Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Trojan-SMS.WinCE.Sejweek

Denis Nazarow Kaspersky Lab Expert
Dodany 18 grudnia 2009, 10:19 CET

Nowe programy atakujące urządzenia mobilne nie wzbudzają już sensacji; zdążyliśmy się już przyzwyczaić do szkodliwego oprogramowania dla smartfonów. Jednak od czasu do czasu pojawia się szkodliwy program, który wyróżnia się spośród innych: tym razem jest to Trojan-SMS.WinCE.Sejweek.a, nowy program stworzony w celu wysyłania wiadomości SMS z zainfekowanego urządzenia. Zatem czym różni się ten program od innych trojanów SMS? Przyjrzyjmy się.

Większość szkodliwych programów, które wysyłają wiadomości SMS na numery o podwyższonej opłacie, wykorzystuje numer i tekst wiadomości, które są zakodowane w samym szkodliwym oprogramowaniu. Jednak Sejweek jest trochę inny - po uruchomieniu trojan ten próbuje pobrać plik XML na smartfon ze strony http://today*******.cn/*****/*****/get.php. W momencie pisanie tego postu plik ten wyglądał tak:


Plik zawiera numer o podwyższonej opłacie (otoczony tagiem); tekst SMS-a...


Pornodialery dla smartfonów, część 2

Denis Nazarow Kaspersky Lab Expert
Dodany 30 listopada 2009, 09:22 CET

Jeszcze w kwietniu odkryliśmy program dla smartfonów działających pod kontrolą systemu Symbian S60 2nd edition (not-a-virus:Porn-Dialer.SymbOS.Pornidal.a), który dzwoni na numery o podwyższonej opłacie w celu uzyskania dostępu do materiałów pornograficznych.

Dzisiaj dodaliśmy wykrywanie nowego wariantu programu - not-a-virus.Porn-Dialer.SymbOS.Pornidal.c. Tak jak jej poprzednik, aplikacja ta może być szkodliwa z dwóch powodów:

  • jeżeli zainstalujesz takie oprogramowanie i nie będziesz zwracał uwagi na to, co robisz, nie zorientujesz się, że program dzwoni na numery o podwyższonej opłacie;
  • program może zostać zmodyfikowany przez cyberprzestępców, tak aby był wyraźnie szkodliwy.

Ten nowy wariant w rzeczywistości nie różni się tak bardzo od poprzedniego – również posiada umowę EULA, jednak działa na urządzeniach pracujących pod kontrolą systemu Symbian S60 3rd edition oraz posiada podpis cyfrowy.


Po...


Induc, innowacyjny infektor plików

Denis Nazarow Kaspersky Lab Expert
Dodany 18 sierpnia 2009, 11:28 CEST

Niedawno do naszych baz dodaliśmy wykrywanie infektora plików, któremu nadaliśmy nazwę Virus.Win32.Induc.a. Od tego czasu otrzymaliśmy wiele pytań na jego temat. Obecnie Virus.Win32.Induc.a nie posiada szkodliwej funkcji i nie infekuje bezpośrednio plików .exe. Zamiast tego sprawdza, czy na komputerze ofiary jest zainstalowany Delphi, szukając wersji 4.0, 5.0, 6.0 i 7.0.

Jeżeli szkodnik znajdzie jedną z tych wersji Delphi, kopiuje SysConst.pas do \Lib i dopisuje do niego swój kod. Następnie wykonuje kopię zapasową SysConst.dcu, nadając jej nazwę SysConst.bak (pliki dcu są przechowywane w \Lib). Następnie kompiluje \Lib\SysConst.pas, dając zainfekowaną wersję SysConst.dcu. Zmodyfikowany plik .pas zostaje usunięty.

"uses windows;
var sc:array[1..24] of string=('uses windows; var sc:array[1..24] of string=(', 'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]',
'=#36 then...


Pornodialery dla smartfonów

Denis Nazarow Kaspersky Lab Expert
Dodany 6 kwietnia 2009, 13:16 CEST

Dzisiaj wykryliśmy nowy potencjalnie niechciany pogram atakujący smartfony działające pod kontrolą systemu Symbian S60 2nd edition - not-a-virus:Porn-Dialer.SymbOS.Pornidal.a

Po uruchomieniu pliku o nazwie iPornPlayer.sis, użytkownikowi wyświetla się standardowa umowa EULA informująca go, że będzie miał do czynienia z treściami natury pornograficznej, zawierająca warunki korzystania itd. Program ten wykrywamy jako not-a-virus: pornodialer, nie jako trojan dialer, ponieważ posiada umowę EULA.



Istotne jest to, że w umowie znajduje się zapis, że w celu uzyskania dostępu do treści aplikacja połączy się z międzynarodowymi numerami o podwyższonej opłacie (wymienione poniżej).

  • +43820911995
  • +43810522237
  • +239980254
  • +3598815400096
  • +22650500089
  • +6744449333
  • +423662690232
  • +227171020
  • +41773111701
  • +2284260203

Następnie zostają zainstalowane następujące pliki: ...


Powrót indonezyjskich trojanów

Denis Nazarow Kaspersky Lab Expert
Dodany 6 lutego 2009, 14:49 CET

Kilka tygodni temu pisaliśmy o szkodliwych programach atakujących system Symbian w Indonezji - trojanach wykorzystujących wiadomości SMS w celu przelania pieniędzy z kont użytkowników na konto cyberprzestępcy.

Właśnie wykryliśmy nowy szkodliwy program z podobną szkodliwą funkcją: Trojan-SMS.J2ME.GameSat.a. Jak sugeruje jego nazwa, szkodnik ten atakuje telefony obsługujące platformę J2ME - przez co znacznie poszerza się krąg potencjalnych ofiar (oraz potencjalne zyski!).

Trojan podaje się za aplikację obsługującą takie usługi, jak czat czy serwisy randkowe - jednak po uruchomieniu aplikacja ta wysyła SMS na numer 151, ten sam, który był wykorzystywany przez ostatnią partię trojanów. Naturalnie, użytkownik nie wie, że SMS będzie kosztował go 5000 rupii (0,45USD) oraz że pieniądze z jego konta trafiają wprost na konto cyberprzestępcy.

Tak więc w przeciągu ponad dwóch tygodni...



W wielu krajach dostawcy telefonii komórkowej pozwalają swoim klientom przelewać pieniądze z jednego numeru na drugi, w szczególności dotyczy to kredytu, który może zostać wykorzystany przez odbiorców na ich własnych telefonach. Jest to przydatne w sytuacji, gdy ktoś musi skontaktować się z osobą, która nie posiada na swoim koncie wystarczających środków. Indonezja jest jednym z państw, w których takie transakcje są popularne.

Jeden z indonezyjskich dostawców usług mobilnych pozwala klientom przelewać pieniądze/kredyt z jednego konta na drugie poprzez wysyłanie SMS-a na numer 151 o treści: TP. Indonezyjscy twórcy szkodliwego oprogramowania odkryli w tym szansę na zarobienie pieniędzy.

W zeszłym tygodniu wykryliśmy 5 nowych trojanów, które wysyłają takie zapytania dotyczące przelewu pieniędzy na numer 151 - bez wiedzy oraz zgody właściciela telefonu. Wszystkie 5 szkodników zostało napisanych w języku...


2+2=89?

Denis Nazarow Kaspersky Lab Expert
Dodany 1 czerwca 2007, 13:12 CEST
Tagi:

W tym tygodniu dodaliśmy do naszych sygnatur zagrożeń kolejny interesujący wpis - wykrywanie wirusa atakującego kalkulator.

Virus.TI.Tigraa.a jest wirusem rezydentnym, typowym przykładem wirusa DOS, o rozmiarze zaledwie 492 bajtów. Działa na kalkulatorach graficznych Texas Instruments TI-89 z procesorem Motorola 68000. Celem tego wirusa jest wyczyszczenie ekranu, a następnie wyświetlenie wiadomości z tekstem 't89.GAARA'.

Naturalnie, Tigraa.a jest klasycznym kodem typu "proof of concept". Będzie działał tylko na indywidualnych kalkulatorach. Ponadto, nie potrafi się rozprzestrzeniać. Mimo to szkodnik ten powiększa listę urządzeń, które potencjalnie mogą zostać zainfekowane.