Tag: wirus

Raport na temat botnetu Virut

Data publikacji: 21/02/2013, Łukasz Siewierski

Na przełomie stycznia i lutego 2013 roku Naukowa i Akademicka Sieć Komputerowa i działający w jej strukturach CERT Polska przejęły kontrolę nad 43 nazwami domenowymi z końcówką .pl, które służyły do zarządzania botnetem Virut, a także do rozprzestrzeniania złośliwego oprogramowania. W wyniku tych działań ruch z komputerów zarażonych złośliwym oprogramowaniem Virut do centrum zarządzającego (C&C) botnetu został przekierowany do serwera kontrolowanego przez CERT Polska. Informacje, które znajdują się w raporcie to między innymi:

    • Codziennie serwer rejestruje około 270 tysięcy połączeń z unikalnych adresów IP.
    • Prawie połowa zainfekowanych maszyn znajduje się w jednym z trzech krajów: Egipt, Pakistan lub Indie.
    • Polska znajduje się na 19 miejscu pod względem liczby zainfekowanych maszyn.
    • Działalność kryminalna botnetu Virut może być powiązana również ze złośliwym oprogramowaniem typu FakeAV.
    • Niektóre wersje botów posiadały algorytm generowania nazw domenowych (DGA) oraz szyfrowanie strumieniowie, które są dokładnie opisane w raporcie.
    • Byliśmy w stanie rozróżnić kilkadziesiąt wersji Viruta.
    • Virut infekował maszyny z ośmioma różnymi systemami z rodziny Windows, od Windows 98 aż do Windows 8.

Pełen tekst raportu można znaleźć tutaj lub w dziale „Raporty”.

Przejęcie domen związanych z botnetem Virut

Data publikacji: 18/01/2013, piotrk

Publikujemy ważny komunikat NASK związany z przejęciem domen wykorzystywanych do rozpowszechniania i zarządzania botnetem Virut.

NASK przejął 23 domeny wykorzystywane do działalności cyberprzestępczej, uniemożliwiając tym samym kontynuowanie prowadzonych za ich pomocą nielegalnych działań. Adresy te służyły do rozpowszechniania i zarządzania groźnym wirusem Virut. Działanie NASK ma na celu ochronę społeczności internautów przed zagrożeniami płynącymi z sieci – atakami DDoS, spamem, kradzieżą danych. O skali zjawiska świadczy fakt, iż w samym tylko 2012 roku odnotowano w Polsce aż 890 tysięcy zgłoszeń adresów IP zainfekowanych Virutem.

Pierwsze infekcje Virutem odnotowano w 2006 roku, ale od tego czasu zagrożenie to znacznie przybrało na sile. Od 2010 roku NASK podjął intensywne prace nad wyeliminowaniem działalności Viruta w naszym kraju. W samym 2012 roku zespół CERT Polska, działający w ramach instytutu badawczego NASK, odnotował 890 tysięcy zgłoszeń zainfekowanych adresów IP z Polski. Według szacunków NASK, potwierdzanych przez dane firmy Symantec, sieć komputerów – tzw. botnet – kontrolowanych przez Virut składa się obecnie z około 300 tysięcy urządzeń. Według danych kolejnego producenta oprogramowania antywirusowego, Kaspersky’ego w III kwartale 2012 roku, Virut został wykryty u 5,5 proc. użytkowników i zajął 5 miejsce wśród najpopularniejszych wykrytych wirusów.

Wirus o nazwie Virut jest jednym z najbardziej uciążliwych zagrożeń, z którymi można spotkać się w internecie. Rozpowszechnia się m.in. poprzez luki w przeglądarkach internetowych, a do zarażenia może dojść w wyniku odwiedzenia strony www, na której przestępcy umieścili Viruta. Głównymi źródłami wirusa były domeny zief.pl oraz ircgalaxy.pl, które pełniły funkcję centrów sterujących zainfekowanymi komputerami-zombie i wysyłających rozkazy ataku. W ostatnim roku pojawiły się kolejne domeny z końcówką .pl, które miały te same zadania, a także przyczyniały się do rozpowszechniania złośliwych programów – m.in. Palevo i Zeusa. W efekcie tych działań zaatakowane komputery-zombie łączą się w sieci, tzw. botnety, które wykorzystywane są często do działań niezgodnych z prawem. Botnety w chwili obecnej są kluczowym narzędziem cyberprzestępców. Sieć zarażonych komputerów jest wynajmowana i służy między innymi do dokonywania kradzieży danych, ataków DDoS czy wysyłania spamu. Wszystkie te operacje dzieją się bez wiedzy i zgody właścicieli sprzętu nieświadomych do czego używane są ich komputery.

To pierwszy przypadek, gdy podjęliśmy decyzję o zaprzestaniu utrzymywania nazw w domenie .pl. Zadecydowała skala zjawiska i zagrożenie jakie niosło ono dla wszystkich użytkowników Internetu. W takiej sytuacji odmówiliśmy świadczenia usług.” – komentują przedstawiciele instytutu badawczego NASK.

Ransomware nadal atakuje. Jak usunąć wirusy, gdy komputer się nie uruchamia?

Data publikacji: 03/08/2012, Łukasz Siewierski

ransomeware avatar

Niedawno opublikowaliśmy artykuł na temat rozprzestrzeniającego się w Polsce oprogramowania typu „ransomware”, które blokuje nasz komputer żądając za odblokowanie 500 zł albo 100 euro. Jeden z pierwszych artykułów na ten temat ukazał się na blogu abuse.ch: https://www.abuse.ch/?p=3718 (artykuł po angielsku). Umieściliśmy również generator kodów, który pozwalał usunąć złośliwe oprogramowanie z naszego komputera. Niestety, ostatnio pojawiły się odmiany, które nie pozwalają na użycie naszego generatora, a wręcz nie pozwalają się usunąć nawet po podaniu prawidłowego kodu UKASH. Poniżej zamieszczamy zbiór porad, zarówno dla użytkowników średnio jak i bardziej zaawansowanych, który pozwala na usunięcie malware’u nawet, gdy nasz komputer nie chce się uruchomić.

Czytaj więcej

Morto – nowy robak sieciowy

Data publikacji: 30/08/2011, TomaszG.

Od dwóch dni serwisy zajmujące się bezpieczeństwem komputerowym donoszą o pojawieniu się nowego robaka sieciowego nazwanego Morto. Atakuje on źle zabezpieczone systemy Microsoft Windows wykorzystując do tego celu protokół RDP (Remote Desktop Protocol) wykorzystywany przez tzw. zdalny pulpit. Morto nie eksploituje żadnej luki w oprogramowaniu, a atak polega na próbie odgadnięcia nazwy użytkownika i hasła. Po infekcji robak szuka w sieci kolejnych komputerów z uruchomioną usługą RDP i próbuje je zainfekować. Powoduje to znaczący wzrost ruchu sieciowego na typowym dla tej usługi porcie 3389/TCP. Masową propagację Morto od jej początku obserwujemy dzięki systemowi ARAKIS.

Czytaj więcej

Slammer nie żyje!

Data publikacji: 23/03/2011, TomaszG.

Wygląda na to, że w czwartek 10. marca 2011 roku pożegnaliśmy (oby na zawsze!) obecnego w Internecie od 2003 roku uciążliwego robaka SQL Slammer. Ruch sieciowy będący efektem jego działania przestał być widziany przez sondy systemu ARAKIS. Wcześniej nieprzerwanie należał on do ścisłej czołówki zagrożeń rejestrowanych przez system od początku istnienia ARAKIS-a. Nagłe i niespodziewane zniknięcie robaka zostało także odnotowane przez zagraniczne serwisy, m.in. ISC SANS.
Przypomnienie, co to jest robak SQL Slammer (cytat z naszego newsa pt. „20. rocznica robaka internetowego – czas na podsumowania i wnioski (cz.1)” z 5 listopada 2008):

Czytaj więcej