Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1
Ostatnie posty
Najpopularniejsze

"Red October" - analiza wektora rozprzestrzeniania exploita Javy

Kaspersky Lab
Dodany 22 stycznia 2013, 09:37 CET
Tagi:

Po publikacji naszego raportu w sprawie „Red October”, koledzy z Seculert zamieścili na swoim blogu informacje na temat wykorzystania nowego wektora rozprzestrzeniania w atakach „Red October”.

Dodatkowo do luk w dokumentach pakietu MS Office (CVE-2009-3129, CVE-2010-3333, CVE-2012-0158), do infiltracji sieci swoich ofiar napastnicy wykorzystali również luki w Javie (MD5: 35f1572eb7759cb7a66ca459c093e8a1 - „NewsFinder.jar”), wykorzystywane przez exploit zwany „Rhino” (CVE-2011-3544).

Wiemy, że atakujący stosowali tę technikę od pierwszych dni lutego 2012 r., a samo korzystanie z exploita było zgodne z założeniem napastników, że nie używają oni luk 0-day. Najprawdopodobniej, odsyłacz do złośliwej witryny było wysyłane do potencjalnych ofiar, których systemy pracowały na przestarzałej wersji Javy.

Jednak, wydaje się, że ten wektor ataku nie był zbyt powszechnie wykorzystywany. Kiedy pobraliśmy i otworzyliśmy...


Atak ukierunkowany przeciwko syryjskiemu Ministerstwu Spraw Zagranicznych

Kaspersky Lab
Dodany 3 grudnia 2012, 13:07 CET
Tagi:

Kilka dni temu, dokumenty, które wyciekły z syryjskiego Ministerstwa Spraw Zagranicznych zostały opublikowane na portalu o nazwie „Par:AnoIA”, nowej witrynie w stylu Wikileaks, zarządzanej przez społeczność Anonymous.

Jeden z użytkowników naszych produktów powiadomił nas o podejrzanym dokumencie w archiwum zrzuconych na portalu danych. Plik zawiera szkodliwy kod, który jest wykrywany przez silnik antywirusowy naszych produktów jako „Exploit.JS.Pdfka.ffw”. Użytkownik był też na tyle uprzejmy, aby przesłać nam kopię e-maila do analizy. Sprawdziliśmy przesłaną wiadomość e-mail. Zawierała plik PDF z exploitem CVE-2010-0188 (zobacz: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0188) i reprezentowała typowy atak spear-phishingowy:

Jeśli wierzyć nagłówkom SMTP, wiadomość e-mail została wysłana z adresu IP 123.140.57.166, który jest adresem proxy w Seulu (Korea).

Szczegóły techniczne -...


Narilam: "nowe", niszczycielskie, szkodliwe oprogramowanie wykorzystywane na Bliskim Wschodzie

Kaspersky Lab
Dodany 27 listopada 2012, 10:25 CET
Tagi:

Kilka dni temu nasi koledzy z firmy Symantec opublikowali analizę nowego, szkodliwego, destrukcyjnego programu wykrytego na Bliskim Wschodzie. Szkodnik ten, nazwany „Narilam”, wydaje się być zaprojektowany do niszczenia baz danych określonych aplikacji. Nazewnictwo struktury baz danych wskazuje, że cele tego szkodnika prawdopodobnie są zlokalizowane w Iranie.

Zidentyfikowaliśmy kilka próbek związanych z tym zagrożeniem. Wszystkie z nich to pliki wykonywalne Windows PE (rozmiar ok. 1,5 MB) skompilowane z użyciem C++ Builder firmy Borland. Jeśli ufać nagłówkom kompilacji, wygląda na to, że projekt został utworzony na przestrzeni 2009 – 2010 r., co oznacza, że zagrożenie jest „na wolności” już przez dłuższy czas:

Najstarsza znana próbka posiada znacznik czasowy „Thu Sep 03 19:21:05 2009” (czwartek, 3 września 2009 r., godz. 19:21:05).

Zgodnie z danymi z Kaspersky Security Network, w tej chwili istnieje...


miniFlame zwany SPE: "Elvis i jego przyjaciele"

Kaspersky Lab
Dodany 15 października 2012, 14:28 CEST
Tagi:

W maju 2012 r. śledztwo prowadzone przez firmę Kaspersky Lab doprowadziło do wykrycia nowego, sponsorowanego przez rząd, cyberszpiegowskiego oprogramowania zwanego „Flame”. Nasze badania zidentyfikowały również cechy odróżniające od siebie poszczególne moduły Flame'a. Rozważając te funkcje modułowe wykryliśmy, że pierwszy wariant robaka Stuxnet w 2009 r. zawierał moduł, który został stworzony w oparciu o platformę Flame. Potwierdziło to, że istniała jakaś forma współpracy między grupami, które rozwinęły projekt Flame i platformę Tilded (Stuxnet / Duqu).

Bardziej szczegółowe badania, przeprowadzone w czerwcu 2012 r., zaowocowały wykryciem kolejnego, sponsorowanego przez rząd i dotychczas nieznanego, szkodliwego oprogramowania, któremu nadaliśmy nazwę "Gauss". Gauss używał konstrukcji modułowej, przypominającej tę znaną z Flame'a, był podobnie kodowany, korzystał z podobnego do Flame'a systemu...


Używanie internetu do łapania "tradycyjnych" przestępców

Kaspersky Lab
Dodany 12 października 2012, 10:12 CEST
Tagi:

To może się przydarzyć każdemu... i kiedy się przydarzy, zbiera żniwo ze wszystkich – ofiary i jej bliskich – kompletnie nieprzygotowanych. Mówię tutaj o porwaniu.

Dwa razy w życiu byłem zaangażowany w pomoc policji w wytropieniu i aresztowaniu bandy porywaczy. Pierwszy przypadek nie dotyczył bezpośrednio mnie, ani mojej rodziny, ale za drugim razem został porwany mój bliski przyjaciel. I okazało się, że nasze doświadczenie, polegające na zwalczaniu cyberprzestępczości, może być również przydatne do łapania "tradycyjnych" przestępców, którzy niewiele mają wspólnego z cyfrową ścieżką bezprawia. Internet nie stanowi już jedynie narzędzia cyberprzestępczego – coraz częściej jest wykorzystywany przez porywaczy do nawiązania kontaktu z rodzinami ofiar w celu wymuszenia okupu. Kiedy tak się dzieje, nasza praca może mieć istotne znaczenie: dowody zebrane w internecie, jak również błędy popełniane...

Co to jest Wiper i skąd całe zamieszanie wokół niego?

Kaspersky Lab
Dodany 29 sierpnia 2012, 14:54 CEST
Tagi:

W kwietniu 2012 r. pojawiło się kilka artykułów na temat ataków tajemniczego szkodliwego programu, w wyniku których doszło do zablokowania komputerów irańskich firm.

W niektórych artykułach pojawiły się doniesienia, że za ataki odpowiedzialny jest wirus Wiper. Jednak, ataki te nie pozostawiły po sobie żadnych próbek, co poddało w wątpliwość te rewelacje.

Eksperci z International Telecommunication Unit (ITU) zajęli się tymi incydentami i poprosili Kaspersky Lab o pomoc w przeprowadzeniu dochodzenia i zbadaniu wpływu, jaki mógł mieć atak tego szkodliwego oprogramowania.

Po kilku tygodniach analizy nie znaleźliśmy żadnego szkodliwego kodu, który mógłby zostać wykorzystany atakach przypisywanych Wiperowi. Badania nie poszły jednak na marne – to właśnie w trakcie tej analizy wykryliśmy finansowaną rzez rząd kampanię cyberszpiegowską, znaną obecnie jako Flame oraz Gauss.

Naszym zdaniem Wiper był oddzielnym...


Zagadka zaszyfrowanej zawartości Gaussa

Kaspersky Lab
Dodany 14 sierpnia 2012, 15:12 CEST
Tagi:

Wciąż pozostaje wiele zagadek dotyczących szkodliwego oprogramowania Gauss i Flame. Na przykład, w jaki sposób dochodzi do infekcji? Nie wiemy także jakie jest zadanie czcionki „Palida Narrow”, którą instaluje Gauss?

Prawdopodobnie najbardziej interesującą zagadką jest zaszyfrowany ładunek bojowy Gaussa. Gauss zawiera moduł o nazwie “Godel”, w którym znajduje się zaszyfrowany ładunek. Szkodliwe oprogramowanie rozszyfrowuje ten ładunek korzystając z łańcuchów tekstowych pochodzących z systemu, a następnie uruchamia go. Pomimo usilnych starań nie udało nam się złamać szyfru. Upubliczniamy więc wszystkie dostępne informacje o ładunku w nadziei, że komuś uda się znaleźć rozwiązanie i ujawnić jego tajemnicę. Prosimy wszystkich zainteresowanych kryptologią i matematyką aby przyłączyli się do rozwiązywania zagadki i wydobywania zaszyfrowanej zawartości.

Kontenery

Zainfekowane napędy USB zawierają dwa...