Roel Schouwenberg
27 grudnia 2012 Szkodliwe oprogramowanie w Amazon App Store Roel Schouwenberg 12 kwietnia 2011 Kolejna luka zero-day w Adobe Flash Roel Schouwenberg 26 stycznia 2011 Szkodliwe reklamy rozprzestrzeniane przez ICQ Roel Schouwenberg 13 września 2010 Jeszcze raz o robaku VBMania Roel Schouwenberg 9 września 2010 Atak zero-day na Adobe Reader - przy pomocy skradzionego certyfikatu Roel Schouwenberg 20 lipca 2010 LNK zero-day - podstawy Roel Schouwenberg 16 lipca 2010 Nirwana dla cyberprzestępców? Roel Schouwenberg 7 lipca 2010 Testowanie i odpowiedzialność Roel Schouwenberg |
Szukając konkretnej aplikacji do benchmarkingu, trafiłem na kilka dodatkowych. Jedna z nich od razu wydała się podejrzana.
Do aplikacji tej dołączony jest szkielet reklam AirPush. Tym samym można ją potencjalnie zaliczyć do kategorii oprogramowania AdWare. Jednak po bardziej szczegółowej analizie okazuje się, że aplikacja w rzeczywistości niewiele robi. Najwyraźniej została stworzona naprędce, aby jej autor mógł zarobić pieniądze.
„Internet Accelerator Speed Up” w żaden sposób nie optymalizuje połączenia. Oto jak działa ta aplikacja:
Po uruchomieniu, zanim zostaną wyświetlone inne komunikaty, aplikacja poinformuje cię, że twoje połączenie zostało zoptymalizowane o 20-45%. I to...
Analizy
Blog
W tym miesiącu przyszła kolej na aplikację Microsoft Word. Szkodliwy plik .doc, o którym pisał Brian Krebs, posiada wiele cech wspólnych ze szkodliwym arkuszem Excela z zeszłego miesiąca. Nawet jeśli za tymi dwoma incydentami nie stoi ten sam gang, najnowszy atak z pewnością został zainspirowany wcześniejszym.
W przeciwieństwie do zeszłego miesiąca tym razem na komputerach użytkowników nie jest instalowany backdoor Poison Ivy. W ataku wykorzystywany jest backdoor, któremu niektórzy producenci nadali nazwę Zolpiq, większość jednak zastosuje dla niego nazwę generyczną.
Zolpiq ujawnia się w systemie w sposób mniej ewidentny niż Poison Ivy. W niedzielę dodaliśmy do naszych baz danych sygnaturę tego...
Analizy
Blog
Interesujące jest to, że na ekranach użytkowników pojawiały się okna wyskakujące fałszywego programu antywirusowego, chociaż nie korzystali aktywnie z komputera. Podczas analizy zauważyliśmy, że okna te pojawiają się wtedy, gdy ICQ wyświetla nowe reklamy.
Zainstalowałem ICQ i pozwoliłem mu działać kilka minut, aby “złapał” reklamy. Oto co zauważyłem:
Strona ta jest utrzymywana na [snip]charlotterusse.eu.
Sądząc po dodanej ramce iframe, możnaby pomyśleć, że ktoś włamał się do serwera przechowującego reklamy tego sklepu. Nie zupełnie. Pogrzebałem trochę i odkryłem, że żaden z tych serwerów – oprócz charlotterusse.com – nie jest w jakikolwiek sposób związany z tą marką odzieży.
W całej sprawie najbardziej...
Liczba infekcji jest dość niska. Liczba wysłanych wiadomości spamowych jest stosunkowo wysoka, jednak nie stanowią one już zagrożenia, ponieważ szkodliwe pliki, do których prowadziły zawarte w wiadomościach odsyłacze, zostały już usunięte. Tak więc, VBMania nie złowi już kolejnych ofiar przy użyciu poczty elektronicznej. Ponadto, VBMania nie uruchamia się poprawnie w systemie Windows 7, jeżeli jest włączone UAC.
Robakowi VBMania pozostają dwa wektory infekcji: tworzy własne kopie na współdzielonych folderach sieciowych oraz urządzeniach USB. Ręczne usuwanie VBMania może być uciążliwe, jednak szkodnik ten nie stanowi...
Analizy
Blog
Jest to dość prosty exploit. Jedyną ciekawostką jest to, że wykorzystuje Return Oriented Programming (ROP) w celu obejścia technologii ASLR i DEP w systemie Windows Vista oraz 7.
Już od jakiegoś czasu spodziewałem się, że ROP będzie wykorzystywany w exploitach na większą skalę. Dlaczego? Ponieważ Windows 7 zyskuje coraz większą popularność zarówno wśród klientów indywidualnych jak i korporacyjnych.
O ile większość zainfekowanych PDF-ów pobiera szkodliwe funkcje, w tym przypadku szkodliwa zawartość jest osadzona w PDF-ie. PDF umieszcza plik wykonywalny w folderze %temp% i próbuje go wykonać.
Plik ten jest podpisany cyfrowo ważnym podpisem amerykańskiej firmy Credit Union!
Gdy przyjrzeć się bliżej poniższym zrzutom...
Analizy
Blog
Główny wniosek, do jakiego doszedłem, jest taki, że luka ta stanowi fundamentalną cześć sposobu, w jaki Windows obsługuje pliki LNK. To oznacza, że istnieją dwa ogromne negatywy – po pierwsze, ze względu na to, że funkcjonalność ta jest dość standardowa, coraz trudniej będzie stworzyć skuteczne wykrywanie generyczne, które nie wywołuje fałszywych trafień.
Po drugie, przypuszczam, że Microsoft będzie miał problemy z załataniem tej luki. Wygląda na to, że nie istnieje żaden model bezpieczeństwa związany ze sposobem obsługi skrótów przez Windowsa. Cała ta sytuacja przypomina mi nieco o lukach w formacie WMF.
Opublikowaliśmy generyczne wykrywanie zainfekowanych plików LNK, które próbują...
Analizy
Blog
Przyjrzyjmy się najpierw komputerom klienckim – tym, które nie są zarządzane centralnie. Dlaczego takie komputery nadal miałyby mieć zainstalowany dodatek SP2? Możemy założyć, że Windows Updates został na nich wyłączony. Przychodzą mi na myśl tylko dwa powody takiego stanu rzeczy: działanie WU uniemożliwiła infekcja szkodliwym oprogramowaniem lub wyłączyli ją użytkownicy posiadający nielegalną wersję systemu, aby móc dalej korzystać z niej za darmo.
W pierwszym przypadku, do infekcji już doszło. W drugim przypadku, istnieje niewielkie prawdopodobieństwo, że maszyna została kiedykolwiek załatana po pierwotnym zainstalowaniu SP2. To oznacza, że takie...
Analizy
Blog