SecureList.pl

Polski

Kalendarz

Kanały RSS Kontakt Ankiety

Szukaj

Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem.

Poziom zagrożenia: 1

Zostań Fanem na

Home → Blog → autor: Marta Janus

Ostatnie posty

Najpopularniejsze

21 listopada 2012 Nowy 64-bitowy rootkit dla Linuksa wstrzykuje ramki iFrame Marta Janus

2 sierpnia 2012 "RunForestRun", "gootkit" oraz generowanie losowych nazw domen Marta Janus

10 czerwca 2011 Niebezpieczne niewidoczne znaki Marta Janus

7 lipca 2010 YouTube atakuje! Marta Janus

18 czerwca 2009 Drive-by download - uważaj, jeżeli masz własną stronę WWW Marta Janus

Nowy 64-bitowy rootkit dla Linuksa wstrzykuje ramki iFrame

Marta Janus Kaspersky Lab Expert

Dodany 21 listopada 2012, 12:38 CET

Kilka dni temu na Full Disclosure mailing-list pojawił się interesujący szkodnik. Próbka ta jest godna uwagi, nie tylko dlatego że atakuje 64-bitowe platformy z Linuksem i wykorzystuje zaawansowane techniki w celu ukrywania się, ale przede wszystkim ze względu na nietypową funkcjonalność infekowania stron internetowych hostowanych na zaatakowanym serwerze HTTP – a tym samym działanie w ramach scenariusza drive-by download.

Moduł szkodliwego oprogramowania został specjalnie zaprojektowany dla jądra w wersji 2.6.32-5-amd64, które jest najnowszym jądrem wykorzystywanym w 64-bitowym systemie Debian Squeezy. Plik binarny ma ponad 500k - taki rozmiar wynika z faktu, że plik został skompilowany wraz z symbolami debugowania. Być może nadal znajduje się w fazie rozwojowej, ponieważ wydaje się, że niektóre funkcje nie działają w pełni lub nie zostały jeszcze w pełni zaimplementowane.

Szkodnik zapewnia sobie automatyczne...

Czytaj dalej

Analizy

Szkodliwe programy poza środowiskiem Vista i XP

2005: Ewolucja złośliwego oprogramowania dla systemów *nix

Blog

Nowy 64-bitowy rootkit dla Linuksa wstrzykuje ramki iFrame

Mit bezpiecznych systemów *nix

Wirus wieloplatformowy - najnowsze dzieło grupy 29A

Linux.Lupper

"RunForestRun", "gootkit" oraz generowanie losowych nazw domen

Marta Janus Kaspersky Lab Expert

Dodany 2 sierpnia 2012, 10:51 CEST

Niedawno trafiliśmy na szkodliwe oprogramowanie sieciowe, które, zamiast wstrzykiwać ramkę wskazującą na stały, istniejący adres, generuje pseudolosową nazwę domeny, w zależności od aktualnej daty. Podejście to nie jest nowe - jest szeroko wykorzystywane przez botnety podczas generowania nazw domen C&C – nie jest jednak bardzo rozpowszechnione wśród szkodliwych programów sieciowych, jakie widzieliśmy do tej pory.

Po odciemnieniu kodu (deobfuscation) ramka przekierowująca do szkodliwego adresu URL z wygenerowaną nazwą domeny jest dołączana do pliku HTML. Wszystkie adresy URL składają się z 16 pseudolosowych liter i należą do domeny ru. Wykonują one skrypt PHP po stronie serwera z argumentem sid=botnet2:

Każdego dnia generowana jest nowa nazwa domeny, dlatego umieszczanie adresów URL na czarnej liście w momencie, gdy stają się aktywne, przypomina walkę z wiatrakami. Na szczęście, znając algorytm, możemy...

Czytaj dalej

Analizy

Spam i phishing w 2017 r.

Kaspersky Security Bulletin. Spam i phishing w 2016 roku

Kaspersky Security Bulletin. Spam i phishing w 2015 roku

Winnti - więcej niż tylko gra

"Red October" - dochodzenie w sprawie cyberataków na placówki dyplomatyczne

Blog

Szkodliwe oprogramowanie na telewizorze smart TV?

Spełniło się nieuchronne – pojawił się 64-bitowy ZeuS z możliwością komunikacji za pośrednictwem sieci Tor

Szkodliwe adresy URL w strefie .lc

Winnti powraca z PlugX

Google.ro i inne rumuńskie domeny ofiarami ataków przekierowań DNS

Niebezpieczne niewidoczne znaki

Marta Janus Kaspersky Lab Expert

Dodany 10 czerwca 2011, 11:03 CEST

Gdy przyszłam dzisiaj do pracy, jeden z moich kolegów z polskiego oddziału poprosił mnie o pomoc w wykryciu szkodliwego oprogramowania, które znajdowało się w sklepie internetowym jego znajomego. Przeglądana za pośrednictwem przeglądarki strona HTML zawierała odsyłacz do skryptu jquery.js w losowo wygenerowanej domenie cx.cc, jednak znajdujące się na serwerze pliki źródłowe nie zawierały ani śladu takiego odsyłacza. Rozwiązanie tej zagadki było proste – ten fragment kodu jest dodawany dynamicznie, przez zainfekowany skrypt PHP.

Przejrzeliśmy wszystkie pliki PHP przechowywane na serwerze, ale rezultat zaskoczył nas – na pierwszy rzut oka nie zauważyliśmy niczego podejrzanego. Mając w pamięci szkodliwe oprogramowanie div_colors, zaczęłam badać kod linijka po linijce. Moją uwagę przykuła niewielka funkcja na początku jednego z głównych plików PHP.

Kod ten wygląda niewinnie za sprawą wielowarstwowego...

Czytaj dalej

Analizy

"Red October" - dochodzenie w sprawie cyberataków na placówki dyplomatyczne

Zagrożenia w drugim kwartale 2010

Blog

Skutki publikowania PoC

Na czym polega „BashBug"?

Pełna analiza serwerów centrum kontroli Flame'a

Prezent od ZeuSa dla pasażerów US Airways

Niebezpieczne niewidoczne znaki

YouTube atakuje!

Marta Janus Kaspersky Lab Expert

Dodany 7 lipca 2010, 10:35 CEST

Jak to bywa w niespokojnych czasach, ataku można spodziewać się zewsząd. Nawet oglądając filmy na YouTube w domowym zaciszu nie możemy czuć się bezpieczni.

W niedzielę, 4 lipca, wielu fanów pewnej popowej gwiazdki o nazwisku Justin Bieber spotkała przykra niespodzianka: oglądając na youtube.com teledyski swojego idola, byli oni bądź to bombardowani wyskakującymi komunikatami o jego śmierci, bądź to przekierowywani na strony typu "tylko dla dorosłych". Fakt ten dosyć szybko wzbudził zainteresowanie specjalistów z dziedziny bezpieczeństwa IT i okazało się, iż serwis YouTube padł ofiarą klasycznego ataku XSS (Cross-Site Scripting).

Ataki tego typu polegają na wstrzyknięciu do kodu strony internetowej szkodliwego skryptu, który następnie jest przetwarzany przez przeglądarkę użytkownika tak, jak pełnoprawny element tej strony. Szkodliwy kod jest wstrzykiwany z wykorzystaniem luki w mechanizmie pobierania danych...

Czytaj dalej

Drive-by download - uważaj, jeżeli masz własną stronę WWW

Marta Janus Kaspersky Lab Expert

Dodany 18 czerwca 2009, 14:22 CEST

Bardzo popularną ostatnio formą ataku, przeprowadzanego przez przeglądarkę internetową, są ataki typu "drive-by download" (http://www.viruslist.pl/news.html?newsid=530). Polegają one na inicjowaniu pobierania szkodliwych programów na komputer użytkownika, bez jego wiedzy i zgody. Wydawałoby się, że ryzyko padnięcia ofiarą takiego ataku wiąże się ściśle z odwiedzaniem stron o podejrzanym pochodzeniu, jednak coraz częściej się zdarza, że zainfekowane okazują się być oryginalne strony znanych i zaufanych organizacji, takich jak banki, portale informacyjne czy sklepy internetowe. Ponadto strona, która podczas wczorajszych odwiedzin była "czysta", dzisiaj może być już zainfekowana! Jak to się dzieje? Czy twórcy witryn, którym ufamy, samodzielnie umieszczają szkodliwy kod na swoich stronach?

Pierwsze ofiarą ataków padają serwery, na których przechowywane są strony WWW. Znajdujące się na nich pliki źródłowe...

Czytaj dalej

Nowy 64-bitowy rootkit dla Linuksa wstrzykuje ramki iFrame

"RunForestRun", "gootkit" oraz generowanie losowych nazw domen

Niebezpieczne niewidoczne znaki

YouTube atakuje!

Drive-by download - uważaj, jeżeli masz własną stronę WWW

kaspersky.pl

securelist.pl