Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1
Ostatnie posty
Najpopularniejsze

Shamoon The Wiper (część II)

Dmitrij Tarakanow Kaspersky Lab Expert
Dodany 20 września 2012, 10:57 CEST
Tagi:

W mediach pojawiły się liczne doniesienia o tym, że Shamoon - szkodnik czyszczący dane, o którym pisaliśmy wcześniej - ma związek z atakami na Saudi Aramco. Data zaszyta na sztywno w ciele destruktora pokrywa się z datą ataków na firmę Saudi Aramco deklarowanych przez grupę hakerów, jednak odpowiedzialności za nie nadal nie można definitywnie przypisać temu szkodnikowi.

Około dwóch tygodni po incydencie inna firma z sektora energetycznego na Bliskim Wschodzie (RasGas) padła ofiarą kolejnego ataku szkodliwego oprogramowania i w mediach naturalnie pojawiły się spekulacje, czy za nimi również stoi Shamoon.

Pozostawiając spekulacje innym, skupimy się na przedstawieniu danych technicznych. Tekst ten stanowi kontynuację naszej analizy Shamoona.

NETINIT.EXE

Główny moduł Shamoona posiada zasób PKCS7:113 przechowujący plik wykonywalny, który jest zapisywany na dysku jako %WINDIR%\System32\NETINIT.EXE i program ten wydaje...


Shamoon the Wiper - szczegóły

Dmitrij Tarakanow Kaspersky Lab Expert
Dodany 4 września 2012, 09:48 CEST
Tagi:

Nadal analizujemy szkodliwe oprogramowanie o nazwie Shamoon. Ten post zawiera informacje o tym, co znajduje się wewnątrz szkodliwych próbek wykorzystywanych w kampanii.

Zagnieżdżenie próbek

Główny plik wykonywalny (dropper) zawiera 3 zasoby, z których każdy utrzymuje zaszyfrowany program. Szyfr jest dość prosty - XOR wyrażony przez dword. Wspominaliśmy o tym w naszym pierwszym poście.

Zasób PKCS12:112 przechowuje zakodowany plik wykonywalny, poddany operacji XOR z wartością klucza 0xFB5D7F25. Jest on zapisywany na dysku przy użyciu nazwy pobieranej z zaszytej w kodzie na sztywno listy w folderze %WINDIR%\System32 podczas wykonywania droppera. Z kolei ten moduł zawiera zasób READONE :101 (klucz XOR: 0xF052AF15), sterownik zakodowywany i zapisywany na dyskach jako %WINDIR%\System32\Drivers\DRDISK.SYS.

Zasób PKCS7:113 zawiera plik wykonywalny, poddany operacji XOR z kluczem 0x00BAD417 i zapisywanym na dysku jako...


Prezent od ZeuSa dla pasażerów US Airways

Dmitrij Tarakanow Kaspersky Lab Expert
Dodany 5 kwietnia 2012, 10:45 CEST
Tagi:

Spam

20 marca wykryliśmy kampanię spamową, której celem byli pasażerowie US Airways. Prawie przez cały tydzień cyberprzestępcy wysyłali użytkownikom następujący e-mail, rzekomo pochodzący od US Airways:

...


ZeuS żyje!

Dmitrij Tarakanow Kaspersky Lab Expert
Dodany 8 marca 2011, 10:25 CET

Niedawno stało się jasne, że “design” programu ZeuS został przekazany twórcy konkurencyjnego trojana o nazwie SpyEye. Teraz wszyscy czekają, aż te dwa programy spyware połączą się, tworząc prawdziwe monstrum. Autor SpyEye’a prawdopodobnie wyłuska to, co najcenniejsze w ZeuSie, i zaimplementuje to w SpyEye. Niektórzy analitycy znaleźli już w próbce SpyEye fragment kodu z ZeuSa.

 новое окно
Sekcja kodu SpyEye identyczna do kodu ZeuSa

Po tym, jak ZeuS przeszedł do nowego właściciela, nie spodziewaliśmy się pojawienia się jego nowych modyfikacji. Naturalnie, wciąż odnotowujemy stały strumień próbek ZeuSa, jednak prawie wszystkie z nich to dobrze znane wersje tego szkodliwego programu. Nowe warianty powstają zwykle w wyniku przeprojektowania szkodnika, co przy użyciu tzw. zestawów do budowy ZeuSa wymaga niewielkiego wysiłku. Jednak od czasu do czasu trafiam na dość nietypowe warianty tego trojana i mam powody, aby...


Szkodliwy Javascript vs czytnik kart

Dmitrij Tarakanow Kaspersky Lab Expert
Dodany 7 kwietnia 2010, 10:15 CEST

Dzisiejsi klienci banków stoją wobec bardzo realnego zagrożenia utraty swoich ciężko zarobionych pieniędzy. Wystarczy, że cyberprzestępcy ukradną ich tożsamość wykorzystywaną w bankowości online. W celu zapobiegnięcia kradzieży związanych z bankowością online, wiele banków zaczęło wydawać swoim klientom klucze sprzętowe USB oraz czytniki kart służące do potwierdzenia ich tożsamości online. Gdy klient korzysta z usługi bankowości online, strona internetowa banku żąda od użytkownika zidentyfikowania się jako posiadacza konta. W tym celu każdemu użytkownikowi przydzielany jest unikatowy login, który jest sprawdzany wraz z informacjami znajdującymi się na kluczu sprzętowym lub wprowadzanymi za pośrednictwem czytnika kart.

Na pierwszy rzut oka system ten wydaje się całkiem szczelny. Nawet jeśli cyberprzestępca ukradnie tożsamość użytkownika wykorzystywaną w bankowości online, nie będzie...