-uri zilnic sau de mai multe ori pe zi, probabil numara calculatoarele infectate si banii care le intra in buzunar. Prevx se intreaba cand va face Interpol ceva pentru a prinde aceasta banda.

Prevx: Autorii TDL3 isi cer “scuze” pentru neplacerile create

Tags: , ,

Falsii antivirusi din ce in ce mai agresivi (2)

February 5th, 2010 by imsafeonline | Comments Off | Filed in malware

 

Vezi si: Falsii antivirusi din ce in ce mai agresivi (1)

Antivirus XP 2010, cunoscut si cu denumirile Vista Antispyware 2010, Antivirus Vista 2010, Win 7 Antispyware 2010 sau XP Internet Security 2010, este un alt exemplu de program dificil de inlaturat.

(more…)

Tags:

Falsii antivirusi din ce in ce mai agresivi

February 3rd, 2010 by imsafeonline | Comments Off | Filed in malware

 

S-au dus timpurile cand puteai inlatura un fals anti-virus prin simpla stergere a unui director si uneori chiar prin dezinstalarea din Add or Remove Programs.

Ultima generatie de falsi anti-virusi nu se lasa cu una cu doua.

(more…)

Tags:

Cine ti-a pus pozele aici ?

January 30th, 2010 by imsafeonline | 2 Comments | Filed in Alerte

 

Un vierme pentru Yahoo! Messenger creaza ceva agitatie pe netul romanesc. Este identificat ca Win32.Worm.IM.J / Worm.Agent.AJ de Bitdefender.

(more…)

Tags:

Worm.Zimuse.A, Zimuse.B

January 25th, 2010 by imsafeonline | 2 Comments | Filed in Alerte, malware

BitDefender si ESET atrag atentia asupra unui nou vierme: Win32.Worm.Zimuse.A., Win32.Worm.Zimuse.B

Zimuse este un amestec de virus, rootkit si vierme. Zimuse suprascrie Master Boot Record (MBR), adica acea parte a hard discului in care este stocata informatia folosita de BIOS pentru a porni sistemul de operare.

Utilizatorul poate sa nu stie multa vreme ca are calculatorul infectat. Dupa 40 de zile de la infectare, versiunea A a viermelui va afisa o eroare. Versiunea B afiseaza o eroare dupa 20 zile. Urmatorul restart va fi fatal pentru computer.

BitDefender spune ca viermele ajunge pe calculator sub forma unui inofensiv test de inteligenta.

Dupa 10 zile (varianta A) sau 7 zile (varianta B) de la infectie viermele se poate raspandi via USB.

ESET a fabricat un tool care elimina viermele:  ESET Ezimuse Remover.

Bitdefender ofera un tool aici: PC Removal Tool

safeonline

Mentine copii de siguranta ale fisierelor importante de pe hard disc (documente, imagini, filme) si fa backup regulat.

Backup Windows XP

Backup Vista

Backup Windows 7

Tags: ,

TDSS, rootkitul care pune stapanire pe net

January 23rd, 2010 by imsafeonline | Comments Off | Filed in malware

 

Vorbim de operatiunea Aurora, vulnerabilitati, exploituri, spionaj, etc. in timp ce adevaratele pericole pentru utilizatorul de acasa se propaga invizibil pe net.

TDSS sau TDL este denumirea unei familii de rootkituri de ultima generatie. De cand a aparut exista un joc de-a soarecele si pisica intre producatorii rootkit-ului si cei care incerca sa identifice si sa elimine rootkitul de pe calculator. Actualizari au loc rapid dupa ce un produs reuseste sa identifice sau sa elimine rootkitul.

TDL3 este ultima generatie, a treia, a acestei familii. TDL3 ramane neidentificat de multi antivirusi, anti-rootkituri si trece cu usurinta de firewall-ul personal. TDL3 este in prezent cel mai stealth rootkit.

Instalarea nu are nimic spectaculos. Iei un crack de pe un site specializat sau unul de pe torente sau DC++, il executi, te bucuri de program (dar cel mai probabil nu) si bine inteles de rootkit & Co. Calculatorul tau devine un zombie si parte dintr-un botnet, fiind controlat de la distanta de raufacatori. Cautarile sunt redirectionate si esti agasat de popup-uri.

TDL3 reuseste sa scape de detectia euristica. Instalarea decurge in mai multe etape. In user mode reuseste sa treaca de firewall. Instalarea continua in kernel mode sau system mode (mod de operare al procesorului). Kernel este inima sistemului de operare si are control asupra orice misca in sistem. Codul este despachetat si un driver este infectat. In functie de configuratia calculatorului este infectat atapi.sys sau iastor.sys. Fiserele infectate au in continuare aceiasi dimensiune, tactica fiind folosita pentru a scapa de detectie. Infectarea driverului asigura lansarea automata a partii principale a rootkit-ului la pornirea sistemului de operare.

Codul principal al rootkitului este salvat in ultimul sector al hard discului. Portiunea hard discului unde este salvat codul este ascunsa de catre rootkit. Tot aici sunt salvate trei fisiere: tdlcmd.dll, tdlswp.dll,  config.ini plus alte fisiere descarcate de pe net.

Unele produse antivirus pot sa detecteze prezenta fisierelor tdlcmd.dll si tdlwsp.dl fara sa le inlature. Toolul dezvoltat de Kaspersky poate uneori sa inlature rootkitul: TDSSKiller. Alt produs care incearca sa tina pasul cu dezvoltarea TDSS este Dr.Web. Prevx promite detectia si eliminarea TDL.

Daca anul trecut detectia si eliminarea dura considerabil pe forumurile de specialitate, acum dupa ce toolurile au fost actualizate poti scapa destul de repede de infectie. Asta pana la urmatorul pas facut de producatorii rootkitului.

Tags: ,

Aurora exploits in crestere

January 22nd, 2010 by imsafeonline | Comments Off | Filed in Stiri

 

Numarul incercarilor de a exploata vestita vulnerabilitate din Internet Explorer creste de la o zi la alta. Luni, 18 ianuarie erau cateva site-uri infectate si atacurile erau limitate in Asia. Astazi atacurile au ajuns in Polonia si se asteapta ca numarul lor sa creasca.

Microsoft a lansat ieri un patch.

Tags: , ,

/*LGPL*/ trojan malscript

January 20th, 2010 by imsafeonline | Comments Off | Filed in Safe OnLine, Stiri

 

Vad pe Google din ce in ce mai multe site-uri infectate cu acest JavaScript, inclusiv cateva romanesti.

Printre ele Gazeta de Nord Vest sau Casa de Comenzi Sibiu. Par a fi site-uri destul de vizitate si alive. Cine stie cati nestiutori s-au infectat pana acum.

Site-ul agentiei Donald pare a fi abandonat. Aici scriptul e la vedere. Poate-l vede cineva sa-l curete.

lgplmal

La broadcast warehouse echipamentul audio poate veni cu un payload malitios.

lgplmal2

Audio Optica (www.xxxio-optica.ro) ar trebuie de asemenea sa-si curete siteul.

Zoo Bucuresti poate dauna computerului dvs.. Site-ul e blocat de Google si Firefox. Deh, client mai vechi …

lgplmal3

lgplmal4

La xxxxticodurile.ro cine opreste viermele ?

lgplmal5

Avertisment ! Vizitarea siteurilor de mai sus poate duce la infectarea PC-ului si la furtul de date de pe PC.

Tags:

Botnet down !

January 12th, 2010 by imsafeonline | Comments Off | Filed in Safe OnLine, malware

 

Un alt botnet a fost pus la podea. De data asta a fost Lethic, responsabil pentru 10% din spamul global. Succesul se datoreaza Neustar.

M86 Security: Lethic botnet – The Takedown

Despre Lethic:

Arbor Networks: Lethic Spambot Analysis: Pills, Watches, and Diplomas

M86 Security: Lethic spambot

In noiembrie, anul trecut, FireEye a reusit sa lichideze botnet-ul Mega-D.

Tags:

Cum te infectezi prin vizitarea unui site

January 10th, 2010 by imsafeonline | Comments Off | Filed in malware

Un drive-by download este o descarcare de fisiere (malitioase) care se petrece fara ca utilizatorului sa stie. Sau mai bine zis se petrece pana sa-si dea seama ca s-a intamplat ceva. In cateva secunde de la deschiderea paginii PC-ul se transforma intr-un zombie si trimite spam. Vizionare placuta …

In prima parte se vede cum sunt descarcate fisiere de la mai multe IP-uri, se observa in video “remote port 8080”. Un pic mai tarziu PC-ul incepe sa trimita spam (se observa “remote port 25”).

Detectorul de rootkit-uri Gmer gaseste un rootkit instalat.

Vezi si: siszyd32.exe – drive-by downloads | Eliminarea siszyd32.exe

Avertisment ! Vizitarea site-ului din video poate duce la infectarea PC-ului si la furtul de informatii de pe PC.

Update: site-ul a fost curatat.

Tags:

siszyd32.exe – drive-by downloads

January 9th, 2010 by imsafeonline | Comments Off | Filed in Alerte, malware

 

O noua campanie siszyd32.exe a inceput zilele trecute. Scriptul folosit anul trecut a fost actualizat. Sunt exploatate mai multe vulnerabilitati.

Am vazut si cateva site-uri romanesti infectate. Simpla vizitare a acestora poate duce la instalarea malware.

lgpl

Pentru a fi “on the safe side” dezactiveaza JavaScript in browser sau foloseste NoScript in Firefox.

Vezi si: Eliminarea siszyd32.exe

Tags:

O clona pe zi

January 8th, 2010 by imsafeonline | Comments Off | Filed in malware

 

Productorul falselor aplicatii de securitate din familia “WiniGuard” lanseaza cate o clona pe zi. Aplicatia are aceiasi interfata si multe denumiri, una mai atragatoare ca alta. Cred ca baietii fac brainstorming in fiecare dimineata.

De la inceputul anului pana acum am descoperit:

  1. APcDefender,
  2. PcsProtector,
  3. PCprotectar,
  4. GreatDefender,
  5. APCProtect,
  6. TheDefend,
  7. SysProtector,
  8. InSysSecure.

Tot inainte !!

Ieri am prezentat aplicatia bilingva APcDefender (cam buggy si in interior). Astazi SysProtector.

sysprotector

Cum se va numi clona de maine ?

Tags:

Am trait s-o vad si p-asta …

January 7th, 2010 by imsafeonline | Comments Off | Filed in Stiri, malware

 

APcDefender, aka PcsProtector sau PCprotectar a gasit … 0 (zero) infectii. Ceva e in neregula cu versiunea asta, jumate in engleza, jumate in germana, lol.

Record de viteza, a scanat 12 862 fisiere in cateva secunde si pot sa fiu fericit. PC-ul meu e in sfarsit curaaaaat.

apcdefender

apcdefender2

Tags:

Primul vierme pentru iPhone

November 8th, 2009 by imsafeonline | Comments Off | Filed in Alerte, Stiri

iPhone s-a ales cu un … vierme. Utilizatori din Australia au declarat ca viermele schimba wallpaper-ul cu imaginea unui cantaret pop popular in anii 80, Rick Ashtley. Pe ecran mai apare si un  mesaj de la autorul viermelui: “ikee is never going to give you up”.

Utilizatorii afectati de vierme sunt cei care si-au modificat iPhone-ul sau iPod Touch pentru a permite instalarea unor aplicatii neoficiale si cei care au instalat SSH.

Sophos: First iPhone worm discovered – ikee changes wallpaper to Rick Astley photo

Tags: ,

Securitatea pe net dupa Microsoft

November 2nd, 2009 by imsafeonline | Comments Off | Filed in Starea Internetului, Stiri

Microsoft a publicat un nou raport despre starea securitatii in prima jumatate a anului 2009.

Constatari:

  • - a crescut numarul infectiilor cu viermi;
  • - in ciuda naturii globale a internetului amenintarile sunt adaptate in functie de regiuni;
  • - rata infectiilor Windows Vista a fost cu aproape 62% mai mica decat cea a Windows XP SP3;
  • - rata infectiilor scade cu numarul service pack-ului instalat;
  • - Conficker isi face in continuare de cap, mai ales in mediul corporate.

Alte detalii: Microsoft Security Intelligence Report volume 7 (January – June 2009)

Tags:

Cum poti sa te feresti de linkuri malitioase

November 2nd, 2009 by imsafeonline | Comments Off | Filed in Safe OnLine

Well, prea multe nu poti face. Cele mai bune practici sunt urmatoarele:

1. Mentine software-ul instalat pe calculator la zi, in special Flash Player, Adobe Reader, browserul.

Ca sa verifici ce software are nevoie de actualizare instaleaza Secunia Personal Software Inspector.

2. Nu face click pe linkurile din email, mesageria instant, twitter, facebook si alte retele de socializare. Copiaza linkul si deschide-l cu un browser.

Ca sa vizualizezi ce se afla “in spatele” unui link scurt de tipul “byt.li”  foloseste extensia Long URL Please in Firefox.

3. Daca vrei sa ajungi la banca ta online tasteaza adresa direct in browser.

Tags: ,

Notificari de la DHL

October 30th, 2009 by imsafeonline | Comments Off | Filed in Alerte

In paralel cu atacurile impotriva facebook si MySpace se desfasoara si o campanie de “notificare de la DHL”.

Schema atacului este discutata de Bitdefender: Email spam posing as DHL Express Service spreads backdoors

Emailul vine aparent de la un angajat DHL cu subiectul: “DHL customer services. You should get the parcel NR.XXXXX”, unde XXXXX este un numar din 5 cifre.

Atasat este un executabil arhivat (.zip) cu o denumire de tipul “DHL_print_label_YYYYY.exe”, unde YYYYY este o combinatie de litere si cifre.

Executabilul poate instala pe calculatorul victimei un fals antivirus: “Antivirus Pro 2010”.

Tags:

« Articole mai vechi