Tag: malware

Wizualizacja aktywności Morto

Data publikacji: 14/10/2011, pp

Po zebraniu kompletnych danych z systemu ARAKIS mogliśmy przeprowadzić dokładniejszą analizę w jaki sposób robak Morto rozprzestrzeniał się w internecie. Jak pisaliśmy wcześniej, pierwsza wersja Morto łączyła się z komputerami używając usługi Remote Desktop Protocol na porcie 3389, a następnie starała się uzyskać dostęp administracyjny próbując logować się przy użyciu listy predefiniowanych nazw użytkowników i haseł.

Czytaj więcej

Zagrożenia w Polsce i na świecie: Raport CERT Polska za pierwsze półrocze 2011

Data publikacji: 06/10/2011, przemek

CERT Polska

W pierwszym w historii raporcie półrocznym, obejmującym okres od stycznia do czerwca 2011, skupiamy się na analizie informacji z systemów automatycznych. Otrzymaliśmy blisko 4 mln tego rodzaju zgłoszeń. Podobnie jak w raporcie rocznym 2010, wyodrębniliśmy z nich kilka najważniejszych kategorii zdarzeń, w szczególności: źródła spamu, phishing, złośliwe oprogramowanie, boty czy ataki DDoS. Obserwacje porównaliśmy z analogicznymi danymi z ubiegłego roku i na tej podstawie wskazaliśmy kilka istotnych zmian, z których nie wszystkie potrafimy jednoznacznie wytłumaczyć. Z pewnością warto zapoznać się w szczególności z analizą informacji o złośliwym oprogramowaniu i stronach phishingowych w polskich sieciach, a także z tym, z których polskich sieci pochodzi najwięcej spamu i gdzie znajdziemy najwięcej botów. Pytanie, czy te dwie ostatnie kategorie muszą być ze sobą powiązane tak ściśle jak się uważa oraz jakie czynniki o tym decydują jest tylko jednym z wielu, do których odnosimy się w naszej publikacji.

Raport w wersji do pobrania znajduje się pod adresem http://www.cert.pl/PDF/Raport_CP_1H2011.pdf.
Czytaj więcej

Morto – nowy robak sieciowy

Data publikacji: 30/08/2011, TomaszG.

Od dwóch dni serwisy zajmujące się bezpieczeństwem komputerowym donoszą o pojawieniu się nowego robaka sieciowego nazwanego Morto. Atakuje on źle zabezpieczone systemy Microsoft Windows wykorzystując do tego celu protokół RDP (Remote Desktop Protocol) wykorzystywany przez tzw. zdalny pulpit. Morto nie eksploituje żadnej luki w oprogramowaniu, a atak polega na próbie odgadnięcia nazwy użytkownika i hasła. Po infekcji robak szuka w sieci kolejnych komputerów z uruchomioną usługą RDP i próbuje je zainfekować. Powoduje to znaczący wzrost ruchu sieciowego na typowym dla tej usługi porcie 3389/TCP. Masową propagację Morto od jej początku obserwujemy dzięki systemowi ARAKIS.

Czytaj więcej

Ataki na użytkowników sklepów osCommerce – analiza

Data publikacji: 29/07/2011, CERT Polska

osCommerce infection

Firma Armorize poinformowała na swoim blogu o odkryciu infekcji na witrynach zasilanych przez popularny framework osCommerce. Do tej pory ilość infekcji szacuje się na ponad 300.000 (w domenie .pl: 19.000) a liczba ta stale rośnie (w porównaniu do odpowiednio: 90.000 i 400 infekcji w dniu 25.07). Hakerzy na atakowanych witrynach wstrzykują zapisy przekierowujące przeglądarkę na strony z exploitami. Jeśli przeglądarka i system użytkownika jest podatna na któryś z exploitów, dochodzi do infekcji jego komputera. W systemie operacyjnym tworzone są nowe procesy, które pobierają z Internetu resztę złośliwego oprogramowania – boty spamujące. W efekcie komputer użytkownika zamienia się w rozsyłającą spam maszynę-zombie.

Czytaj więcej

Masowa infekcja stron internetowych

Data publikacji: 27/07/2011, CERT Polska

Według wstępnych oszacowań ponad 90.000 stron internetowych (w tym niemal 400 w domenie .pl) mogło paść ofiarą masowej „infekcji” (wstrzyknięcia przekierowania iframe). Po wejściu na zainfekowaną stronę przeglądarka przekierowywana jest na inną witrynę, na której znajduje się szkodliwy skrypt JavaScript. Skrypt ten próbuje doprowadzić do przejęcia kontroli nad wykonaniem kodu na komputerze użytkownika przy wykorzystaniu następujących (zidentyfikowanych na chwilę obecną) luk:

CVE-2010-0840 – Java Trust
CVE-2010-0188 – PDF LibTiff
CVE-2010-0886 – Java SMB
CVE-2006-0003 – IE MDAC
CVE-2010-1885 – HCP

Jeśli system i oprogramowanie użytkownika jest podatne na atak, uruchamiane są na nim niezidentyfikowane programy. Złośliwy skrypt umieszczany jest na witrynach pracujących na frameworku osCommerce.

Aby zapobiec infekcji CERT Polska doradza użytkownikom wyłączenie obsługi JavaScript w przeglądarce do czasu uzyskania nowych informacji o zagrożeniu.

Jeśli posiadasz witrynę pracującą w oparciu o osCommerce, sprawdź, czy nie padła ona ofiarą ataku (np. czy w ramkach iframe nie ma odniesień do nieznanych lub dziwnych witryn).

O wynikach analizy zagrożenia będziemy informować w kolejnych komunikatach na naszym blogu.

Z wynikami wstępnej analizy można zapoznać się na blogu Armorize.

Analiza hamweq – malware służącego do ataków DDoS

Data publikacji: 03/06/2011, CERT Polska

hamweq

W niniejszym opracowaniu opisane zostały działania zespołu CERT Polska związane z analizą oraz monitorowaniem aktywności komputerów zainfekowanych malware hamweq. Celem badania było poznanie mechanizmów działania, rozprzestrzeniania się oraz sposobów zarządzania opisywanym złośliwym oprogramowaniem. Dodatkowo przeprowadzona została analiza komend jaki mogą być przesłane przez botmastera do zombie.

W porównaniu z innymi programami możliwości omawianego malware są stosunkowo ubogie, a kontrola nad zainfekowanym komputerem ogranicza się jedynie do wydawania paru prostych poleceń. Służą one głównie do przeprowadzania ataków DDoS – które stanowią obecnie jedno z największych zagrożeń w sieci (ostatnio często nagłaśnianych w mediach). Hamweq został również wymieniony w raporcie bezpieczeństwa opublikowanych przez Microsoft w połowie 2010 roku jako jeden z najczęściej spotykanych złośliwych programów. Znajduje się on dokładnie na trzecim miejscu, daleko przed takimi malware jak ZeuS czy SpyEye. Ten właśnie fakt, oraz brak dostępnych szczegółowych analiz hamweq w sieci stały się głównym powodem wybrania tego malware jako przedmiotu badania.

Raport można pobrać pod adresem : https://www.cert.pl/wp-content/uploads/2011/06/201106_hamweq.pdf

Fałszywe antywirusy na Mac OS X atakują!

Data publikacji: 19/05/2011, CERT Polska

mac  os x rogue antivirus

Od początku miesiąca w Internecie zamieszczane są informacje o pojawianiu się stron podszywających się pod oprogramowanie antywirusowe dla systemów Mac OS X. Strona wyświetla listę „znalezionych” na komputerze zagrożeń oraz sugeruje instalację oprogramowania, które pozwoli na ich usunięcie. W rezultacie w systemie instalowane jest złośliwe oprogramowanie, które nakłaniania użytkownika do zakupu licencji! Nie są znane inne funkcje tego malware. Czy oznacza to początek ery złośliwego oprogramowania na komputerach Apple?

Jak się chronić ?

Czytaj więcej

Analiza złośliwego dokumentu PDF używanego do instalacji SpyEye

Data publikacji: 08/04/2011, CERT Polska

Jak przekonaliśmy się kilka dni temu, złośliwe dokumenty PDF pozostają jedną z popularnych metod rozprzestrzeniania się malware’u typu banker-trojan. Złośliwy dokument PDF, o którym pisaliśmy, wykorzystuje lukę w programie Adobe Reader do przeprowadzenia włamania na komputerze użytkownika, który go otworzył, po czym instaluje w systemie trojana SpyEye.

Czytaj więcej

UWAGA! SpyEye w PDF atakuje polskich internautów!

Data publikacji: 06/04/2011, CERT Polska

SpyEye PDF

Dzięki współpracy polskich zespołów bezpieczeństwa, związanych inicjatywą Abuse-Forum, udało się wykryć oraz przeanalizować nowe zagrożenie. Od 03.04.2011 do polskich internautów trafia wiadomość e-mail zawierająca w załączniku złośliwy dokument PDF. Z analiz przeprowadzonych przez CERT Polska wynika, że po otwarciu załączonego pliku komputer zostaje zainfekowany złośliwym oprogramowaniem SpyEye. Oprogramowanie to wykrada poufne informacje wprowadzane przez użytkownika na stronach internetowych (w tym systemach bankowości elektronicznej).

POD ŻADNYM POZOREM NIE NALEŻY OTWIERAĆ ZAŁĄCZNIKA!
Wiadomość taką dla bezpieczeństwa należy skasować. Można ją przekazać do laboratorium CERT Polska wysyłając na adres [email protected]

Jak rozpoznać złośliwą wiadomość ?

Czytaj więcej

Slammer nie żyje!

Data publikacji: 23/03/2011, TomaszG.

Wygląda na to, że w czwartek 10. marca 2011 roku pożegnaliśmy (oby na zawsze!) obecnego w Internecie od 2003 roku uciążliwego robaka SQL Slammer. Ruch sieciowy będący efektem jego działania przestał być widziany przez sondy systemu ARAKIS. Wcześniej nieprzerwanie należał on do ścisłej czołówki zagrożeń rejestrowanych przez system od początku istnienia ARAKIS-a. Nagłe i niespodziewane zniknięcie robaka zostało także odnotowane przez zagraniczne serwisy, m.in. ISC SANS.
Przypomnienie, co to jest robak SQL Slammer (cytat z naszego newsa pt. „20. rocznica robaka internetowego – czas na podsumowania i wnioski (cz.1)” z 5 listopada 2008):

Czytaj więcej