Logowanie

Statystyki forum

Liczba użytkowników: 182
Liczba tematów: 294
Liczba postów: 1056
Najnowszy użytkownik: amadeusz
Użytkownicy online: 0
Goście online: 1

Szukaj na forum

Zaawansowane szukanie

Banki ostrzegają przed Trojanem Citadel oraz Zeus P2P i Zeus/Zbot

W internecie pojawiła się nowa wersja wirusa, która umożliwia przejęcie kontroli nad komputerem i zmianę wyglądu wyświetlanych stron internetowych. Są to Trojany: Citadel oraz Zeus p2p, które atakują komputery z zainstalowanym systemem Windows. Ich działanie to połączenie metod socjotechniki i przejęcia kontroli nad zainfekowanym komputerem. Na atak z ich strony szczególnie narażone są osoby korzystające z bankowości internetowej.

Po zainstalowaniu trojan ma dostęp do wszystkich przesyłanych przez komputer informacji (w tym loginów i haseł do bankowości elektronicznej). Jeżeli trojan będzie posiadał dodatkowe instrukcje w pliku konfiguracyjnym dotyczące jakiegoś banku to dokona modyfikacji treści wybranych stron internetowych, tuż przed ich wyświetleniem. Infekcja komputera nie jest widoczna aż do chwili zalogowania się na stronie bankowości elektronicznej banku. Atak następuje poprzez wyświetlanie na zainfekowanym komputerze fałszywych komunikatów. Za pomocą różnych socjotechnik Klient banku jest nakłaniany do wykonania testowej transakcji w ramach fikcyjnej aktualizacji systemu bankowości elektronicznej lub realizacji żądania zwrotu środków, które rzekomo zostały przesłane przez obcą osobę na jego rachunek. Treść i wygląd komunikatu do złudzenia przypominają
komunikaty banku. Klient banku po ich przeczytaniu może odnieść mylne wrażenie, że jest to prawdziwa informacja przygotowana przez jego bank. Zastosowanie się do przygotowanych przez hakerów zaleceń będzie skutkowało realizacją nieuprawnionej transakcji.
Środki z jego rachunku w banku mogą zostać przelane na rozsiane po całym świecie tzw. konta pośrednie by później znaleźć się w rękach przestępców.


Źródło: Bank Pekao

Malware nie jest widoczne dla wielu skanerów antywirusowych.

Aby zlokalizować zagrożenie czasem niezbędna może się okazać analiza systemu motodą "ręczną".
Wykonaj logi programem OTL i pokaż do analizy w dziale Dezynfekcja systemu, zanim Twoje pieniądze niespodziewanie wypłyną z konta.


Napisany przez jason | Komentarzy: 0 | Wysłany: 2012-11-30

Chomikuj.pl będzie zablokowany? - wojna wydawców z portalem

Kilkunastu wydawców książek złoży pozew zbiorowy przeciw portalowi Chomikuj.pl. Nie wnioskują o odszkodowanie za poniesione straty w związku z łamaniem ich praw autorskich.
Domagają się zamknięcia portalu.


Skarżymy Chomikuj.pl za pomocnictwo przy procederze łamana praw autorskich i czerpanie z tego zyskumówi mecenas Agnieszka Wiercińska-Krużewska z kancelarii WKB Wierciński, Kwieciński, Baehr, która przygotowała pozew.

Wojna podjazdowa wydawców książek z najpopularniejszym portalem służącym do przechowywania plików trwa już 2,5 roku. Teraz wchodzi w decydującą fazę: wydawcy przygotowali pozew zbiorowy. A w poniedziałek ma zapaść wyrok w procesie o zniesławienie, który Chomikuj.pl wytoczył wydawcom.

Wydawcy są zbulwersowani, że wydawane przez nich książki są masowo skanowane i wrzucane na Chomikuj.pl, skąd potencjalni klienci ich oferty ściągają z pominięciem wydawców. A Chomikuj.pl, który pobiera niewielkie opłaty np. za zwiększenie transferu, czerpie z tego spore zyski – ok. 150 mln zł rocznie.


Źródło: http://www.gazetaprawna.pl/


Napisany przez jason | Komentarzy: 0 | Wysłany: 2012-11-18

Spoofing z Amazon.com

Firma Doctor Web ostrzega przed masowym spamem pochodzącym rzekomo z popularnego sklepu internetowego Amazon.com.
Wiadomości zawierają monit o pobranie licencji dla systemów Microsoft Windows.


Treść wiadomości:
-----------------------------------------------------------------------
Hello,

You can download your Microsoft Windows License here.

Microsoft Corporation

----------------------------------------------------------------------

Każda wiadomość zawiera link do strony internetowej, z której użytkownik jest przekierowany do innego serwisu.
Poprzez skrypt napisany w JavaScript komputer ofiary zainfekowany zostaje dwoma szkodliwymi programami:

BackDoor.Andromeda.22
Trojan.Necurs.97


Trojan.Necurs.97 jest w stanie samodzielnie się rozprzestrzeniać, w tym może zarazić wszystkie dyski wymienne oraz zasoby sieciowe. Łączy się z atakującym zdalnie serwerem, informuje o udanej instalacji zainfekowanego systemu i czeka na polecenia.
Na dyskach wymiennych tworzy szkodliwy folder
autorun.inf, celem którego jest automatyczne uruchamianie infekcji po podpięciu urządzenia. Tym samym sposobem infekuje kolejne komputery, do których urządzenia są podłączane.

Inne nazwy malware Trojan.Necurs.97:
Microsoft - Worm:Win32/Cridex.E
GData - Trojan.Generic.KDV.755298
Panda - Trj/CI.A
AVG - Cryptic.EIA
Norman - W32/Troj_Generic.EQYKJ
McAfee - PWS-Zbot.gen.anq
Kaspersky - Trojan-Ransom.Win32.PornoAsset.ajgq
BitDefender - Trojan.Generic.KDV.755298

BackDoor.Andromeda.22:
Microsoft - Worm:Win32/Gamarue.J
Avira - TR/Jorik.Androm.C.1
GData - Trojan.Agent.AVJV
Kaspersky - Trojan.Win32.Jorik.Androm.in
Fortinet - W32/Jorik_Androm.IN!tr
Emsisoft  - Trojan.Win32.Jorik.Androm.AMN (A)
McAfee - Generic BackDoor.s


Napisany przez jason | Komentarzy: 0 | Wysłany: 2012-10-31

BackDoor.Wirenet.1 - trojan w systemach Linux i Mac OS X

Rosyjska firma Doctor Web, zgłasza pojawienie się pierwszego wieloplatformowego backdoora dla systemu Linux i Mac OS X. Szkodnik ten jest zaprojektowany do wykradania haseł przechowywanych przez wiele popularnych aplikacji internetowych. BackDoor.Wirenet.1 to pierwszy taki trojan, który może działać pod każdym z tych systemów operacyjnych.

Infekcja po uruchomieniu tworzy swoją kopię w katalogu domowym użytkownika. Program korzysta z Advanced Encryption Standard (AES) do komunikowania się ze swoim serwerem kontrolnym, który jest pod adresem
212.7.208.65.

Wirenet działa również jako keylogger (wysyła zebrane dane wejściowe klawiatury do cyberprzestępców), dodatkowo, kradnie hasła wpisane przez użytkowników w Przeglądarkach Opera, Firefox, Chrome i Chromium i hasła przechowywane przez takie aplikacje jak Firefox, SeaMonkey i Pidgin.

Źródło: Dr.Web


Napisany przez jason | Komentarzy: 0 | Wysłany: 2012-10-01

Gaussa - Malware wykradające dane do kont bankowych

Gauss to złożony, finansowany przez rząd zestaw narzędzi przeznaczony do kradzieży poufnych danych, głównie haseł w przeglądarkach, danych uwierzytelniających związanych z bankowością online, ciasteczek oraz określonych konfiguracji zainfekowanych maszyn.
Liczne moduły
Gaussa służą do gromadzenia informacji z przeglądarek, łącznie z historią odwiedzanych stron i hasłami. Do osób atakujących przesyłane są również szczegółowe dane dotyczące zainfekowanej maszyny, w tym dane dotyczące interfejsów sieciowych, sterowników komputerowych oraz informacje o BIOS-ie. Moduł Gaussa potrafi również kraść dane klientów kilku libańskich banków, w tym Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank oraz Credit Libanais. Atakuje również użytkowników Citibanku i PayPala.

Inną główną funkcją
Gaussa jest zdolność infekowania urządzeń USB za pośrednictwem tej samej luki, którą wykorzystywał wcześniej Stuxnet i Flame. Proces infekowania urządzeń USB jest jednak w tym przypadku bardziej „inteligentny”. Gauss potrafi „wyleczyć” takie urządzenie w niektórych okolicznościach i wykorzystuje nośnik wymienny do przechowywania zgromadzonych informacji w ukrytym pliku. Innym działaniem trojana jest instalowanie w systemie specjalnej czcionki o nazwie „Palida Narrow”, jednak cel tej czynności nadal nie jest znany.

Na podstawie telemetrii
Kaspersky Security Network (KSN), eksperci z Kaspersky Lab ustalili, że Gauss zainfekował około 2 500 maszyn.

Trojan Gauss, sklasyfikowany przez Kaspersky Lab jako Trojan-Spy.Win32.Gauss, jest skutecznie wykrywany, blokowany i usuwany przez produkty firmy.

Źródło: Kaspersky Lab


Napisany przez jason | Komentarzy: 0 | Wysłany: 2012-08-11

Trojan/Weelsof - masowa infekcja w Polsce

Od maja mamy w Polsce do czynienia z infekcjami złośliwym oprogramowaniem, które blokuje dostęp do komputera, żądając wpłacenia okupu w zamian za usunięcie blokady. "Opłata karna" wynosi 100 euro (można również dokonać dwóch płatności po 50 euro) i powinna zostać dokonana poprzez podanie numeru vouchera UKASH. Jak twierdzi wyświetlany na komputerze komunikat, kara ta wynika z tajemniczych przepisów o "kontroli informacyjnej oraz zabezpieczenia informacji" z 2012 roku. Sam komunikat napisany jest poprawną polszczyzną i opatrzony logiem policji!

Ransomware instaluje się poprzez wejście na stronę z tzw. “exploit-packiem”, który poprzez lukę w niezaktualizowanym oprogramowaniu przejmuje kontrolę nad systemem ofiary i ściąga z sieci oraz uruchamia złośliwe oprogramowanie. Po uruchomieniu ransomware dodaje parę wpisów do rejestru systemowego, wyłącza proces Explorera (znika menu ’start’), ukrywa wszystkie okna, a następnie wyświetla komunikat proszący o wniesienie opłaty. Z przeprowadzonej w laboratorium
CERT Polska analizy wynika, iż malware nie podejmuje żadnych innych działań (tzn. nie infekuje/kasuje/szyfruje innych plików).

Pełną analizę oraz pomoc w usuwaniu zagrożenia znaleźć można na stronie CERT Polska.

Źródło: CERT Polska

Większość antywirusów doskonale już radzi sobie z malware, wykrywając infekcję jako:

AntiVir     TR/Weelsof
Antiy-AVL Trojan/Win32.Agent.gen
AVG     Downloader.Generic12.CCFR
BitDefender Trojan.Weelsof
ClamAV     Trojan.Weelsof
DrWeb     Trojan.Winlock
Emsisoft     Trojan.Win32.Weelsof!IK
F-Secure     Trojan.Weelsof
Fortinet     W32/Weelsof
GData     Trojan.Weelsof
Ikarus     Trojan.Win32.Weelsof
Jiangmin     TrojanDownloader.Agent.eiuw
K7AntiVirus     Trojan-Downloader
Kaspersky     Trojan-Downloader.Win32.Agent.gymn
McAfee     Generic.dx!b2ms
Microsoft     Trojan:Win32/Weelsof
NOD32     Win32/Weelsof
Norman     W32/Suspicious_Gen5.EDFY
nProtect     Trojan/W32.Agent.53248.DAT
Panda     Generic Malware
Sophos     Mal/Generic-L
TrendMicro  TROJ_GEN.R11C7EP

Pomoc w usuwaniu trojana Weelsof uzyskać można na Forum w dziale Dezynfekcja systemu.


Napisany przez jason | Komentarzy: 0 | Wysłany: 2012-07-03

LilyJade - nowy robak atakuje przez Facebooka

Podczas monitorowania aktywności pewnego botnetu analitycy z Kaspersky Lab odkryli nietypowy moduł instalujący potencjalnie niebezpiecznie oprogramowanie na komputerach użytkowników. Nawiązywał on połączenie ze stroną internetową i instalował w folderze Program Files aplikację o nazwie "FACEBOOK LILY SYSTEM".

Robak LilyJade powstał przy użyciu znajdującego się w fazie testów beta systemu Crossrider, który pozwala tworzyć zunifikowane wtyczki dla przeglądarek Internet Explorer, Mozilla Firefox oraz Google Chrome.

Po analizie okazało się, że głównym zadaniem tego szkodliwego programu jest fałszowanie modułów reklamowych w serwisach Yahoo, YouTube, Bing/MSN, AOL, Google oraz Facebook w celu przenoszenia użytkowników zainfekowanych komputerów na cyberprzestępcze strony WWW. Ponadto, analitycy stwierdzili, że szkodliwa funkcja nowego robaka obejmuje mechanizm rozprzestrzeniania się, który działa za pośrednictwem Facebooka.

Robak
LilyJade rozprzestrzenia się poprzez publikowanie wiadomości spamowych ze zhakowanych kont. Odsyłacze w wiadomościach spamowych prowadzą do zainfekowanych stron, na których ukryte funkcje przekierowują użytkowników do zestawu szkodliwych programów o nazwie NuclearPack. W skład tego zestawu wchodzi instalator robaka LilyJade, jak również wtyczki dla przeglądarek.

Źródło: Kaspersky Lab


Napisany przez jason | Komentarzy: 0 | Wysłany: 2012-06-03

Atak phishingowy na użytkowników Allegro

Kaspersky Lab informuje o pojawieniu się nowego ataku phishingowego na użytkowników popularnego polskiego portalu aukcyjnego Allegro.
Cyberprzestępcy podszywają się pod Zespół Allegro i próbują namawiać odbiorców sfałszowanej wiadomości e-mail na kliknięcie odsyłacza, który rzekomo ma zwiększyć bezpieczeństwo konta na Allegro. Atak został przygotowany starannie i stanowi potencjalne zagrożenie dla poufności wielu użytkowników.


Wiadomość dociera do potencjalnych ofiar ataku z adresu powiadomeinia@allegro.pl, co na pierwszy rzut oka nie wzbudza podejrzeń. Osoby, które przyjrzą się bliżej temu adresowi, zauważą, że znajduje się w nim literówka (powiadomEInia zamiast powiadomIEnia).
Temat wiadomości to "Zwiększamy bezpieczeństwo Twojego konta Allegro", a w treści można przeczytać, że w celu ochrony danych użytkownicy muszą obowiązkowo połączyć swoje konta ze adresami e-mail. Aby tego dokonać, wystarczy według atakujących kliknąć link nazwany "Sprzężenie konta Allegro z kontem e-mail".Po kliknięciu ofiara jest przenoszona na stronę zawierającą formularz, w którym należy podać następujące dane: nazwa użytkownika Allegro, hasło do konta Allegro, adres e-mail oraz hasło do konta pocztowego powiązanego z Allegro. Strona przypomina witrynę logowania Allegro. Wszystkie dane, które użytkownik pozostawi w formularzu, trafiają do cyberprzestępców.

Kaspersky Lab Polska podkreśla, że serwis Allegro nie ma nic wspólnego z wysyłaniem tej wiadomości e-mail. Jest to typowy atak phishingowy mający na celu wyłudzenie informacji od użytkowników. Cyberprzestępcy nielegalnie wykorzystali wizerunek Allegro.

Źródło: Kaspersky Lab


Napisany przez jason | Komentarzy: 0 | Wysłany: 2012-05-15

DNSchanger

DNSChanger, to złośliwe oprogramowanie, które podmienia adresy IP serwerów DNS na zainfekowanym komputerze. Powoduje to, iż wykonywane – przed połączenia ze stroną internetową – zapytanie DNS przekierowane jest na złośliwe serwery DNS. Daje to przestępcom możliwość fałszowania informacji w odpowiedziach wysyłanych do zainfekowanego komputera.

Skala zagrożenia jest bardzo duża.
W 2011 roku
DNSchanger pod względem ilości zainfekowanych komputerów w Polsce znalazł się na trzecim miejscu. Jego wynik sięga prawie 370 tysięcy.

Aby sprawdzić ustawienia DNS:
Start --> Wszystkie programy --> Akcesoria --> PPM na Wiersz polecenia (uruchom jako Administrator)
lub
Start --> W okienko "Wyszukaj programy i pliki" wpisać Wiersz polecenia --> PPM na Wiersz polecenia (uruchom jako Administrator)
lub
Start --> Uruchom --> wpisać cmd i kliknąć OK.

W konsoli Wiersza polecenia należy wpisać:
ipconfig /all zatwierdzić klawiszem Enter
odszukać Serwery DNS...........:

W logu z OTL, ustawienia serwerów DNS widnieją pod wpisem 017

O17 – HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer =

Jeżeli na naszej liście figurują adresy z przedziałów na liście poniżej – komputer jest (lub był) zainfekowany DNSchangerem :
    od         85.255.112.0         do         85.255.127.255
    od         67.210.0.0             do         67.210.15.255
    od         93.188.160.0         do         93.188.167.255
    od         77.67.83.0             do         77.67.83.255
    od         213.109.64.0         do         213.109.79.255


CERT Polska przygotował specjalną stronę, która sprawdza jaki serwer DNS został użyty podczas próby połączenia.

KLIKNIJ, aby sprawdzić ustawienia DNS


Pojawienie się komunikatu na zielonym tle oznacza, iż zapytanie DNS nie pochodziło z adresów podejrzanych serwerów. Komunikat na czerwonym tle wskazuje, iż do rozwiązania nazwy został użyty serwer DNSChangera – zalecane jest sprawdzenie ustawień systemowych lub kontakt z administratorem.

Poprawne ustawienia DNS powinny być udostępniane przez dostawcę usług internetowych.



Wyłączenie "czystych" serwerów DNS ma nastąpić do dnia 9 lipca 2012 roku.

Źródło: CERT Polska


Napisany przez jason | Komentarzy: 0 | Wysłany: 2012-03-21

Trojan-Banker.MSIL.MultiPhishing.gen - trojan kradnący dane bankowe

W styczniu 2012 roku, eksperci z firmy Kaspersky Lab, wykryli nowego trojana wykradającego dane bankowe.

Szkodnikowi nadano nazwę
Trojan-Banker.MSIL.MultiPhishing.gen, który został stworzony w celu kradzieży danych dotyczących kont klientów różnych banków, w tym Santander, HSBC Bank UK, Metro Bank, Bank of Scotland, Lloyds TSB oraz Barclays.

Po uaktywnieniu się trojan czeka na uruchomienie przez użytkownika serwisu bankowości online. Następnie otwiera okno, które imituje formularz autoryzacyjny danego banku. Co ciekawe, trojan nie pozwala na żadne błędy, sprawdzając dokładność wprowadzanych danych.
W efekcie oszuści uzyskują poufne informacje, które dają im pełny dostęp do konta bankowego ofiary.
Trojan atakuje głównie użytkowników z Wielkiej Brytanii – w państwie tym zarejestrowano ponad 90% przypadków wykrycia tego szkodliwego programu.


Źródło: Kaspersky Lab


Napisany przez jason | Komentarzy: 0 | Wysłany: 2012-02-05

ACTA - obrazowo w skrócie

Czym grozi wprowadzenie ACTA
Obrazowo i zwięźle ale jakże wymownie





Filmik wysoce zalecany dla polskich posłów, którzy mają problemy z przeczytaniem i interpretacją tekstu umowy ACTA, aby wiedzieli czego to dotyczy i wiedzieli za czym głosują.
Uzasadnienie, wypowiedź posła, który nie wiedział za czym głosuje:
"Dzisiaj rano dowiedziałem się, że głosowałem za ACTA. Serio. I nie mam zamiaru się tego wypierać. Czy wiedziałem, za czym głosuję? Nie. Czy zawsze wiem, za czym głosuję? Rzadko. Czy inni posłowie i europosłowie wiedzą więcej? Nie" - napisał na swoim blogu europoseł Marek Migalski.


Napisany przez jason | Komentarzy: 0 | Wysłany: 2012-01-25

Strona premiera premier.gov.pl zhackowana

W ramach protestu przeciw podpisaniu ACTA, strona premiera premier.gov.pl, została zhackowana.
Rząd zapewnia, że jest świetnie przygotowany na ataki hackerów.
Jak?

Dane Panelu administratora serwisu:
Login: admin
Hasło: admin1

Tak wyglądała strona po podmianie:
http://webcache.googleusercontent.com/s … clnk&gl=pl
To jest kopia z pamięci podręcznej Google adresu http://www.kprm.gov.pl/. Zdjęcie przedstawia stan strony z 23 Sty 2012 05:45:04 GMT.

W końcu silne hasła to podstawa.
Tu nie potrzeba hackerów ale raczej nowych wyborów.

Jakie jeszcze ważne dane są w Polsce chronione tak silnymi hasłami?


Napisany przez jason | Komentarzy: 0 | Wysłany: 2012-01-24

Polski rząd podpisuje ACTA - rządowe strony zablokowane!

Wieczorem 21 stycznia strona polskiego sejmu sejm.gov.pl, przestała działać.
Po godzinie 22 przestały działać między innymi: mf.gov.pl, stat.gov.pl, ets.gov.pl, praca.gov.pl, mkidn.gov.pl, mkidn.gov.pl, pip.gov.pl, mzios.gov.pl, arimr.gov.pl, uzp.gov.pl, premier.gov.pl, knf.gov.pl a także strona ABW.

Tymczasem w serwisie Twitter, grupa Anonymus przyznała się do ataków na polskie strony rządowe w ramach protestu przeciwko podpisaniu porozumienia ACTA.

Trwają spekulacje czy za atakiem stoi grupa Anonimowych i jaką metodą się posłużono.

Porozumienie ACTA trzymane było w tajemnicy przez trzy lata. Polska ma podpisać pakt "Wielkiego Brata Internetu" już 26 stycznia. Oczywiście wszystko za naszymi plecami.

Anti-Counterfeiting Trade Agreement (ACTA) to międzynarodowe porozumienie dotyczące walki z naruszeniami własności intelektualnej, w tym także piractwem internetowym.
Walka taka ma działać na zasadzie inwigilacji, monitorowanie działalności użytkownika w sieci! Interpretując odpowiednio oglądane strony, nie zawsze świadomie otwierane (przekierowania przez malware) Wielki Brat znajdzie haka na każdego!

To tak w małym skrócie.

Jeśli jeszcze nie wiesz co to ACTA? Przeczytaj i dowiedz się:
http://antyweb.pl/polska-podpisze-acta- … -blackout/


WIELKI BRAT OTWIERA OCZY!
STRZEŻ SIĘ!


Napisany przez jason | Komentarzy: 0 | Wysłany: 2012-01-22

Krytyczne luki w Adobe Reader i Adobe Acrobat

Skuteczne wykorzystywanie luk w zabezpieczeniach może pozwolić na wykonanie dowolnego kodu oraz pozwolić może na przejęcie kontroli nad zaatakowanym systemem.


Krytyczne luki zgłaszane są w następujących produktach:

Adobe Reader X (10.1.1) i wcześniejsze 10.x wersje dla Windows i Macintosh
Adobe Reader 9.4.7 i wcześniejszych wersjach dla Windows 9.x
Adobe Reader 9.4.6 i wcześniejszych wersji 9.x dla systemu Macintosh
Adobe Acrobat X (10.1.1) i wcześniejsze 10.x wersje dla Windows i Macintosh
Adobe Acrobat 9.4.7 i wcześniejszych wersjach dla Windows 9.x
Adobe Acrobat 9.4.6 i wcześniejszych wersji 9.x dla systemu Macintosh


Wysoce zalecana jest natychmiastowa aktualizacja do wersji 9.5 lub X (10.1.2.)


Napisany przez jason | Komentarzy: 0 | Wysłany: 2012-01-14

Call of Duty: Modern Warfare 3 - 1600 banów za oszustwa w grze

Za wykorzystywanie luk w kodzie gry Call of Duty: Modern Warfare 3, operatorzy serwerów zablokowali już ponad 1 600 kont.
Roberta Bowling z Infinity Ward, zachęca do raportowania nieuczciwych graczy oraz zapowiada kolejne bany za cheating:

„Wszelakie próby oszukiwania, modyfikacji kodu i wykorzystywania luk w kodzie nie będą tolerowane”.

Zapowiadane są także następne bany w kolejnych aktualizacjach oraz stopniowe łatanie luk i naprawianie błędów w kodzie gry.

Źródło: http://news.hitb.org/


Napisany przez jason | Komentarzy: 0 | Wysłany: 2011-11-27

Nowa mutacja trojana Zeus

W ostatnich dniach pojawiła się nowa mutacja trojana Zeus. Jest to kolejna wersja zbudowana na podstawie źródeł, które wyciekły na początku maja. Tak jak poprzednio, do dystrybucji plików konfiguracyjnych używane są mechanizmy P2P. Twórcy  zrezygnowali z charakterystycznego dla Murofeta mechanizmu DGA (algorytm generowania domen)  i powrócili do umieszczenia adresu C&C w zaszyfrowanym pliku konfiguracyjnym.

Jak dokładnie działa nowa mutacja ?

Po zainfekowaniu  komputer ofiary odczytuje liste węzłów sieci P2P, która jest ukryta w ciele trojana. Następnie łaczy się  do nich po protokole UDP, pobiera listy kolejnych węzłów oraz  nowszą wersję pliku konfiguracyjnego (jeżeli takową znajdzie). Pobranie konfigu odbywa się po wysokim porcie TCP. Następnie zgłasza się do kontrolera z wykorzystaniem  HTTP POST.

W pliku konfiguracyjnym znajduje się około 200 unikalnych webinjectów. Mutacja nie atakuje bezpośrednio polskich podmiotów. Wykrada za to każdej ofierze dane przesyłane formularzem, m.in. loginy i hasła wpisywane podczas logowania. Na przestrzeni 3 dni zainfekowana maszyna połączyła się z 360 unikalnymi węzłami sieci P2P. Najwięcej z nich znajdowało się w USA (143 węzły). W  Polsce odnotowaliśmy 12 maszyn.


Źródło: CERT Polska


Napisany przez jason | Komentarzy: 0 | Wysłany: 2011-11-22
pun.pl - załóż darmowe forum dyskusyjne PunBB Bezpieczna strona stat4u

Stopka forum

RSS
Powered by PunBB
© Copyright 2002–2008 PunBB
Polityka cookies - Wersja Lo-Fi


Darmowe Forum | Ciekawe Fora | Darmowe Fora
www.deep-in-soul.pun.pl www.simtractor.pun.pl piękna kobieta cytaty najmniejsza rasa psa nabrzmiały brzuch u psa