Tag: malware

Coraz bardziej wyrafinowane ataki spyware na klientów bankowości internetowej

Data publikacji: 25/09/2012, CERT Polska

javascrip inject

Wakacje się skończyły, młodzież ruszyła do szkół, studenci na poprawki egzaminów, a przestępcy komputerowi do pracy. Od początku września monitorujemy pojawiające się w plikach konfiguracyjnych oprogramowania szpiegowskiego wpisy dotyczące systemów transakcyjnych polskich banków. Atakuje ono komputery użytkowników systemu Windows, a po zainstalowaniu podsłuchuje wszystkie przesyłane informacje (w tym głównie loginy i hasła), oraz – jeżeli posiada dodatkowe instrukcje w pliku konfiguracyjnym – dokonuje podmiany treści wybranych stron internetowych tuż przed ich wyświetleniem. To złośliwe oprogramowanie to najnowsze odmiany ZeuS-a: Citadel oraz Zeus-p2p (malware oparty na kodzie ZeuS 2.0.8.9, który wyciekł wiosną 2011 roku).

Czytaj więcej

Bardziej ludzki niż człowiek – techniki wstrzykiwania kodu bota Flame

Data publikacji: 13/08/2012, CERT Polska

Flame (znany też jako: Flamer, Skywiper) jest skomplikowaną aplikacją typu koń trojański, odkrytą w 2012 roku. Od tego czasu jest przedmiotem obszernej analizy prowadzonej przez ekspertów od złośliwego oprogramowania. Badacze Flame’a zwracają uwagę przede wszystkim na jego niezwykle skomplikowany kod, modułową konstrukcję i zaawansowane algorytmy, które wykorzystuje. Właśnie stopień skomplikowania tego trojana stał się przyczyną powstania wielu hipotez na temat jego pochodzenia. Jedną z najwcześniejszych publikacji na temat Flame’a jest raport laboratorium CrySyS, który zawiera głównie obserwacje poczynione w trakcie analizy zachowawczej, takie jak: interakcja z systemem operacyjnym, systemem plików, siecią, parametrami czasowymi. Właśnie ten raport zainspirował nas do przyjrzenia się Flame’owi bliżej i odkryciu kilku jego wcześniej nie publikowanych aspektów.

Czytaj więcej

Ransomware nadal atakuje. Jak usunąć wirusy, gdy komputer się nie uruchamia?

Data publikacji: 03/08/2012, Łukasz Siewierski

ransomeware avatar

Niedawno opublikowaliśmy artykuł na temat rozprzestrzeniającego się w Polsce oprogramowania typu „ransomware”, które blokuje nasz komputer żądając za odblokowanie 500 zł albo 100 euro. Jeden z pierwszych artykułów na ten temat ukazał się na blogu abuse.ch: https://www.abuse.ch/?p=3718 (artykuł po angielsku). Umieściliśmy również generator kodów, który pozwalał usunąć złośliwe oprogramowanie z naszego komputera. Niestety, ostatnio pojawiły się odmiany, które nie pozwalają na użycie naszego generatora, a wręcz nie pozwalają się usunąć nawet po podaniu prawidłowego kodu UKASH. Poniżej zamieszczamy zbiór porad, zarówno dla użytkowników średnio jak i bardziej zaawansowanych, który pozwala na usunięcie malware’u nawet, gdy nasz komputer nie chce się uruchomić.

Czytaj więcej

Malware wysyłający SMSy z Androida na polskich stronach

Data publikacji: 26/06/2012, Łukasz Siewierski

ransomeware

Do laboratorium CERT Polska trafiła próbka malware’u na platformę Android. Zarówno nazwa pliku z aplikacją (poland_xxx.apk) jak i jego lokalizacja (został ściągnięty przy wizycie na popularnej polskiej stronie internetowej, prawdopodobnie przez system reklam) świadczyć może o tym, że był kierowany do osób z Polski. Aplikacja ta wysyła z naszego telefonu 3 SMSy Premium (na numery 919xx, 76xx oraz 74xx – łącznie o wartości ponad 35 złotych) określając w dostępnym w niej regulamienie, że dostaniemy w zamian bliżej nieokreślony plik. Plik ten był kolejną aplikacją, która czyniła z naszego telefonu część botnetu służącego do przesyłania SMSów Premium. Co ciekawe, ta druga aplikacja nie jest wykrywana przez żaden program antywirusowy.

Aby zainstalować obie aplikacje, trzeba wyrazić zgodę zarówno na instalację, jak i, w przypadku pierwszej aplikacji, kliknąć przycisk.

Czytaj więcej

Analiza malware’u społecznościowego

Data publikacji: 21/06/2012, Łukasz Siewierski

ransomeware

Serwis Niebezpiecznik.pl poinformował wczoraj o „Nowej fali ataków na Facebooku”. Do laboratorium CERT Polska trafiła próbka wspomnianego tam malware’u. Mimo, że wektor ataku nie jest nowy, sama próbka jest dosyć ciekawa pod kilkoma względami. Obecnie zagrożenie jest wykrywane przez niektóre antywirusy, niestety jednak nie wszystkie. Dodatkowo malware ten jest zabezpieczony przed debugowaniem jak i badaniem zachowania na podstawie ruchu sieciowego. W celu ochrony kodu binarnego przed analizą, zostało zastosowane zaciemnianie i ochrona za pomocą specjalnego protectora. Ruch sieciowy jest szyfrowany (nawet kwerendy DNS!) oraz generowany w nadmiarze.
Czytaj więcej

Ten komputer został zablokowany – ransomware żąda voucheru Ukash na 100 euro !

Data publikacji: 08/06/2012, CERT Polska

ransomeware

W maju mieliśmy w Polsce do czynienia z infekcjami złośliwym oprogramowaniem, które blokowało dostęp do komputera, żądając wpłacenia okupu w zamian za usunięcie blokady. ‚Opłata karna’ wynosi 100 euro (można również dokonać dwóch płatności po 50 euro) i powinna zostać dokonana poprzez podanie numeru vouchera UKASH. Jak twierdzi wyświetlany na komputerze komunikat, kara ta wynika z tajemniczych przepisów o ‚kontroli informacyjnej oraz zabezpieczenia informacji’ z 2012 roku. Sam komunikat napisany jest poprawną polszczyzną i opatrzony logiem policji! (patrz zrzut ekranu poniżej). Programy antywirusowe oznaczają to zagrożenie jako ‚Trojan/Weelsof’.

Czytaj więcej

DNSChanger – sprawdź swoje ustawienia DNS!

Data publikacji: 01/03/2012, CERT Polska

dnschanger

System DNS jest to usługa dostarczająca informacji na temat nazw domenowych. Jej głównym zastosowaniem jest tłumaczenie nazw domen – czytelnych i łatwych do zapamiętania przez człowieka – na adresy IP – czytelne i łatwe do interpretacji dla komputera. Dostarcza ona również różnych innych informacji, takich jak np: który serwer obsługuje pocztę dla danej domeny. Śmiało można powiedzieć, że DNS jest usługą kluczową jeżeli chodzi o działanie internetu. Bez prawidłowo działającego serwera DNS praktycznie nie byli byśmy w stanie odwiedzić żadnej strony internetowej ani wysłać żadnej wiadomości e-mail. Nasz komputer nie wiedziałby z jakim adresem IP należy się połączyć, aby wysłać zlecone przez użytkownika polecenie. Oczywiście z każdym serwisem nadal można by łączyć się podając bezpośrednio jego adres IP, ale było by to strasznie niewygodne. Istotną jest również aby informacje docierające do nas z systemu DNS były prawdziwe i pochodziły z zaufanego źródła. Nic więc dziwnego, iż pojawiło się złośliwe oprogramowanie, które atakuje ten właśnie element.

Czytaj więcej

CERT Polska wprowadza platformę n6

Data publikacji: 21/02/2012, piotrk

Jeżeli jesteś właścicielem, administratorem lub operatorem sieci i chciałbyś być na bieżąco informowany o zagrożeniach w Twojej sieci ta wiadomość jest dla Ciebie.

n6 to zbudowana w całości przez CERT Polska platforma służąca do gromadzenia, przetwarzania i przekazywania informacji o zdarzeniach bezpieczeństwa w sieci. W ciągu jednego roku przez platformę przetwarzane są dziesiątki milionów zdarzeń bezpieczeństwa z Polski i całego świata. n6 funkcjonuje w pełni automatycznie. Nazwa n6 to zmodyfikowany akronim pełnej nazwy platformy Network Security Incident eXchange. Jej celem jest efektywne, niezawodne i szybkie dostarczenie dużych ilości informacji o zagrożeniach bezpieczeństwa właściwym podmiotom: właścicielom sieci, administratorom i operatorom sieci.

Czytaj więcej

ZeuS – wariant P2P+DGA – analiza nowego zagrożenia

Data publikacji: 04/01/2012, CERT Polska

zeus p2p

Jesienią 2011 roku zarejestrowano infekcje nowym złośliwym oprogramowaniem. Analiza mechanizmu uruchamiania złośliwego oprogramowania, proces jego ukrywania, czy też sposób składowania konfiguracji wskazywały na ZeuSa. Jednak podczas monitorowania zainfekowanych maszyn nie udało się zauważyć charakterystycznej dla tego trojana komunikacji z centrum C&C. Po głębszej analizie okazało się, iż próbka to najprawdopodobniej nowa wersja trojana ZeuS oparta na upublicznionym przypadkiem kodzie.

zeus3_infograf-300x243

W nowej wersji trojana autorzy skupili się na eliminacji najsłabszego ogniwa – scentralizowanego systemu dystrybucji informacji.
Poprzednie wersje ZeuS-a oparte było o jeden (lub kilka) zdefiniowanych adresów, pod którymi dostępne było centrum zarządzania C&C. Pozwalało to łatwo namierzyć takie adresy i poprzez ich blokowanie uczynić botnet bezużytecznym. Badany wariant trojana wykorzystuje dwa nowe kanały komunikacyjne do pobierania nowych rozkazów (rys. po prawej):

 

  1. Komunikacja w sieci peer-to-peer
  2. Mechanizm Generowania Domen

W internecie dostępne były już wcześniej informacje na temat nowego wariantu zeusa (np: abuse.ch), ale – z informacji jakie posiadamy – dotychczasowa praca badawcza skupiała się na zarejestrowaniu i monitorowaniu ruchu do domen zeusowych. Podczas naszej pracy skupiliśmy się na poznaniu oraz monitorowaniu mechanizmów wymiany informacji przez sieć P2P oraz próbie zebrania danych na temat jej kształtu.

Czytaj więcej

Zeus/Murofet

Data publikacji: 18/11/2011, rt

W ostatnich dniach pojawiła się nowa mutacja trojana Zeus. Jest to kolejna wersja zbudowana na podstawie źródeł, które wyciekły na poczatku maja. Tak jak poprzednio, do dystrybucji plików konfiguracyjnych używane są mechanizmy P2P. Twórcy  zrezygnowali z charakterystycznego dla Murofeta mechanizmu DGA (algorytm generowania domen)  i powrócili do umieszczenia adresu C&C w zaszyfrowanym pliku konfiguracyjnym.

Jak dokładnie działa nowa mutacja ?

Po zainfekowaniu  komputer ofiary odczytuje liste węzłów sieci P2P, która jest ukryta w ciele trojana. Następnie łaczy się  do nich po protokole UDP, pobiera listy kolejnych węzłów oraz  nowszą wersję pliku konfiguracyjnego (jeżeli takową znajdzie). Pobranie konfigu odbywa się po wysokim porcie TCP. Następnie zgłasza się do kontrolera z wykorzystaniem  HTTP POST.

W pliku konfiguracyjnym znajduje się około 200 unikalnych webinjectów. Mutacja nie atakuje bezpośrednio polskich podmiotów. Wykrada za to każdej ofierze dane przesyłane formularzem, m.in. loginy i hasła wpisywane podczas logowania. Na przestrzeni 3 dni zainfekowana maszyna połączyła się z 360 unikalnymi węzłami sieci P2P. Najwięcej z nich znajdowało się w USA (143 węzły). W  Polsce odnotowaliśmy 12 maszyn.