2009. ápr. 16. 7:13 - írta Pchardver
Az ESET ismét nyilvánosságra hozta az elmúlt hónap kártevőinek toplistáját.
A márciusi top 10:
1.Win32/TrojanDownloader.Swizzor.NBF trójai (5,65%)
2.Win32/Conficker féreg (5,62%)
3.WMA/TrojanDownloader.GetCodec trójai (4,62%)
4.INF/Autorun vírus (4,58%)
5.Win32/Adware.Virtumonde alkalmazás (4,51%)
6.Win32/Agent trójai (3,57%)
7.Win32/PSW.OnLineGames.NMY trójai (2,39%)
8.Win32/Toolbar.MyWebSearch alkalmazás (1,49%)
9.Win32/VB.EL féreg (1,43%)
10.Win32/Adware.GooochiBiz alkalmazás (1,32%)
A márciusi top 10:
1.Win32/TrojanDownloader.Swizzor.NBF trójai (5,65%)
2.Win32/Conficker féreg (5,62%)
3.WMA/TrojanDownloader.GetCodec trójai (4,62%)
4.INF/Autorun vírus (4,58%)
5.Win32/Adware.Virtumonde alkalmazás (4,51%)
6.Win32/Agent trójai (3,57%)
7.Win32/PSW.OnLineGames.NMY trójai (2,39%)
8.Win32/Toolbar.MyWebSearch alkalmazás (1,49%)
9.Win32/VB.EL féreg (1,43%)
10.Win32/Adware.GooochiBiz alkalmazás (1,32%)
2009. ápr. 15. 12:10 - írta Pchardver
Amint az már megszokott, a Microsoft cég minden hónap második keddjén, egy csomagban adja ki a termékeihez megjelenő biztonsági javításokat, megkönnyítve ezzel a rendszergazdák munkáját, akik így előre megtervezhetik, mikor és milyen ütemezésben telepítik azokat.
A cég weblapján elérhető, illetve biztonsági bulletin formájában levelezőlistán terjesztett összefoglaló szerint a Microsoft által 2009. április hónapban befoltozott hibás szoftverek között irodai szoftverek és Windows rendszerkomponensek egyaránt találhatók - egy, a szakértők által várt Powerpoint javítás azonban most nem került be a csomagba.
Nagyfontosságú javítások:
MS09-009: A kutatók két komoly hibát találtak a Microsoft Excel táblázatkezelő programban, amelyek segítségével a hamisított .XLS fájlokat terjesztő hackerek e-mail segítségével képesek lehetnek távolról megfertőzni a Microsoft Office irodai programcsomagot futtató számítógépeket.
Ezt a sebezhetőség-típust sajtóhírek szerint rendszeresen használják professzionális, feltehetően kínai szolgálatban álló kiberkémek a külföldi szervezetek és nagykövetségek tevékenységének megfigyelésére. Rendkívül veszélyes biztonsági résről van szó, amelyet feltétlenül érdemes befoltozni a KB968557 jelzésű javítófolt telepítésével - sajnos az Office PowerPoint írásvetítő szoftver kapcsolódó problémájára most még nem jelent meg javítás.
[ Felhívjuk a figyelmet arra, hogy a Microsoft Office dokumentumok mellett napjainkban már az Adobe Acrobat programok biztonsági rései is gyakran szolgálnak kártevő-terjesztés útvonalaként. A fertőzött hordozható dokumentum-fájlokkal támadó hackerek nagyfokú veszélyt jelentenek a vállalati és intézményi felhasználókra nézve, ezért érdemes az Adobe cég által kiadott biztonsági javítások telepítésével védekezni a hasonlóan kártékony .PDF fájlok ellen - Szerk. ]
MS09-010: Négy, rendszerfeltörést lehetővé tevő súlyos hibát találtak a Windows beépített alapfokú Wordpad szövegszerkesztő programjában és az ahhoz kapcsolódó Office szöveg-átalakító szolgáltatásokban. A sebezhetőségeket kihasználó hackerek speciálisan módosított .RTF vagy WordPerfect szöveges állományok segítségével távolról átvehetik a gép feletti uralmat - ezért indokolt a hibákat kiküszöbölő KB960477 jelzésű javítófolt telepítése.
MS09-011: Súlyos hibát találtak a Windows beépített DirectX DirectShow grafikus alrendszerének videólejátszó funkciójában. A sebezhetőségeket kihasználó hackerek speciálisan módosított MJPEG (webkamera) adatfolyamok segítségével távolról átvehetik a gép feletti uralmat - a KB961373 jelzésű javítófolt segít kiküszöbölni ezt a kockázatot.
MS09-013: Ez a sebezhetőség a Microsoft Windows WinHTTP rendszerszolgáltatást érinti. Az NTLM felhasználó-azonosítás tanúsítványok kezelésével kapcsolatos hibáját ismerő és kihasználó hackerek képesek lehetnek távolról teljes ellenőrzést szerezni a sebezhető távoli gépek felett. A probléma ellen a KB960803 jelű javítófolt telepítésével lehet védekezni.
MS09-014: A kutatók újabb hat súlyos hibát találtak az Internet Explorer webböngészőben, amelyek révén hackerek távolról átvehetik az ellenőrzést a Windows számítógépek felett, ha sikerül rávenniük a felhasználókat speciálisan módosított támadó webhelyek meglátogatására.
A most befoltozott sebezhetőségek ezen kívül lehetővé tették a böngészők elleni HTTP protokoll alapú támadásokat is - ezért a magas fokú kockázat csökkentésére feltétlenül indokolt a KB963027 jelzésű összefoglaló javítófolt telepítése.
Közepes jelentőségű javítások:
MS09-012: Ez a négy különféle sebezhetőségből álló hibacsoport a Microsoft Windows MSDTC/WMI tranzakció-kezelő rendszerszolgáltatást érinti. A hiba részleteit ismerő és kihasználó hackerek képesek lehetnek engedély nélkül magasabb jogosultságokat szerezni a megtámadott rendszeren, ha le tudnak futtatni egy speciális támadóprogramot.
Mivel a WMI-sebezhetőségek jelenléte bizonyos körülmények között akár a rendszer feletti teljeskörű ellenőrzés megszerzését is lehetővé teszi, javasolt a KB959454 jelű javítófolt telepítésével védekezni a támadások ellen.
MS09-016: A kutatók szolgáltatás-megtagadás típusú hibát találtak a Microsoft ISA Server proxy-átjáró termékben és annak Microsoft Forefront kiegészítő csomagjában, amelyek miatt szükségessé vált a TCP-állapottábla kezelésének és a HTTP-űrlapok felhasználói azonosításának módosítása. Ezeket a biztonsági változtatásokat a KB961759 jelű hibajavítás telepítésével hajthatjuk végre a védendő rendszereken.
Mérsékelt jelentőségű javítás:
MS09-015: A Microsoft SearchPath programban olyan szolgáltatás-megtagadás típusú hiba található, amelyet egy speciálisan formázott támadó fájl elhelyezésével aktiválhat a rosszindulatú hacker. A sebezhetőség teljes kiküszöbölése érdekében szükségessé vált a Windows Desktop asztalkezelés működésének módosítása, amelyet a Microsoft cég a KB959426 javítófájl kibocsátásával oldott meg.
Ez a hiba ugyan besorolás szerint csak mérsékelt jelentőségű, a javítófoltja azonban műszaki téren szervesen kapcsolódik a fent említett MS09-014 jelzésű Internet Explorer webböngésző frissítéshez - ezért azt tanácsoljuk, hogy a felhasználók és üzemeltetők ne hanyagolják el a telepítését!
A fenti, kritikusként megjelölt vagy fontos minősítésű hibák mindegyike elvi lehetőséget nyújt a támadóknak, hogy átvegyék a sebezhető rendszer feletti teljes irányítást, habár a gyakorlati tapasztalatok szerint ehhez speciális körülmények teljesülésére van szükség. A veszélyt azonban nem szabad lebecsülni, hiszen számos korábban látott internetes kártevő tudott komoly pusztítást végezni egy-egy hasonló sebezhetőség kihasználásával!
Megemlítjük továbbá, hogy a fenti javításokon kívül a megszokott módon frissítésre került a Windows Malicious Software Removal Tool, a Microsoft ingyenesen elérhető mini vírusirtója.
Azok, akik még nem telepítették az USB meghajtók automatikus lejátszásával kapcsolatos korlátozásokat biztonságosabbá tevő év eleji Microsoft frissítést, javasolt, hogy most tegyék fel ezt a KB967715 jelzésű javítófoltot, mert a Downadup (Conficker) féreg tavaly év végi megjelenése óta erősen megnövekedett az ilyen támadások kockázata.
A Windows operációs rendszert vagy Microsoft Office irodai programot használó olvasóinknak feltétlenül javasoljuk a Microsoft Update webhely felkeresését, hogy ezzel lehetővé tegyék a megfelelő javítófoltok telepítését! A hálózathoz kapcsolt Windows gépek védelmére az egyetlen igazán megbízható megoldás a Microsoft által kiadott javítások telepítése és a különféle biztonsági szoftverek (tűzfal és víruskereső) folyamatos futtatása!
A cég weblapján elérhető, illetve biztonsági bulletin formájában levelezőlistán terjesztett összefoglaló szerint a Microsoft által 2009. április hónapban befoltozott hibás szoftverek között irodai szoftverek és Windows rendszerkomponensek egyaránt találhatók - egy, a szakértők által várt Powerpoint javítás azonban most nem került be a csomagba.
Nagyfontosságú javítások:
MS09-009: A kutatók két komoly hibát találtak a Microsoft Excel táblázatkezelő programban, amelyek segítségével a hamisított .XLS fájlokat terjesztő hackerek e-mail segítségével képesek lehetnek távolról megfertőzni a Microsoft Office irodai programcsomagot futtató számítógépeket.
Ezt a sebezhetőség-típust sajtóhírek szerint rendszeresen használják professzionális, feltehetően kínai szolgálatban álló kiberkémek a külföldi szervezetek és nagykövetségek tevékenységének megfigyelésére. Rendkívül veszélyes biztonsági résről van szó, amelyet feltétlenül érdemes befoltozni a KB968557 jelzésű javítófolt telepítésével - sajnos az Office PowerPoint írásvetítő szoftver kapcsolódó problémájára most még nem jelent meg javítás.
[ Felhívjuk a figyelmet arra, hogy a Microsoft Office dokumentumok mellett napjainkban már az Adobe Acrobat programok biztonsági rései is gyakran szolgálnak kártevő-terjesztés útvonalaként. A fertőzött hordozható dokumentum-fájlokkal támadó hackerek nagyfokú veszélyt jelentenek a vállalati és intézményi felhasználókra nézve, ezért érdemes az Adobe cég által kiadott biztonsági javítások telepítésével védekezni a hasonlóan kártékony .PDF fájlok ellen - Szerk. ]
MS09-010: Négy, rendszerfeltörést lehetővé tevő súlyos hibát találtak a Windows beépített alapfokú Wordpad szövegszerkesztő programjában és az ahhoz kapcsolódó Office szöveg-átalakító szolgáltatásokban. A sebezhetőségeket kihasználó hackerek speciálisan módosított .RTF vagy WordPerfect szöveges állományok segítségével távolról átvehetik a gép feletti uralmat - ezért indokolt a hibákat kiküszöbölő KB960477 jelzésű javítófolt telepítése.
MS09-011: Súlyos hibát találtak a Windows beépített DirectX DirectShow grafikus alrendszerének videólejátszó funkciójában. A sebezhetőségeket kihasználó hackerek speciálisan módosított MJPEG (webkamera) adatfolyamok segítségével távolról átvehetik a gép feletti uralmat - a KB961373 jelzésű javítófolt segít kiküszöbölni ezt a kockázatot.
MS09-013: Ez a sebezhetőség a Microsoft Windows WinHTTP rendszerszolgáltatást érinti. Az NTLM felhasználó-azonosítás tanúsítványok kezelésével kapcsolatos hibáját ismerő és kihasználó hackerek képesek lehetnek távolról teljes ellenőrzést szerezni a sebezhető távoli gépek felett. A probléma ellen a KB960803 jelű javítófolt telepítésével lehet védekezni.
MS09-014: A kutatók újabb hat súlyos hibát találtak az Internet Explorer webböngészőben, amelyek révén hackerek távolról átvehetik az ellenőrzést a Windows számítógépek felett, ha sikerül rávenniük a felhasználókat speciálisan módosított támadó webhelyek meglátogatására.
A most befoltozott sebezhetőségek ezen kívül lehetővé tették a böngészők elleni HTTP protokoll alapú támadásokat is - ezért a magas fokú kockázat csökkentésére feltétlenül indokolt a KB963027 jelzésű összefoglaló javítófolt telepítése.
Közepes jelentőségű javítások:
MS09-012: Ez a négy különféle sebezhetőségből álló hibacsoport a Microsoft Windows MSDTC/WMI tranzakció-kezelő rendszerszolgáltatást érinti. A hiba részleteit ismerő és kihasználó hackerek képesek lehetnek engedély nélkül magasabb jogosultságokat szerezni a megtámadott rendszeren, ha le tudnak futtatni egy speciális támadóprogramot.
Mivel a WMI-sebezhetőségek jelenléte bizonyos körülmények között akár a rendszer feletti teljeskörű ellenőrzés megszerzését is lehetővé teszi, javasolt a KB959454 jelű javítófolt telepítésével védekezni a támadások ellen.
MS09-016: A kutatók szolgáltatás-megtagadás típusú hibát találtak a Microsoft ISA Server proxy-átjáró termékben és annak Microsoft Forefront kiegészítő csomagjában, amelyek miatt szükségessé vált a TCP-állapottábla kezelésének és a HTTP-űrlapok felhasználói azonosításának módosítása. Ezeket a biztonsági változtatásokat a KB961759 jelű hibajavítás telepítésével hajthatjuk végre a védendő rendszereken.
Mérsékelt jelentőségű javítás:
MS09-015: A Microsoft SearchPath programban olyan szolgáltatás-megtagadás típusú hiba található, amelyet egy speciálisan formázott támadó fájl elhelyezésével aktiválhat a rosszindulatú hacker. A sebezhetőség teljes kiküszöbölése érdekében szükségessé vált a Windows Desktop asztalkezelés működésének módosítása, amelyet a Microsoft cég a KB959426 javítófájl kibocsátásával oldott meg.
Ez a hiba ugyan besorolás szerint csak mérsékelt jelentőségű, a javítófoltja azonban műszaki téren szervesen kapcsolódik a fent említett MS09-014 jelzésű Internet Explorer webböngésző frissítéshez - ezért azt tanácsoljuk, hogy a felhasználók és üzemeltetők ne hanyagolják el a telepítését!
A fenti, kritikusként megjelölt vagy fontos minősítésű hibák mindegyike elvi lehetőséget nyújt a támadóknak, hogy átvegyék a sebezhető rendszer feletti teljes irányítást, habár a gyakorlati tapasztalatok szerint ehhez speciális körülmények teljesülésére van szükség. A veszélyt azonban nem szabad lebecsülni, hiszen számos korábban látott internetes kártevő tudott komoly pusztítást végezni egy-egy hasonló sebezhetőség kihasználásával!
Megemlítjük továbbá, hogy a fenti javításokon kívül a megszokott módon frissítésre került a Windows Malicious Software Removal Tool, a Microsoft ingyenesen elérhető mini vírusirtója.
Azok, akik még nem telepítették az USB meghajtók automatikus lejátszásával kapcsolatos korlátozásokat biztonságosabbá tevő év eleji Microsoft frissítést, javasolt, hogy most tegyék fel ezt a KB967715 jelzésű javítófoltot, mert a Downadup (Conficker) féreg tavaly év végi megjelenése óta erősen megnövekedett az ilyen támadások kockázata.
A Windows operációs rendszert vagy Microsoft Office irodai programot használó olvasóinknak feltétlenül javasoljuk a Microsoft Update webhely felkeresését, hogy ezzel lehetővé tegyék a megfelelő javítófoltok telepítését! A hálózathoz kapcsolt Windows gépek védelmére az egyetlen igazán megbízható megoldás a Microsoft által kiadott javítások telepítése és a különféle biztonsági szoftverek (tűzfal és víruskereső) folyamatos futtatása!
2009. ápr. 14. 19:09 - írta Pchardver
A Panda Security első negyedéves jelentéséből kiderül, hogy a trójai és a kémprogramok diadalmenete továbbra is töretlen.
A Panda 2009 első negyedéves jelentése szerint a januártól márciusig terjedő időszakban a trójai programok uralták a számítógépes kártevők világát, ugyanis ezek az új, rosszindulatú programok 73 százalékát tették ki. Szembetűnő a spyware-ek (kémprogramok) előretörése is: a tavalyi év hasonló időszakában megfigyelt 2,5 százalékos növekedési rátához képest az idei érték 13 százalék. "A korábban már többször emlegetett trend továbbra is töretlen" - mondta Sándor Zsolt, a Panda Security magyarországi igazgatója.
Ha nemcsak az új, hanem a már korábban is meglévő kártékony programokat is figyelembe vesszük, akkor is a trójaiak uralják a mezőnyt a maguk 31,51 százalékos részesedésével. A képzeletbeli második helyet a reklámprogramok szerezték meg 21,13 százalékkal.
A Panda 2009 első negyedéves jelentése szerint a januártól márciusig terjedő időszakban a trójai programok uralták a számítógépes kártevők világát, ugyanis ezek az új, rosszindulatú programok 73 százalékát tették ki. Szembetűnő a spyware-ek (kémprogramok) előretörése is: a tavalyi év hasonló időszakában megfigyelt 2,5 százalékos növekedési rátához képest az idei érték 13 százalék. "A korábban már többször emlegetett trend továbbra is töretlen" - mondta Sándor Zsolt, a Panda Security magyarországi igazgatója.
Ha nemcsak az új, hanem a már korábban is meglévő kártékony programokat is figyelembe vesszük, akkor is a trójaiak uralják a mezőnyt a maguk 31,51 százalékos részesedésével. A képzeletbeli második helyet a reklámprogramok szerezték meg 21,13 százalékkal.
A Panda Security szerint a trójai programok és az adware-ek térhódítása oda vezetett, hogy mostanra a pénzügyi motivációjú rosszindulatú programok a fertőzések jóval több, mint felét teszik ki. A legtöbb aktív fertőzéssel "büszkélkedő" ország Tajvan, de Brazília és Törökország sem marad le sokkal e tekintetben.
A jelentésében természetesen a Panda Security is kitért a Conficker féregre. "Jelenleg csak azoknak kell aggódniuk, akiket a vírusirtó szoftvere nem véd a Confickertől" - mondta Sándor Zsolt. "A Panda-szoftvereket felkészítettük egy esetleges újabb támadásra, ugyanakkor számtalan olyan gép van, amelyek védtelenek a Conficker ellen, például a nem megfelelő frissítések, vagy a vírusvédelem teljes hiánya miatt." - tette hozzá a szakember.
2009. ápr. 13. 19:08 - írta Pchardver
A Bankpatch.D trójai rengeteg módosítást hajt végre a fertőzött számítógépeken annak érdekében, hogy minél több bizalmas információhoz férhessen hozzá.
A Bankpatch.D trójai a kiszemelt számítógépeken először jó néhány fájlt hoz létre elsősorban a Windows System könyvtárába, majd különböző rendszerfájlokat fertőz meg. A trójai mindig ügyel arra, hogy lehetőleg ne keltsen gyanút a fertőzött rendszer tulajdonosában, és ennek megfelelően a háttérben igyekszik tevékenykedni. A legfontosabb ismertetőjele, hogy a PC-kről eltávolítja a JAVA-t (amennyiben az korábban már telepítésre került), majd újraindítja a számítógépet.
Az Isidor Biztonsági Központ szerint a trójai elsődleges célja, hogy banki információkat (felhasználóneveket, jelszavakat, stb.) gyűjtsön össze, majd továbbítson a támadók számára. Ennek érdekében különféle módosításokat végez az Internet Explorerben, és folyamatosan figyeli a letöltött banki weboldalakon megadott adatokat. A kártékony program egy billentyűzetfigyelő komponenssel is rendelkezik.
A Bankpatch.D képes a saját kódjának rendszeres frissítésére, valamint különböző titkosítási műveletek végrehajtására.
Amikor a Bankpatch.D trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza az alábbi állományokat:
%System%\pwrcode.dat
%System%\wincode.dat
%System%\krncode.dat
%System%\sysk.tmp
%System%\sysp.tmp
%System%\sysw.tmp
%System%\osysk.dat
%System%\osysp.dat
%System%\osysw.dat
2. Megfertőzi a következő fájlokat:
%System%\kernel32.dll
%System%\powrprof.dll
%System%\wininet.dll
3. Létrehozza az alábbi állományokat:
%System%\nsysk.ini
%System%\nsysp.ini
%System%\nsysw.ini
4. Módosítja a %System%\kernel32.dll-hez, a %System%\wininet.dll-hez és a %System%\powrprof.dll-hez tartozó Windows API-kat:
5. Létrehozza a követő fájlt, amely a trójai kódjának titkosított változatát tartalmazza:
%System%\ldshyf1.old
6. Létrehozza a következő bejegyzéseket a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh\"prh" = "[..."
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\"prd" = "[...]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\"USF" = "06\00SO"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\new
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\w8
7. Végrehajtja az alábbi parancsot, és ezzel eltávolítja a JAVA-t
cmd.exe /c javasw -uninstall
8. Újraindítja a számítógépet.
9. A számítógép újraindulása után folyamatosan figyeli a böngészőben megnyitott banki weboldalakat.
10. Az összegyűjtött információkat feltölti egy távoli webszerverre.
11. Leellenőrzi a google.com lekérdezésével a hálózati kapcsolat megfelelőségét.
12. Összegyűjt bizonyos cookie állományokat, amelyeket az alábbi könyvtárba ment el:
%System%\cock dir
13. Létrehozza a következő könyvtárat:
%System%\xmldm
14. Naplózza a billentyűleütéseket.
15. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\task\[...]\GUID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\task\[...]\FROM
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\task\[...]\UPD
16. Az alábbi állományok révén beregisztrált egy BHO objektumot az Internet Explorerhez:
%System%\[véletlenszerű karakterek].dll
%System%\[véletlenszerű karakterek].txt
17. Letölt egy állományt az Internetről, amellyel frissíti a saját kódját. Ezt a fájlt az alábbiak szerint menti el:
%System%\lodupgd.jpg
A Bankpatch.D trójai a kiszemelt számítógépeken először jó néhány fájlt hoz létre elsősorban a Windows System könyvtárába, majd különböző rendszerfájlokat fertőz meg. A trójai mindig ügyel arra, hogy lehetőleg ne keltsen gyanút a fertőzött rendszer tulajdonosában, és ennek megfelelően a háttérben igyekszik tevékenykedni. A legfontosabb ismertetőjele, hogy a PC-kről eltávolítja a JAVA-t (amennyiben az korábban már telepítésre került), majd újraindítja a számítógépet.
Az Isidor Biztonsági Központ szerint a trójai elsődleges célja, hogy banki információkat (felhasználóneveket, jelszavakat, stb.) gyűjtsön össze, majd továbbítson a támadók számára. Ennek érdekében különféle módosításokat végez az Internet Explorerben, és folyamatosan figyeli a letöltött banki weboldalakon megadott adatokat. A kártékony program egy billentyűzetfigyelő komponenssel is rendelkezik.
A Bankpatch.D képes a saját kódjának rendszeres frissítésére, valamint különböző titkosítási műveletek végrehajtására.
Amikor a Bankpatch.D trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza az alábbi állományokat:
%System%\pwrcode.dat
%System%\wincode.dat
%System%\krncode.dat
%System%\sysk.tmp
%System%\sysp.tmp
%System%\sysw.tmp
%System%\osysk.dat
%System%\osysp.dat
%System%\osysw.dat
2. Megfertőzi a következő fájlokat:
%System%\kernel32.dll
%System%\powrprof.dll
%System%\wininet.dll
3. Létrehozza az alábbi állományokat:
%System%\nsysk.ini
%System%\nsysp.ini
%System%\nsysw.ini
4. Módosítja a %System%\kernel32.dll-hez, a %System%\wininet.dll-hez és a %System%\powrprof.dll-hez tartozó Windows API-kat:
5. Létrehozza a követő fájlt, amely a trójai kódjának titkosított változatát tartalmazza:
%System%\ldshyf1.old
6. Létrehozza a következő bejegyzéseket a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh\"prh" = "[..."
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\"prd" = "[...]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\"USF" = "06\00SO"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\new
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\w8
7. Végrehajtja az alábbi parancsot, és ezzel eltávolítja a JAVA-t
cmd.exe /c javasw -uninstall
8. Újraindítja a számítógépet.
9. A számítógép újraindulása után folyamatosan figyeli a böngészőben megnyitott banki weboldalakat.
10. Az összegyűjtött információkat feltölti egy távoli webszerverre.
11. Leellenőrzi a google.com lekérdezésével a hálózati kapcsolat megfelelőségét.
12. Összegyűjt bizonyos cookie állományokat, amelyeket az alábbi könyvtárba ment el:
%System%\cock dir
13. Létrehozza a következő könyvtárat:
%System%\xmldm
14. Naplózza a billentyűleütéseket.
15. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\task\[...]\GUID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\task\[...]\FROM
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\task\[...]\UPD
16. Az alábbi állományok révén beregisztrált egy BHO objektumot az Internet Explorerhez:
%System%\[véletlenszerű karakterek].dll
%System%\[véletlenszerű karakterek].txt
17. Letölt egy állományt az Internetről, amellyel frissíti a saját kódját. Ezt a fájlt az alábbiak szerint menti el:
%System%\lodupgd.jpg
2009. ápr. 12. 19:07 - írta Pchardver
Az elmúlt hónapokban nagy port kavart Conficker féreg ismét mozgolódni kezdett, és fájlcserélő technikák bevetésével próbálja frissíteni a kódját, illetve tovább terjedni.
A Conficker tavaly november óta több millió PC-t fertőzött meg elsősorban a Windows egyik sebezhetősége révén. Noha a Microsoft már tavaly októberben elérhetővé tette e biztonsági hiba javítását, a rengeteg, nem megfelelően frissített számítógép a kártékony program terjedését segítette elő. Legutóbb április 1-jére harangozták be egyes biztonsági cégek a Conficker aktivizálódását, amely végül nem okozott fennakadásokat. Azonban úgy tűnik, hogy a féreg terjesztői nem elégedtek meg az eddigi tevékenységükkel, és a kártevőjüket ismét munkára "szólították fel".
A Trend Micro és a Websense szerint a Conficker az elmúlt napokban egy frissítést kapott. Ez azonban nem weboldalakon keresztül kerül rá a fertőzött rendszerekre, hanem P2P (Peer-to-Peer) technikák révén terjed. Ennek elsősorban az az oka, hogy a Conficker ellen küzdő szervezetek több lépést is tettek annak érdekében, hogy megakadályozzák a Conficker weben keresztüli térhódítását. Ugyan ez a féreg által kezelt, 50 ezer domain nevet tartalmazó lista miatt teljes mértékben nem vezetett célra, ennek ellenére a Conficker készítői mégis a P2P technikák mellett tették le a voksukat.
Rik Ferguson, a Trend Micro biztonsági szakértője szerint a Conficker egy olyan bináris állománnyal egészült ki, amely néhány újabb, de még mindig főként terjedési célokat szolgáló művelet végrehajtását teszi lehetővé. A frissítés révén a Conficker - a MySpace.com, az MSN.com, az Ebay.com, a CNN.com és az AOL.com - weboldalak lekérdezésével meggyőződik arról, hogy rendelkezik-e megfelelő internet kapcsolattal, majd újabb, sebezhető PC-ket kezd el keresni. A Trend Micro vizsgálataiból kiderült, hogy a féreg az új funkcióját május 3-án inaktiválni fogja, de a károkozótól megszokott titokzatosság miatt egyelőre nem lehet tudni, hogy ezt miért teszi. Elképzelhető, hogy május elején új feladatokkal bízzák majd meg a terjesztői.
Rik Ferguson egy másik aggasztó tényre is felhívta a figyelmet a Conficker kapcsán. A szakember ugyanis úgy véli, hogy a féreg által eddig kiépített, nagy kiterjedésű botnet összekapcsolódhat egyéb kártékony programokhoz tartozó hálózatokkal. A Conficker legutóbbi variánsa ugyanis olyan domaint is használ, amely eddig a Waledec botnethez volt köthető. Ebből Ferguson arra következtetett, hogy a Conficker mögött álló csoportok botnetek egyesítésén mesterkednek.
Az Isidor Biztonsági Központ nem sokkal ezelőtt közzétette a Conficker (Downadup) legújabb variánsának technikai leírását.
A Conficker tavaly november óta több millió PC-t fertőzött meg elsősorban a Windows egyik sebezhetősége révén. Noha a Microsoft már tavaly októberben elérhetővé tette e biztonsági hiba javítását, a rengeteg, nem megfelelően frissített számítógép a kártékony program terjedését segítette elő. Legutóbb április 1-jére harangozták be egyes biztonsági cégek a Conficker aktivizálódását, amely végül nem okozott fennakadásokat. Azonban úgy tűnik, hogy a féreg terjesztői nem elégedtek meg az eddigi tevékenységükkel, és a kártevőjüket ismét munkára "szólították fel".
A Trend Micro és a Websense szerint a Conficker az elmúlt napokban egy frissítést kapott. Ez azonban nem weboldalakon keresztül kerül rá a fertőzött rendszerekre, hanem P2P (Peer-to-Peer) technikák révén terjed. Ennek elsősorban az az oka, hogy a Conficker ellen küzdő szervezetek több lépést is tettek annak érdekében, hogy megakadályozzák a Conficker weben keresztüli térhódítását. Ugyan ez a féreg által kezelt, 50 ezer domain nevet tartalmazó lista miatt teljes mértékben nem vezetett célra, ennek ellenére a Conficker készítői mégis a P2P technikák mellett tették le a voksukat.
Rik Ferguson, a Trend Micro biztonsági szakértője szerint a Conficker egy olyan bináris állománnyal egészült ki, amely néhány újabb, de még mindig főként terjedési célokat szolgáló művelet végrehajtását teszi lehetővé. A frissítés révén a Conficker - a MySpace.com, az MSN.com, az Ebay.com, a CNN.com és az AOL.com - weboldalak lekérdezésével meggyőződik arról, hogy rendelkezik-e megfelelő internet kapcsolattal, majd újabb, sebezhető PC-ket kezd el keresni. A Trend Micro vizsgálataiból kiderült, hogy a féreg az új funkcióját május 3-án inaktiválni fogja, de a károkozótól megszokott titokzatosság miatt egyelőre nem lehet tudni, hogy ezt miért teszi. Elképzelhető, hogy május elején új feladatokkal bízzák majd meg a terjesztői.
Rik Ferguson egy másik aggasztó tényre is felhívta a figyelmet a Conficker kapcsán. A szakember ugyanis úgy véli, hogy a féreg által eddig kiépített, nagy kiterjedésű botnet összekapcsolódhat egyéb kártékony programokhoz tartozó hálózatokkal. A Conficker legutóbbi variánsa ugyanis olyan domaint is használ, amely eddig a Waledec botnethez volt köthető. Ebből Ferguson arra következtetett, hogy a Conficker mögött álló csoportok botnetek egyesítésén mesterkednek.
Az Isidor Biztonsági Központ nem sokkal ezelőtt közzétette a Conficker (Downadup) legújabb variánsának technikai leírását.
2009. ápr. 11. 22:12 - írta Pchardver
Egyre több borsot törhetnek majd a mobilhasználók orra alá azok az SMS-ben terjedő kártevők, melyek egyik első alfaja az első negyedévben kezdett terjedni világszerte -- hívja fel a figyelmet időszaki biztonsági jelentésében az F-Secure.Az elsősorban Kínában terjedő, de a világ több országában is fertőző SymbOS/Yxe SMS-kártevő a Symbian Series 60-as platformra épülő készülékekre, azaz jellemzően a Nokia újabb okostelefonjaira jelent veszélyt. A fertőzött SMS egy szexuális jellegű tartalmakat és sztárpletykákat ígérő weboldal linkjét tartalmazza, amelyre elnavigálva a telefon böngészője letölti magát a kártevőt.
Az első SMS-ben terjedő kártevő szakértők szerint azért is jelent különösen komoly veszélyforrást, mert telepítéskor képes megkerülni az operációs rendszer eddig biztonságosnak hitt tanúsítvány-ellenőrző rendszerét. A SymbOS/Yxe ugyanakkor nem jelent közvetlen veszélyt a telefonon tárolt adatokra, vagy az operációs rendszer integritására. A kártevő alapvetően két funkciót tölt be: egyrészt véletlenszerűen elküldi magát SMS-ben a telefonkönyvben szereplő számokra, másrészt egy adatbázisba menti a fertőzött telefon hívószámát. Ezt az adatbázist a későbbiekben jellemzően SMS-spamek küldésére használják fel.
A Symbian Series 60-ra épülő Nokia okostelefonok üzenetkezelési rendszerét korábban is lehetett támadni, igaz, más módszerekkel. Egy a tavalyi év utolsó napjaiban felfedezett támadás lényegében szolgáltatásmegtagadásra kényszeríti és megbénítja a telefon üzenetkezelő rendszerét, amely így SMS-eket és MMS-eket sem fogad, de egyébként a készülék továbbra is működik és a felhasználó nem is szerez tudomást arról, hogy az üzenetfogadás szolgáltatás megállt.
A támadás kivitelezéséhez ráadásul nincs szükség semmiféle speciális ismeretre, szinte bármilyen mobiltelefonról elküldhető a speciális karaktersort tartalmazó SMS.
Az első SMS-ben terjedő kártevő szakértők szerint azért is jelent különösen komoly veszélyforrást, mert telepítéskor képes megkerülni az operációs rendszer eddig biztonságosnak hitt tanúsítvány-ellenőrző rendszerét. A SymbOS/Yxe ugyanakkor nem jelent közvetlen veszélyt a telefonon tárolt adatokra, vagy az operációs rendszer integritására. A kártevő alapvetően két funkciót tölt be: egyrészt véletlenszerűen elküldi magát SMS-ben a telefonkönyvben szereplő számokra, másrészt egy adatbázisba menti a fertőzött telefon hívószámát. Ezt az adatbázist a későbbiekben jellemzően SMS-spamek küldésére használják fel.
A Symbian Series 60-ra épülő Nokia okostelefonok üzenetkezelési rendszerét korábban is lehetett támadni, igaz, más módszerekkel. Egy a tavalyi év utolsó napjaiban felfedezett támadás lényegében szolgáltatásmegtagadásra kényszeríti és megbénítja a telefon üzenetkezelő rendszerét, amely így SMS-eket és MMS-eket sem fogad, de egyébként a készülék továbbra is működik és a felhasználó nem is szerez tudomást arról, hogy az üzenetfogadás szolgáltatás megállt.
A támadás kivitelezéséhez ráadásul nincs szükség semmiféle speciális ismeretre, szinte bármilyen mobiltelefonról elküldhető a speciális karaktersort tartalmazó SMS.
2009. ápr. 11. 19:04 - írta Pchardver
A Downadup vagy más néven a Conficker féreg egy újabb variáns formájában kezdte ostromolni a számítógépeket, miközben az előző variánsai sem szorulnak háttérbe.
A Downadup féreg legújabb, "E" betűjelű variánsának megjelenése miatt az Isidor Biztonsági Központ egy riasztást adott ki, amelyben a Symantec vizsgálataira alapozva közzétette a kártékony programra vonatkozó legfontosabb technikai részleteket.
A Downadup.E - hasonlóan az eddig felbukkant variánsaihoz - elsősorban a Windows Kiszolgáló szolgáltatásában rejlő sérülékenységet igyekszik kihasználni. Fontos megjegyezni, hogy ezt a biztonsági hibát a Microsoft az MS08-067-es közleményének keretében már tavaly október 23-án orvosolta, így a javítások telepítésével és megfelelően frissített víruskeresővel a féreg elleni védekezés meglehetősen hatékonyan kivitelezhető.
A Downadup. E féreg fontos jellemzője, hogy a fertőzött rendszereken egy HTTP szervert hoz létre, amelyet egy véletlenszerűen kiválasztott TCP porton keresztül futtat. Eközben további sebezhető PC-k után kutat, és megpróbálja a saját szolgáltatása révén azokra eljuttatni a saját állományait. Vagyis a féreg nem előre meghatározott szerverekről töltögeti le a kódjait, ami az ellene folyó védekezést jelentősen megnehezítheti. Ráadásul a kártevő annak érdekében is mindent megtesz, hogy a különféle hálózati eszközök és tűzfalak se akadályozzák a működését.
A Downadup.E a saját fájljait május 3-án automatikusan eltávolítja a fertőzött számítógépekről. Azonban ezelőtt gondoskodik arról, hogy a "C" betűjelű variánsát feltelepítse a rendszerekre, amely május 3. után is a PC-ken marad.
Amikor a Downadup.E féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Temp%\[véletlenszerű fájlnév].exe
%System%\0[véletlenszerű fájlnév].tmp
2. Módosítja a következő fájlt:
%System%\drivers\tcpip.sys
3. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections" = "00FFFFFE"
4. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Applets\"ds" = [...]
HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Applets\"ds" = [...]
5. Betölt egy titkosított DLL állományt a memóriába.
6. Létrehozza a következő fájlt, amellyel tulajdonképpen a Downadup.C féreg állományát másolja fel a számítógépre:
%System%\000[véletlenszerű fájlnév].tmp
7. Leellenőrzi a regisztrációs adatbázis alábbi kulcsainak meglétét:
HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Applets\"xl"
HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Applets\"xl"
8. Megpróbál távoli szerverekhez kapcsolódni, és IP címet lekérdezni.
9. Létrehoz egy HTTP szervert egy véletlenszerűen kiválasztott TCP porton keresztül, majd megpróbál erről más rendszereknek értesítést küldeni. Amennyiben ez sikerül, akkor a távoli számítógép csatlakozik az eredeti rendszerhez, majd letöltődnek a féreg fájljai.
10. Megpróbál egy UPnP routerhez kapcsolódni, majd azon engedélyezni egy HTTP portot.
11. Megpróbál olyan hálózati eszközökhöz csatlakozni, amelyek átjáróként funkcionálnak az Internet felé, majd azokon igyekszik kinyitni az előzőleg véletlenszerűen generált portot, és ezzel elérhetővé tenni a saját HTTP szolgáltatását.
12. A terjedése során megkísérli kihasználni a Windows Server Service sérülékenységét.
13. Meghatározott időközönként csatlakozik az alábbi weboldalakhoz, és leellenőrzi az Internetes kapcsolat sebességét:
http://myspace.com
http://msn.com
http://ebay.com
http://cnn.com
http://aol.com
14. Május 3-án a rendszer indítása vagy újraindítása után eltávolítja saját magát, viszont a korábban feltelepített Downadup.C féreg továbbra is a fertőzött számítógépeken marad.
A Downadup féreg legújabb, "E" betűjelű variánsának megjelenése miatt az Isidor Biztonsági Központ egy riasztást adott ki, amelyben a Symantec vizsgálataira alapozva közzétette a kártékony programra vonatkozó legfontosabb technikai részleteket.
A Downadup.E - hasonlóan az eddig felbukkant variánsaihoz - elsősorban a Windows Kiszolgáló szolgáltatásában rejlő sérülékenységet igyekszik kihasználni. Fontos megjegyezni, hogy ezt a biztonsági hibát a Microsoft az MS08-067-es közleményének keretében már tavaly október 23-án orvosolta, így a javítások telepítésével és megfelelően frissített víruskeresővel a féreg elleni védekezés meglehetősen hatékonyan kivitelezhető.
A Downadup. E féreg fontos jellemzője, hogy a fertőzött rendszereken egy HTTP szervert hoz létre, amelyet egy véletlenszerűen kiválasztott TCP porton keresztül futtat. Eközben további sebezhető PC-k után kutat, és megpróbálja a saját szolgáltatása révén azokra eljuttatni a saját állományait. Vagyis a féreg nem előre meghatározott szerverekről töltögeti le a kódjait, ami az ellene folyó védekezést jelentősen megnehezítheti. Ráadásul a kártevő annak érdekében is mindent megtesz, hogy a különféle hálózati eszközök és tűzfalak se akadályozzák a működését.
A Downadup.E a saját fájljait május 3-án automatikusan eltávolítja a fertőzött számítógépekről. Azonban ezelőtt gondoskodik arról, hogy a "C" betűjelű variánsát feltelepítse a rendszerekre, amely május 3. után is a PC-ken marad.
Amikor a Downadup.E féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Temp%\[véletlenszerű fájlnév].exe
%System%\0[véletlenszerű fájlnév].tmp
2. Módosítja a következő fájlt:
%System%\drivers\tcpip.sys
3. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections" = "00FFFFFE"
4. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Applets\"ds" = [...]
HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Applets\"ds" = [...]
5. Betölt egy titkosított DLL állományt a memóriába.
6. Létrehozza a következő fájlt, amellyel tulajdonképpen a Downadup.C féreg állományát másolja fel a számítógépre:
%System%\000[véletlenszerű fájlnév].tmp
7. Leellenőrzi a regisztrációs adatbázis alábbi kulcsainak meglétét:
HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Applets\"xl"
HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Applets\"xl"
8. Megpróbál távoli szerverekhez kapcsolódni, és IP címet lekérdezni.
9. Létrehoz egy HTTP szervert egy véletlenszerűen kiválasztott TCP porton keresztül, majd megpróbál erről más rendszereknek értesítést küldeni. Amennyiben ez sikerül, akkor a távoli számítógép csatlakozik az eredeti rendszerhez, majd letöltődnek a féreg fájljai.
10. Megpróbál egy UPnP routerhez kapcsolódni, majd azon engedélyezni egy HTTP portot.
11. Megpróbál olyan hálózati eszközökhöz csatlakozni, amelyek átjáróként funkcionálnak az Internet felé, majd azokon igyekszik kinyitni az előzőleg véletlenszerűen generált portot, és ezzel elérhetővé tenni a saját HTTP szolgáltatását.
12. A terjedése során megkísérli kihasználni a Windows Server Service sérülékenységét.
13. Meghatározott időközönként csatlakozik az alábbi weboldalakhoz, és leellenőrzi az Internetes kapcsolat sebességét:
http://myspace.com
http://msn.com
http://ebay.com
http://cnn.com
http://aol.com
14. Május 3-án a rendszer indítása vagy újraindítása után eltávolítja saját magát, viszont a korábban feltelepített Downadup.C féreg továbbra is a fertőzött számítógépeken marad.
2009. ápr. 10. 8:16 - írta Pchardver
Ráadásul az e-mailek 97 százalékát biztosan nem fogadjuk szívesen.A magukat víruskeresőknek és egyéb biztonságtechnikai programoknak álcázó szoftverek (scanware-ek) és az alkalmazások kódjában rejlő biztonsági hibákat kihasználó exploitok száma 2008 második felében is bőven okozott kényelmetlenségeket az óvatlan felhasználóknak, állapítja meg a Microsoft friss jelentése.
A kamu biztonságtechnikai programok leggyakrabban ingyenes víruskeresési lehetőséget ajánlanak fel, de természetesen az égvilágon semmi hasznuk sincsen, sőt: látszólag végrehajtják ugyan a szkennelést, de a valóságban bármilyen gépre is telepítjük fel őket, mindig „kapást” fognak jelezni. A szakértők arra a meglehetősen kézenfekvő megállapításra jutottak, hogy az ilyen szoftverek írói jórészt csupán nyerészkedni szeretnének a mű rendszervizsgálat eredményére épülő marketingből (vírust találtam, vegyél meg, irtsd le), de a sötétebb szándékú programozók sajnos nem állnak meg ezen a ponton: trójai programokat rejtenek el az álvírusirtó kódjában, amelyeket később akár a fertőzött rendszer feletti irányítás átvételére is használhatnak. A jelentésben az áll, hogy Microsoft több mint hárommillió számítógépen fedezett fel ilyen víruskeresőnek álcázott kártékony programokat, mint például a Win32/FakeXPA és a Win32/FakeSecSen nevű kártevőket.
A klasszikus átverés pillanata
A szoftverekben felfedezett biztonsági rések száma három százalékkal csökkent a tavalyi év második felében, a hibák több mint fele viszont „nagyon súlyos” minősítést kapott, valamint ugyancsak a teljes hibapaletta fele tekinthető könnyedén kihasználhatónak – vagyis a felhasználók összességében kevésbé érezhették magukat biztonságban. Már csak azért sincs ok a nyugalomra, mert – mint kiderül a jelentésből – az e-mailek legalább 97 százaléka adathalász levél, vírusos mellékletet tartalmaz vagy legjobb esetben is csupán spam.
2008 második felében a Microsoft 42 biztonsági értesítőt publikált, amelyek összességében 97 sebezhetőségre hívják fel a figyelmet – ez 67 százalékos növekedést jelent a tavalyi év megelőző időszakához képest, és 16,8 százalékos emelkedést a 2007-es év egészéhez viszonyítva. A Windows XP-t futtató számítógépeket vizsgálva a redmondi cég termékei közül hat is felkerült a böngészőalkalmazásokat érintő sérülékenységek top 10-es listájára, ugyanakkor a Vista esetében ilyen problémával nem kellett a cégnek szembesülnie.
Az Office-t szemügyre véve a legtöbb exploit egy olyan résre épült, melyet a Microsoft már bő két éve befoltozott, mégis a támadók 91 százaléka e lyukon keresztül volt képes kárt okozni. A dokumentum kiemeli, hogy a PDF fájlok elleni támadások meredek emelkedéssel 2008 júliusában érték el a csúcspontot, amikor is kétszer annyi kiberattakot regisztráltak az Adobe állományai ellen, mint a 2008-as év teljes első felében.
2009. ápr. 9. 19:03 - írta Pchardver
A Banker.LSL trójai elsődleges célja, hogy minél több bizalmas adatot zsákmányoljon a fertőzött számítógépekről.
A Banker.LSL egy tipikus adatlopó trójai, amely a felhasználók bizalmas információnak kiszivárogtatására, illetve illetéktelen kezekbe juttatására törekszik. A kártékony program gondosan ügyel arra, hogy a fertőzött számítógépeken a lehető legtovább tudjon rejtve maradni, ezért megpróbálja elrejteni a saját állományait.
A Banker.LSL a kiszemelt rendszereken megpróbálja leállítani a biztonsági alkalmazásokat beleértve az antivírus és a tűzfal szoftvereket is. Ezzel további jelentős veszélynek teszi ki a már amúgy is fertőzött számítógépeket. Mindeközben arról is gondoskodik, hogy további rendszerekre is fel tudjon kerülni. Ennek érdekében véletlenszerűen IP-címeket kezd el generálni, és olyan számítógépeket keres a hálózaton, amelyek szoftveres sebezhetőségeket is tartalmaznak. A trójai ezek kihasználásával igyekszik rámásolni a saját állományait a távoli PC-kre.
A Banker.LSL elsősorban bizalmas adatok, felhasználónevek és jelszavak eltulajdonítására valamint képernyőképek készítésére alkalmas.
Amikor a Banker.LSL trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Feltelepíti a saját állományait a kiszemelt rendszerekre.
2. A saját telepítő programját eltávolítja a számítógépről.
3. Megpróbálja elrejteni a feltelepített állományait a Windowsban történő jogosultságmódosítások révén.
4. Bizalmas információkat gyűjt össze egy windowsos szolgáltatás segítségével.
5. Megpróbálja leállítani a biztonsági szoftvereket beleértve az antivírus és a tűzfal alkalmazásokat is.
6. Megpróbál különféle sérülékenységek révén tovább terjedni. Véletlenszerűen generált IP-címeket használ ahhoz, hogy további, sebezhető rendszereket találjon. Amennyiben ez siker számára, akkor azokra a számítógépekre is felmásolja a saját állományát.
A Banker.LSL egy tipikus adatlopó trójai, amely a felhasználók bizalmas információnak kiszivárogtatására, illetve illetéktelen kezekbe juttatására törekszik. A kártékony program gondosan ügyel arra, hogy a fertőzött számítógépeken a lehető legtovább tudjon rejtve maradni, ezért megpróbálja elrejteni a saját állományait.
A Banker.LSL a kiszemelt rendszereken megpróbálja leállítani a biztonsági alkalmazásokat beleértve az antivírus és a tűzfal szoftvereket is. Ezzel további jelentős veszélynek teszi ki a már amúgy is fertőzött számítógépeket. Mindeközben arról is gondoskodik, hogy további rendszerekre is fel tudjon kerülni. Ennek érdekében véletlenszerűen IP-címeket kezd el generálni, és olyan számítógépeket keres a hálózaton, amelyek szoftveres sebezhetőségeket is tartalmaznak. A trójai ezek kihasználásával igyekszik rámásolni a saját állományait a távoli PC-kre.
A Banker.LSL elsősorban bizalmas adatok, felhasználónevek és jelszavak eltulajdonítására valamint képernyőképek készítésére alkalmas.
Amikor a Banker.LSL trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Feltelepíti a saját állományait a kiszemelt rendszerekre.
2. A saját telepítő programját eltávolítja a számítógépről.
3. Megpróbálja elrejteni a feltelepített állományait a Windowsban történő jogosultságmódosítások révén.
4. Bizalmas információkat gyűjt össze egy windowsos szolgáltatás segítségével.
5. Megpróbálja leállítani a biztonsági szoftvereket beleértve az antivírus és a tűzfal alkalmazásokat is.
6. Megpróbál különféle sérülékenységek révén tovább terjedni. Véletlenszerűen generált IP-címeket használ ahhoz, hogy további, sebezhető rendszereket találjon. Amennyiben ez siker számára, akkor azokra a számítógépekre is felmásolja a saját állományát.
2009. ápr. 9. 8:12 - írta Pchardver
Infobiztonsági visszatekintés a 2008-as évre egy szoftveróriás szemszögéből.A Microsoft cég által nemrég közzétett, elsősorban 2008. második félévére összpontosító adatbiztonsági visszatekintés első helyen a kamu biztonsági szoftverek (ún. rogue code) problémájára hívja fel a figyelmet a Windows felhasználókra leselkedő veszélyek közül.
Ezek az ingyen letölthető termékek még tiszta gépen is számos nem létező fertőzésre hívják fel a figyelmet, valódi kártevőkkel szemben viszont megvásárlás után is hatástalanok - ebből a csalárd üzletből tehát csak a terjesztők profitálnak, de ők nagyon. Ez érthetővé teszi, hogy a Microsoft labor által nyilvántartott 25 legjelentősebb biztonsági fenyegetés közül 7 jelenleg a csaló programokkal kapcsolatos.
A szoftveróriás mérései szerint a elterjedtebb hamis kémprogramirtó változatok közé tartozó XP Antivirus és a Windows Antivirus 2009 galád programok 2008. második felében legalább 3 millió számítógépet fertőztek meg és ehhez járul még a SpyAxe/SpySheriff csalássorozatot kiszolgáló Renos letöltőprogram, amelyet további 4,4 millió rendszeren találták meg és mentesítettek a Microsoft Update felhasználói.
Sportszerűtlen ellenfelet nehéz legyőzni
A "rogue" telepítések számának drasztikus mértékű, a tavalyi év első feléhez képest 67%-os növekedése elsősorban annak "köszönhető", hogy megtévesztésre törekvő készítőik gátlástalanul visszaélnek a jó hírű gyártók márkanevével és a trójai kódok egyre pontosabban imitálják a Windows biztonsági központjának grafikai megjelenését.
A Microsoft víruslaborja válaszként beépíti az ilyen hamis szoftverek felismerését és eltávolítását a Windows Update szolgáltatás részeként települő MSRT mini vírusirtó program legfrissebb változataiba. Jogi úton is fellépnek a jelenség ellen: 2008. szeptemberében nyolc pert kezdeményeztek Washington állam ügyészségén a csalók kézre kerítése érdekében.
A küzdelem azonban nem ígérkezik egyszerűnek, mert a hamisítványokra bőven van kereslet. Egy valódi kártevő, a több millió otthoni gépet uralma alatt tartó Downadup (Conficker) féreg tavaly év vége óta hatékonyan akadályozza a valódi védelmi szoftverek működését, ráadásul egyes médiaszereplők és infobiztonsági cégek pánikkeltéssel határos hírverést csaptak az ügy körül.
A felhasználók körében emiatt folyamatosan nő a biztonsági csodaszerek iránti igény, sokan már az első ilyen témájú keresési találatra rákattintanak és áldozatul esnek a Conficker-mizériát kihasználó galád szoftvereknek - ahelyett, hogy hiteles, szakszerű forrásból tájékozódnának.
Mindent törnek, amit csak érnek
Tavaly a hagyományos, nyíltan kártékony ártó kódok és sebezhetőségek területén is tovább romlott a helyzet: 155 új Windows sebezhetőséget fedeztek fel, ami az egész tavalyi évet tekintve 17%-os növekedést jelent 2007-hez viszonyítva.
A kedvezőtlen trend azonban 2008. közepétől megállni látszik, az utolsó hat hónapban már 3%-kal csökkent az új sebezhetőségek száma - a biztonsági hibák több mint fele (54%) azonban még mindig a legsúlyosabb veszélyt hordozó és hackelésre könnyen felhasználható kategóriákba tartozik a CVSS pontrendszer alapján.
A Microsoft kutatólaborja szerint a saját szoftvereiket érintő támadások nem feltétlenül a legújabb generációt képviselik. Az Office irodai programot célzó hackereszközök például 10-ből 9 esetben még mindig a több mint két éve befoltozott, MS06-27 jelű sebezhetőséget használják fel a rendszerbe való bejutáshoz - ez arra utal, hogy a felhasználók nem foglalkoznak a gépeik karbantartásával és az automata frissítést sem engedik működni, így nem is élveznek védelmet.
A megszokott helyzet csak lassan változik: a neten legelterjedtebbnek számító, Windows XP alapú konfigurációkat tíz esetből hatszor még mindig Microsoft szoftverek hibáin keresztül fertőzik meg a hackerek által uralt weblapok - egyre gyakoribb viszont, hogy a támadók harmadik fél által gyártott programok sebezhetőségeit kihasználva jutnak be a gépbe.
Mindenütt jelenlévő szoftver segíti a hackereket
A külső szoftvergyártók termékei közül az Adobe cég netes szabványnak számító Acrobat termékcsaládja van különösen nagy veszélynek kitéve. A legelterjedtebb .PDF formátumú dokumentum-olvasó és kezelő szoftverben tavaly több súlyos biztonsági hibát is találtak, így nem csoda, hogy a nyáron robbanásszerűen megnövekedett az ellene irányuló támadások száma. A Microsoft laborja csak 2008. júliusában több Adobe Acrobat Reader tárgyú incidenst észlelt, mint előtte az egész első félévben!
A helyzet súlyossága időközben még a hagyományosan gyártósemleges hozzáállást tanúsító antivírus-gyártókat is megszólalásra késztette. Mikko Hypponen, a finn F-Secure cég kutatásvezetője március elején öt alternatív PDF-olvasó programot sorolt fel weblogjában - azt javasolva az olvasóknak, hogy ezek közül akár véletlenszerűen válasszanak egyet saját használatra, mert a tömeges, egy kaptafára készülő támadásoknak csak a "szoftver monokultúra" megszüntetésével vethetünk véget.
Ma már a célzott támadás is lehet tömeges
A szokatlanul egyértelmű állásfoglalás hátterében komoly indokok húzódnak meg, az irodai és alkalmazói programokban található rések ugyanis kiválóan alkalmasak célzott támadások elkövetésére. A felhasználók kevésbé gyanakodnak vírusveszélyre, ha dokumentum jellegű fájlt kapnak levélben és a megtévesztésen alapuló támadások szokásos kellékei (pl. ismerős személynév vagy témamegjelölés a tárgysorban) sokkal hihetőbbé tehetik ezeket a kísérleteket.
Az utóbbi hetekben nagy hangsúlyt kapott, hogy kínai, állítólag kormányzati támogatást is élvező hacker-csoportok egy GhostNet elnevezésű akció keretében a világ 103 országában számos kormányhivatal, nagykövetség és emigráns politikai szervezet számítógépeibe jutottak be dokumentum jellegű - Acrobat, Excel vagy Word fájlban elrejtett exploit támadókódon alapuló - módszerrel. Egyes hírek szerint már az amerikai távvezeték-hálózat teherelosztó rendszerének vezérlését is feltörték kínai vagy orosz hackerek.
Az USA a kártékony kódot nem igénylő elektronikus bűncselekmények terén is jócskán érintett - a Microsoft beszámolója szerint Texas államban üzemeltetik a világon a legtöbb adathalászatra specializálódott, ún. phishing webhelyet. Az illegális online tevékenység általános fellendülését látva nem érdemes csodálkozni azon, hogy a kutatók szerint ma már minden száz levélből csak kevesebb, mint három tekinthető értékesnek - a maradék 97% kéretlen reklámüzenetet, kártékony kódot, adathalász próbálkozást vagy egyéb csalási kísérletet hordoz.
Ezek az ingyen letölthető termékek még tiszta gépen is számos nem létező fertőzésre hívják fel a figyelmet, valódi kártevőkkel szemben viszont megvásárlás után is hatástalanok - ebből a csalárd üzletből tehát csak a terjesztők profitálnak, de ők nagyon. Ez érthetővé teszi, hogy a Microsoft labor által nyilvántartott 25 legjelentősebb biztonsági fenyegetés közül 7 jelenleg a csaló programokkal kapcsolatos.
A szoftveróriás mérései szerint a elterjedtebb hamis kémprogramirtó változatok közé tartozó XP Antivirus és a Windows Antivirus 2009 galád programok 2008. második felében legalább 3 millió számítógépet fertőztek meg és ehhez járul még a SpyAxe/SpySheriff csalássorozatot kiszolgáló Renos letöltőprogram, amelyet további 4,4 millió rendszeren találták meg és mentesítettek a Microsoft Update felhasználói.
Sportszerűtlen ellenfelet nehéz legyőzni
A "rogue" telepítések számának drasztikus mértékű, a tavalyi év első feléhez képest 67%-os növekedése elsősorban annak "köszönhető", hogy megtévesztésre törekvő készítőik gátlástalanul visszaélnek a jó hírű gyártók márkanevével és a trójai kódok egyre pontosabban imitálják a Windows biztonsági központjának grafikai megjelenését.
A Microsoft víruslaborja válaszként beépíti az ilyen hamis szoftverek felismerését és eltávolítását a Windows Update szolgáltatás részeként települő MSRT mini vírusirtó program legfrissebb változataiba. Jogi úton is fellépnek a jelenség ellen: 2008. szeptemberében nyolc pert kezdeményeztek Washington állam ügyészségén a csalók kézre kerítése érdekében.
A küzdelem azonban nem ígérkezik egyszerűnek, mert a hamisítványokra bőven van kereslet. Egy valódi kártevő, a több millió otthoni gépet uralma alatt tartó Downadup (Conficker) féreg tavaly év vége óta hatékonyan akadályozza a valódi védelmi szoftverek működését, ráadásul egyes médiaszereplők és infobiztonsági cégek pánikkeltéssel határos hírverést csaptak az ügy körül.
A felhasználók körében emiatt folyamatosan nő a biztonsági csodaszerek iránti igény, sokan már az első ilyen témájú keresési találatra rákattintanak és áldozatul esnek a Conficker-mizériát kihasználó galád szoftvereknek - ahelyett, hogy hiteles, szakszerű forrásból tájékozódnának.
Mindent törnek, amit csak érnek
Tavaly a hagyományos, nyíltan kártékony ártó kódok és sebezhetőségek területén is tovább romlott a helyzet: 155 új Windows sebezhetőséget fedeztek fel, ami az egész tavalyi évet tekintve 17%-os növekedést jelent 2007-hez viszonyítva.
A kedvezőtlen trend azonban 2008. közepétől megállni látszik, az utolsó hat hónapban már 3%-kal csökkent az új sebezhetőségek száma - a biztonsági hibák több mint fele (54%) azonban még mindig a legsúlyosabb veszélyt hordozó és hackelésre könnyen felhasználható kategóriákba tartozik a CVSS pontrendszer alapján.
A Microsoft kutatólaborja szerint a saját szoftvereiket érintő támadások nem feltétlenül a legújabb generációt képviselik. Az Office irodai programot célzó hackereszközök például 10-ből 9 esetben még mindig a több mint két éve befoltozott, MS06-27 jelű sebezhetőséget használják fel a rendszerbe való bejutáshoz - ez arra utal, hogy a felhasználók nem foglalkoznak a gépeik karbantartásával és az automata frissítést sem engedik működni, így nem is élveznek védelmet.
A megszokott helyzet csak lassan változik: a neten legelterjedtebbnek számító, Windows XP alapú konfigurációkat tíz esetből hatszor még mindig Microsoft szoftverek hibáin keresztül fertőzik meg a hackerek által uralt weblapok - egyre gyakoribb viszont, hogy a támadók harmadik fél által gyártott programok sebezhetőségeit kihasználva jutnak be a gépbe.
Mindenütt jelenlévő szoftver segíti a hackereket
A külső szoftvergyártók termékei közül az Adobe cég netes szabványnak számító Acrobat termékcsaládja van különösen nagy veszélynek kitéve. A legelterjedtebb .PDF formátumú dokumentum-olvasó és kezelő szoftverben tavaly több súlyos biztonsági hibát is találtak, így nem csoda, hogy a nyáron robbanásszerűen megnövekedett az ellene irányuló támadások száma. A Microsoft laborja csak 2008. júliusában több Adobe Acrobat Reader tárgyú incidenst észlelt, mint előtte az egész első félévben!
A helyzet súlyossága időközben még a hagyományosan gyártósemleges hozzáállást tanúsító antivírus-gyártókat is megszólalásra késztette. Mikko Hypponen, a finn F-Secure cég kutatásvezetője március elején öt alternatív PDF-olvasó programot sorolt fel weblogjában - azt javasolva az olvasóknak, hogy ezek közül akár véletlenszerűen válasszanak egyet saját használatra, mert a tömeges, egy kaptafára készülő támadásoknak csak a "szoftver monokultúra" megszüntetésével vethetünk véget.
Ma már a célzott támadás is lehet tömeges
A szokatlanul egyértelmű állásfoglalás hátterében komoly indokok húzódnak meg, az irodai és alkalmazói programokban található rések ugyanis kiválóan alkalmasak célzott támadások elkövetésére. A felhasználók kevésbé gyanakodnak vírusveszélyre, ha dokumentum jellegű fájlt kapnak levélben és a megtévesztésen alapuló támadások szokásos kellékei (pl. ismerős személynév vagy témamegjelölés a tárgysorban) sokkal hihetőbbé tehetik ezeket a kísérleteket.
Az utóbbi hetekben nagy hangsúlyt kapott, hogy kínai, állítólag kormányzati támogatást is élvező hacker-csoportok egy GhostNet elnevezésű akció keretében a világ 103 országában számos kormányhivatal, nagykövetség és emigráns politikai szervezet számítógépeibe jutottak be dokumentum jellegű - Acrobat, Excel vagy Word fájlban elrejtett exploit támadókódon alapuló - módszerrel. Egyes hírek szerint már az amerikai távvezeték-hálózat teherelosztó rendszerének vezérlését is feltörték kínai vagy orosz hackerek.
Az USA a kártékony kódot nem igénylő elektronikus bűncselekmények terén is jócskán érintett - a Microsoft beszámolója szerint Texas államban üzemeltetik a világon a legtöbb adathalászatra specializálódott, ún. phishing webhelyet. Az illegális online tevékenység általános fellendülését látva nem érdemes csodálkozni azon, hogy a kutatók szerint ma már minden száz levélből csak kevesebb, mint három tekinthető értékesnek - a maradék 97% kéretlen reklámüzenetet, kártékony kódot, adathalász próbálkozást vagy egyéb csalási kísérletet hordoz.
2009. ápr. 8. 19:01 - írta Pchardver
A Neeris.C féreg számos módon próbálja ostromolni a számítógépeket, miközben azokon egy hátsó kaput nyit, majd türelmesen várakozik a támadók parancsaira.
A Neeris.C féreg készítői semmit sem bíztak a véletlenre, hiszen a kártékony programjukat számtalan terjedési módszerrel vértezték fel. Ezek közül a leginkább említésre méltó az MS08-067-es biztonsági közleményben ismertetett sérülékenység kihasználása, amelyet többek között a számítógépek millióit megfertőző Conficker féreg is előszeretettel aknáz ki. Emellett azonban a Neeris.C képes cserélhető meghajtókon keresztül fertőzni, illetve MSN Messenger révén terjedni. Ez utóbbi esetben a címlistában szereplő személyek számára különféle üzeneteket és egy ZIP kiterjesztésű állományt küldözget.
A Neeris.C képes azon SQL Serverek gyengeségét kihasználni, amelyekhez nem megfelelő erősségű jelszavak tartoznak, valamint egy még 2006-ban napvilágra került, és akkor ki is javított windowsos sérülékenység (MS06-040) révén is próbál kárt okozni.
A féreg képes a Windows beépített tűzfalának megkerülésére is. Amennyiben ez sikerül számára, akkor egy hátsó kaput nyit a fertőzött rendszereken, és várakozik a támadók parancsaira.
Amikor a Neeris.C féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%Windows%\VMwareService.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\%windir%\system\VMwareService.exe = "GON"
3. Létrehozza a következő fájlt:
%Windows%\system\netmon.exe
4. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\%windir%\system\netmon.exe = netmon
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\netmon32\service = (default)
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\netmon32\service = (default)
5. Üzeneteket küldözget az MSN Messenger címlistájában szereplő személyek számára, és ZIP kiterjesztésű állományokat továbbít.
6. Megpróbál cserélhető meghajtókon keresztül terjedni egy smartkey.exe nevű állomány formájában.
7. Megpróbál csatlakozni SQL Serverekhez előre meghatározott felhasználónevekkel és jelszavakkal.
8. Megpróbálja kihasználni az MS06-040-es és az MS08-067-es biztonsági közleményekben ismertetett sérülékenységeket.
9. Hatástalanítja a Windows beépített tűzfalát a regisztrációs adatbázis alábbiak szerinti módosításával:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List\%windir%\system\netmon.exe:*:microsoft enabled = %windir%\system\netmon.exe
10. Csatlakozik egy IRC szerverhez, és a 449-es vagy a 6667-es TCP portokon keresztül fogadja a támadók parancsait.
11. Létrehozza a következő állományt:
%System%\drivers\sysdrv32.sys
A Neeris.C féreg készítői semmit sem bíztak a véletlenre, hiszen a kártékony programjukat számtalan terjedési módszerrel vértezték fel. Ezek közül a leginkább említésre méltó az MS08-067-es biztonsági közleményben ismertetett sérülékenység kihasználása, amelyet többek között a számítógépek millióit megfertőző Conficker féreg is előszeretettel aknáz ki. Emellett azonban a Neeris.C képes cserélhető meghajtókon keresztül fertőzni, illetve MSN Messenger révén terjedni. Ez utóbbi esetben a címlistában szereplő személyek számára különféle üzeneteket és egy ZIP kiterjesztésű állományt küldözget.
A Neeris.C képes azon SQL Serverek gyengeségét kihasználni, amelyekhez nem megfelelő erősségű jelszavak tartoznak, valamint egy még 2006-ban napvilágra került, és akkor ki is javított windowsos sérülékenység (MS06-040) révén is próbál kárt okozni.
A féreg képes a Windows beépített tűzfalának megkerülésére is. Amennyiben ez sikerül számára, akkor egy hátsó kaput nyit a fertőzött rendszereken, és várakozik a támadók parancsaira.
Amikor a Neeris.C féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%Windows%\VMwareService.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\%windir%\system\VMwareService.exe = "GON"
3. Létrehozza a következő fájlt:
%Windows%\system\netmon.exe
4. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\%windir%\system\netmon.exe = netmon
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\netmon32\service = (default)
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\netmon32\service = (default)
5. Üzeneteket küldözget az MSN Messenger címlistájában szereplő személyek számára, és ZIP kiterjesztésű állományokat továbbít.
6. Megpróbál cserélhető meghajtókon keresztül terjedni egy smartkey.exe nevű állomány formájában.
7. Megpróbál csatlakozni SQL Serverekhez előre meghatározott felhasználónevekkel és jelszavakkal.
8. Megpróbálja kihasználni az MS06-040-es és az MS08-067-es biztonsági közleményekben ismertetett sérülékenységeket.
9. Hatástalanítja a Windows beépített tűzfalát a regisztrációs adatbázis alábbiak szerinti módosításával:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List\%windir%\system\netmon.exe:*:microsoft enabled = %windir%\system\netmon.exe
10. Csatlakozik egy IRC szerverhez, és a 449-es vagy a 6667-es TCP portokon keresztül fogadja a támadók parancsait.
11. Létrehozza a következő állományt:
%System%\drivers\sysdrv32.sys
2009. ápr. 8. 8:05 - írta Pchardver
Haláleset miatt veszélybe kerülhet egy súlyos netbiztonsági hiba kijavítása.Idén március közepén lakástűzben életét vesztette Jack C. Louis, az egyik legzseniálisabbnak tartott infobiztonsági kutató. A fiatalember évekkel ezelőtt Svédországban, Karlskrona városában telepedett le, ahol visszavonultan élt, kutyákat tartott.
Jack néhány közeli barátjával együtt az Outpost24 cég égisze alatt készítette a Unicornscan nevű hálózatvizsgáló programot - a 32 éves kutató haláláról egyik munkatársa, Robert E. Lee tájékoztatta a sajtót.
A tragikus baleset számos kérdést hagyott megválaszolatlanul, mert Jack utolsó évében egy Sockstress nevű, igen veszélyes programgyűjtemény fejlesztésével töltötte idejét.
Ez a körülbelül féltucatnyi alapvető sebezhetőséget kihasználó hackereszköz a tavalyi nagy DNS-hibához hasonló vagy még komolyabb veszélyt jelenthet a net működésére, ha rossz kezekbe kerül.
Megcsinálta a lehetetlent
A TCP állapottáblák manipulálásán alapuló hackertrükkök a csomagkapcsolt hálózati forgalom alacsonyabb szintjén működnek és eddig úgy tartották, hogy itt csak nagy csomagmennyiségek átvitelével, úgynevezett DoS elárasztásos támadással lehet bénító csapást mérni a webszerverekre. [ A hackerek gyakran gyűjtik botnet-hálózatba a trójai programmal fertőzött számítógépek ezreit azért, hogy sok otthoni netelőfizetés átviteli kapacitását összpontosíthassák egy-egy ilyen akció végrehajtásához - Szerk. ]
Jack Louis azonban tavaly ősszel, a finn T2 biztonsági konferencián demonstrálta, hogy a Sockstress szoftverben található trükkök másodpercenként mindössze négy adatcsomag elküldésével képesek megbénítani egy webszerver működését - vagyis a netes bűnözők akár egyetlen, lassú modemes kapcsolatot használó géppel is csapást mérhetnek vállalatokra vagy állami szervekre. A módszer ráadásul tűzfalak és útválasztók ellen is felhasználható, függetlenül attól, hogy az eszköz Windows, Un*x vagy Apple operációs rendszert futtat.
A finnországi demonstráció kétségkívül látványosra sikerült: a webszervert szimuláló erős tesztgép öt perc után annyira lelassult a támadás hatására, hogy még a háttérben futó zenét sem tudta folyamatosan lejátszani - sőt a rendszer akkor sem állt helyre, amikor leállították a támadást! Konkrétumok ekkor még nem kerültek nyilvánosságra az alkalmazott sebezhetőségről, Jack bemutatója azonban meggyőzte a szoftvergyártókat, hogy a net biztonsága érdekében ki kell javítani a TCP protokollban régóta megbúvó alapvető hibákat.
Sokaknak adott munkát
A probléma kezelésére a tavalyi nagy DNS-mizériához hasonlóan ez alkalommal is ipari szövetség alakult, amely titkokban dolgozott a hibajavítások elkészítésén. Terveik szerint 2009. nyarán az összes gyártó egyszerre adta volna ki a sebezhetőség elleni foltokat - nehogy valamelyik idő előtt megjelent hotfix fájl visszafejtésével a hackerek más termékek ellen felhasználható támadókódhoz jussanak.
Jack Louis halálával ez a menetrend veszélybe került. A kutató korábban leadta ugyan a Sockstress sebezhetőségekkel kapcsolatos részletes dokumentációt és értesítőket, szakértelme azonban hiányozni fog a helyét átvevő Robert Lee-nek és a TCP befoltozásán dolgozó többi kutatónak - a hibaelhárítás koordinálásáért felelős finn CERT szervezet tájékoztatása szerint a javítások összehangolt megjelentetése idén év végéig is csúszhat.
Ekkora késés önmagában nem lenne jelentős, hiszen a TCP protokoll működésében két évtizeden át kihasználatlanul lappangtak az elhunyt hacker által nemrég felfedezett problémák - egy meggondolatlan interjú azonban aggodalommal tölti el a kutatókat.
Versenyt futnak az idővel
A Beveiligings infobiztonsági webhely házigazdája, Brenno de Winter háromnegyed órás rádióbeszélgetésben faggatta Jacket és Robertet a problémáról és ők olyan alaposan körülírták a kezdeti "három-lépéses TCP kézfogás" utasítás azonnal aktivizálható sebezhetőséget, hogy azt szorgalmas munkával akár egy átlagos tehetségű hacker is újraalkothatja. Ha ez megtörténik, a kiberbűnözők újraindítás nélkül lezárhatatlan TCP/IP kapcsolatok tömegével béníthatnák meg még a legnagyobb webhelyek működését is.
Ez a fejlemény gyorsabb munkára ösztönzi a TCP-tábla hibájának befoltozásán dolgozó programozókat. Robert Lee - aki hat évig dolgozott együtt Jack-kel - még mindig reméli, hogy június elején megjelenhet a javítás, feltéve, hogy a kibocsátás időpontjának összehangolása nem eredményez további csúszást.
Jack C. Louis öröksége halála után is tovább él: egyik barátja, Rick Jones vállalta, hogy alapítványt létesít a "fehérkalapos hacker" rendkívül termékeny munkásságának tanulmányozására. Ezzel a lépéssel talán megfejthetővé válnak azok a további, fontos sebezhetőség-kezdemények, amelyeket a fiatalon elhunyt kutatónak már nem jutott ideje részletesen kidolgozni és az infobiztonsági közösség elé tárni.
Jack néhány közeli barátjával együtt az Outpost24 cég égisze alatt készítette a Unicornscan nevű hálózatvizsgáló programot - a 32 éves kutató haláláról egyik munkatársa, Robert E. Lee tájékoztatta a sajtót.
A tragikus baleset számos kérdést hagyott megválaszolatlanul, mert Jack utolsó évében egy Sockstress nevű, igen veszélyes programgyűjtemény fejlesztésével töltötte idejét.
Ez a körülbelül féltucatnyi alapvető sebezhetőséget kihasználó hackereszköz a tavalyi nagy DNS-hibához hasonló vagy még komolyabb veszélyt jelenthet a net működésére, ha rossz kezekbe kerül.
Megcsinálta a lehetetlent
A TCP állapottáblák manipulálásán alapuló hackertrükkök a csomagkapcsolt hálózati forgalom alacsonyabb szintjén működnek és eddig úgy tartották, hogy itt csak nagy csomagmennyiségek átvitelével, úgynevezett DoS elárasztásos támadással lehet bénító csapást mérni a webszerverekre. [ A hackerek gyakran gyűjtik botnet-hálózatba a trójai programmal fertőzött számítógépek ezreit azért, hogy sok otthoni netelőfizetés átviteli kapacitását összpontosíthassák egy-egy ilyen akció végrehajtásához - Szerk. ]
Jack Louis azonban tavaly ősszel, a finn T2 biztonsági konferencián demonstrálta, hogy a Sockstress szoftverben található trükkök másodpercenként mindössze négy adatcsomag elküldésével képesek megbénítani egy webszerver működését - vagyis a netes bűnözők akár egyetlen, lassú modemes kapcsolatot használó géppel is csapást mérhetnek vállalatokra vagy állami szervekre. A módszer ráadásul tűzfalak és útválasztók ellen is felhasználható, függetlenül attól, hogy az eszköz Windows, Un*x vagy Apple operációs rendszert futtat.
A finnországi demonstráció kétségkívül látványosra sikerült: a webszervert szimuláló erős tesztgép öt perc után annyira lelassult a támadás hatására, hogy még a háttérben futó zenét sem tudta folyamatosan lejátszani - sőt a rendszer akkor sem állt helyre, amikor leállították a támadást! Konkrétumok ekkor még nem kerültek nyilvánosságra az alkalmazott sebezhetőségről, Jack bemutatója azonban meggyőzte a szoftvergyártókat, hogy a net biztonsága érdekében ki kell javítani a TCP protokollban régóta megbúvó alapvető hibákat.
Sokaknak adott munkát
A probléma kezelésére a tavalyi nagy DNS-mizériához hasonlóan ez alkalommal is ipari szövetség alakult, amely titkokban dolgozott a hibajavítások elkészítésén. Terveik szerint 2009. nyarán az összes gyártó egyszerre adta volna ki a sebezhetőség elleni foltokat - nehogy valamelyik idő előtt megjelent hotfix fájl visszafejtésével a hackerek más termékek ellen felhasználható támadókódhoz jussanak.
Jack Louis halálával ez a menetrend veszélybe került. A kutató korábban leadta ugyan a Sockstress sebezhetőségekkel kapcsolatos részletes dokumentációt és értesítőket, szakértelme azonban hiányozni fog a helyét átvevő Robert Lee-nek és a TCP befoltozásán dolgozó többi kutatónak - a hibaelhárítás koordinálásáért felelős finn CERT szervezet tájékoztatása szerint a javítások összehangolt megjelentetése idén év végéig is csúszhat.
Ekkora késés önmagában nem lenne jelentős, hiszen a TCP protokoll működésében két évtizeden át kihasználatlanul lappangtak az elhunyt hacker által nemrég felfedezett problémák - egy meggondolatlan interjú azonban aggodalommal tölti el a kutatókat.
Versenyt futnak az idővel
A Beveiligings infobiztonsági webhely házigazdája, Brenno de Winter háromnegyed órás rádióbeszélgetésben faggatta Jacket és Robertet a problémáról és ők olyan alaposan körülírták a kezdeti "három-lépéses TCP kézfogás" utasítás azonnal aktivizálható sebezhetőséget, hogy azt szorgalmas munkával akár egy átlagos tehetségű hacker is újraalkothatja. Ha ez megtörténik, a kiberbűnözők újraindítás nélkül lezárhatatlan TCP/IP kapcsolatok tömegével béníthatnák meg még a legnagyobb webhelyek működését is.
Ez a fejlemény gyorsabb munkára ösztönzi a TCP-tábla hibájának befoltozásán dolgozó programozókat. Robert Lee - aki hat évig dolgozott együtt Jack-kel - még mindig reméli, hogy június elején megjelenhet a javítás, feltéve, hogy a kibocsátás időpontjának összehangolása nem eredményez további csúszást.
Jack C. Louis öröksége halála után is tovább él: egyik barátja, Rick Jones vállalta, hogy alapítványt létesít a "fehérkalapos hacker" rendkívül termékeny munkásságának tanulmányozására. Ezzel a lépéssel talán megfejthetővé válnak azok a további, fontos sebezhetőség-kezdemények, amelyeket a fiatalon elhunyt kutatónak már nem jutott ideje részletesen kidolgozni és az infobiztonsági közösség elé tárni.
2009. ápr. 7. 6:59 - írta Pchardver
A vártnál kétszer több fertőzött gépet talált az új féreg-népszámlálás.Bár a Downadup (más néven Conficker) féreg április elsején várt aktivizálódásának egyelőre nincs nyoma, az IBM cég adatai szerint a járvány így is sokkal több számítógépet érint, mint azt korábban gondolták. A biztonsági kutatók idén év elején még erősen változó, általában 2-9 millió közötti becsléseket adtak az áldozatul esett PC-k számára, tavaszra azonban a legtöbben már maximum négymilliós mennyiséget láttak reálisnak.
Ez a gyakorlatban azt jelentené, hogy a neten átlagosan csak minden ötvenedik vagy századik számítógép fertőzött - amit viszont eddig nem lehetett közvetlenül megmérni. Az IBM ISS részlegében dolgozó kutatóknak nemrég szerencsére sikerült visszafejteniük a féreg legfejlettebb, Conficker.C változatai által használt egyenrangú (P2P) hálózati kapcsolat algoritmusát, így meg tudták figyelni a neten egymással kommunikáló fertőzött gépeket.
Az adatgyűjtés már egy nap alatt meglepő eredményt hozott: 2 millió rendszer megvizsgálása után a gépek 4%-a bizonyult fertőzöttnek. Ez globális léptékre átszámítva azt jelenti, hogy legalább nyolcmillió Downadup-zombi található a neten, de az is lehetséges, hogy számuk a tízmilliós nagyságrendbe esik.
Hihetetlen, de igaz
Az áldozatul esett gépek nagy száma az ISS kutatóit is meglepte. Holly Stewart, a cég fenyegetések elhárításával foglalkozó részlegének menedzsere fontosnak tartotta hangsúlyozni, hogy a mért értékek nem lehetnek tökéletesen pontosak - de jelenleg ezek a legjobb rendelkezésre álló adatok.
Az Arbor Networks cég részéről Danny McPherson biztonsági vezető úgy véli, hogy az ISS kutatói talán a net átlagától erősen eltérő csoportokat vizsgáltak és ennek tudhatók be a kiugró mérési adatok - hiszen a szélessávú netkapcsolattal rendelkező otthoni felhasználók gépei például jóval sebezhetőbbek a kormányzati és nagyvállalati rendszereknél.
Az IBM ISS mérései azonban egybevágnak az OpenDNS cég korábbi közlésével. Az alternatív névszerver-szolgáltató tízmilliósnál valamivel nagyobb ügyfélkörében legalább félmillió fertőzött gépet detektált, ami közel 5%-os érték. Tapasztalataik szerint a helyzet Vietnamban a legsúlyosabb, ahol a Downadup sújtotta gépek aránya a 13%-ot is meghaladja, a második helyen pedig Brazília áll 12%-kal - a net legveszélyesebb pontjain tehát minden nyolcadik PC fertőzött!
Mindegy milyen sok, ha nem teszünk ellene
Ebből a szemszögből nézve a számháború már nem is olyan fontos, hiszen a Downadup fertőzés mindenképpen rengeteg gépet tart az uralma alatt - még akkor is, ha a kutatók esetleg egy nagyságrendet tévedtek a méréseikben. A vírusterjesztő hackerek rendelkezésére álló milliós botnet-hadsereg úgy tűnik a jövőben is fennmarad és tartós problémát jelent, amellyel a világháló minden szereplőjének számolnia kell.Éppen ezért a felhasználóknak is tenniük kell a védekezés érdekében, amit a biztonsági ipar igyekszik hatékony és közérthető eszközökkel támogatni. Az egyik nagyon egyszerű és kifejezetten szellemes ötlet weblapon megtekinthető képeket
www.joestewart.org/cfeyechart.html használ a saját gép fertőzöttségének felismerésére.
[A módszer azon a felismerésen alapul, hogy az aktív Downadup féregpéldányok számos antivírus gyártó honlapjának elérését blokkolják - vagyis ha nem látjuk a felső sorban befűzött három céges logót, akkor gyanakodhatunk, hogy kártékony kód került a gépünkre.]
Nem érdemes viszont pánikba esni és megbízható védelmi szoftverek helyett az első netes kereséssel utunkba eső ismeretlen irtóprogrammal próbálkozni, mert a féregmizériát sok netes csaló igyekszik felhasználni galád programok (ún. rogue software) terjesztésére.
Ezek a kamu kémprogram-irtók még tiszta Windows esetén is veszélyes fertőzésekre riasztanak - így próbálják elérni, hogy a rémült felhasználó 40-60 dollárt fizessen a szoftver teljes értékű, mentesítést ígérő változatáért. A valóságban ezzel gyakran csak további fertőzések kerülnek a gépre, a netes vásárlással kiadott hitelkártyaszámot pedig banki csalásokhoz használhatják fel a hackerek.
Ez a gyakorlatban azt jelentené, hogy a neten átlagosan csak minden ötvenedik vagy századik számítógép fertőzött - amit viszont eddig nem lehetett közvetlenül megmérni. Az IBM ISS részlegében dolgozó kutatóknak nemrég szerencsére sikerült visszafejteniük a féreg legfejlettebb, Conficker.C változatai által használt egyenrangú (P2P) hálózati kapcsolat algoritmusát, így meg tudták figyelni a neten egymással kommunikáló fertőzött gépeket.
Az adatgyűjtés már egy nap alatt meglepő eredményt hozott: 2 millió rendszer megvizsgálása után a gépek 4%-a bizonyult fertőzöttnek. Ez globális léptékre átszámítva azt jelenti, hogy legalább nyolcmillió Downadup-zombi található a neten, de az is lehetséges, hogy számuk a tízmilliós nagyságrendbe esik.
Hihetetlen, de igaz
Az áldozatul esett gépek nagy száma az ISS kutatóit is meglepte. Holly Stewart, a cég fenyegetések elhárításával foglalkozó részlegének menedzsere fontosnak tartotta hangsúlyozni, hogy a mért értékek nem lehetnek tökéletesen pontosak - de jelenleg ezek a legjobb rendelkezésre álló adatok.
Az Arbor Networks cég részéről Danny McPherson biztonsági vezető úgy véli, hogy az ISS kutatói talán a net átlagától erősen eltérő csoportokat vizsgáltak és ennek tudhatók be a kiugró mérési adatok - hiszen a szélessávú netkapcsolattal rendelkező otthoni felhasználók gépei például jóval sebezhetőbbek a kormányzati és nagyvállalati rendszereknél.
Az IBM ISS mérései azonban egybevágnak az OpenDNS cég korábbi közlésével. Az alternatív névszerver-szolgáltató tízmilliósnál valamivel nagyobb ügyfélkörében legalább félmillió fertőzött gépet detektált, ami közel 5%-os érték. Tapasztalataik szerint a helyzet Vietnamban a legsúlyosabb, ahol a Downadup sújtotta gépek aránya a 13%-ot is meghaladja, a második helyen pedig Brazília áll 12%-kal - a net legveszélyesebb pontjain tehát minden nyolcadik PC fertőzött!
Mindegy milyen sok, ha nem teszünk ellene
Ebből a szemszögből nézve a számháború már nem is olyan fontos, hiszen a Downadup fertőzés mindenképpen rengeteg gépet tart az uralma alatt - még akkor is, ha a kutatók esetleg egy nagyságrendet tévedtek a méréseikben. A vírusterjesztő hackerek rendelkezésére álló milliós botnet-hadsereg úgy tűnik a jövőben is fennmarad és tartós problémát jelent, amellyel a világháló minden szereplőjének számolnia kell.Éppen ezért a felhasználóknak is tenniük kell a védekezés érdekében, amit a biztonsági ipar igyekszik hatékony és közérthető eszközökkel támogatni. Az egyik nagyon egyszerű és kifejezetten szellemes ötlet weblapon megtekinthető képeket
www.joestewart.org/cfeyechart.html használ a saját gép fertőzöttségének felismerésére.
[A módszer azon a felismerésen alapul, hogy az aktív Downadup féregpéldányok számos antivírus gyártó honlapjának elérését blokkolják - vagyis ha nem látjuk a felső sorban befűzött három céges logót, akkor gyanakodhatunk, hogy kártékony kód került a gépünkre.]
Nem érdemes viszont pánikba esni és megbízható védelmi szoftverek helyett az első netes kereséssel utunkba eső ismeretlen irtóprogrammal próbálkozni, mert a féregmizériát sok netes csaló igyekszik felhasználni galád programok (ún. rogue software) terjesztésére.
Ezek a kamu kémprogram-irtók még tiszta Windows esetén is veszélyes fertőzésekre riasztanak - így próbálják elérni, hogy a rémült felhasználó 40-60 dollárt fizessen a szoftver teljes értékű, mentesítést ígérő változatáért. A valóságban ezzel gyakran csak további fertőzések kerülnek a gépre, a netes vásárlással kiadott hitelkártyaszámot pedig banki csalásokhoz használhatják fel a hackerek.
2009. ápr. 6. 21:37 - írta Pchardver
A tavaszi Black Hat hacker-konferencia egyik szenzációjának ígérkezik Bernardo Guimaraes előadása az adatbázis-kiszolgálókat célba vevő új generációs támadásokról. Az SQL Map vizsgálóeszköz kifejlesztőjeként ismertté vált kutató Amszterdamban most olyan módszereket kíván bemutatni, amelyek révén a jól ismert "sql-injection" típusú támadások alkalmassá válnak a szerver oldali szoftver és az operációs rendszer teljeskörű feltörésére.
A hackerek ilyen képesség-növelésének súlyos hatása lehetne a net egészére, hiszen a rosszul ellenőrzött adatbeviteli mezőket kihasználó ún. puffer-túlcsordulás típusú támadások egyes források szerint 2008. eleje óta a legelterjedtebb adatlopási és kártevő-terjesztési módszernek számítanak a weben.
A webhelyeken keresésre szolgáló mezőkbe a támadók megpróbálnak szabálytalan hosszúságú vagy speciális karaktereket tartalmazó utasítássort beírni, abban a reményben, hogy a relációs adatbázis programozója képzetlen vagy hanyag volt és emiatt elfeledkezett a felhasználói input előzetes szűréséről - lehetővé téve ezzel az adatok utasításként történő végrehajtását.
Nem csak a Microsoft hibázott
A következmények szerteágazóak lehetnek, kezdve a szerveren tárolt személyes adatok tömeges ellopásától a kártékony kódok terjesztésére szolgáló szkript utasítások weblapokba illesztéséig - ráadásul mindez nem csak elméleti lehetőség, hanem a gyakorlatban is sűrűn alkalmazott támadási módszer, amellyel minden Microsoft SQL szerver üzemeltetőnek számolnia kell.
Az SQL alapú támadás azonban mostanáig nem fenyegette magát az adatbázist futtató szervert, csak annak felhasználóit és látogatóit. Ezt a szerencsés helyzetet bolygathatják fel az új trükkök, amelyek lehetővé teszik Microsoft SQL szervergépek feltörését, illetve a MySQL és a PostgreSQL szabad-szoftvereket futtató rendszerekhez történő távoli parancssori hozzáférést. (A probléma súlyosságára jellemző, hogy a Microsoft cég idén februárban biztonsági javítást adott ki az SQL Server termékéhez.)
Bernardo Guimaraes szerint a biztonsági kutatók eddig főleg az adatbázisokban tárolt információk jogosulatlan kinyerésének és illetéktelen módosításának kérdéseit vizsgálták - számára azonban az SQL szerverek csak egy lépcsőfokot jelentenek a gép feletti uralom megszerzéséhez. Állítása szerint a Black Hat konferencián feltárt módszerekből tanulva ezután a sebezhetőség-vizsgálók is észlelni tudják majd az összetett SQL-problémákat.
Számszerűsítik a veszélyt
A továbbfejlődésre valóban nagy szükség lenne, mert a White Hat webalkalmazás-biztonsági cég adatgyűjtése szerint ezer vezető portál közül legalább 16 sebezhető és ha a világ összes webhelyét figyelembe vesszük, a veszélyeztetett szerverek aránya valószínűleg eléri a 33%-ot, ami végeredményben több tízmillió webhelyet jelenthet.
A hiba kijavítása várhatóan költséges feladat lesz, amely világszinten 3-8,5 milliárd dollár közötti összeget is felemészthet: a webalkalmazások egy része módosításra szorul vagy újra kell írni őket és át kell gondolni az adatbázisokhoz tartozó felhasználói fiókok kérdését is.
Általánosságban javasolt, hogy minél kevesebb és kiemelt jogosultságok nélküli felhasználó üzemeltesse az adatbázist - Guimaraes SQL-szoftverhibákat célzó új támadásai azonban lehetővé teszik helyi jogosultságok átvitelét a távoli adatbázisszerverre. Ez ellen a régóta ismert jó tanácsok nem nyújtanak védelmet - amíg a javítófoltok elkészülnek, a cégeket és portál-üzemeltetőket az utóbbi időben elszaporodott adatleszívásoknál sokkal rosszabb feltörések is fenyegethetik.
A hackerek ilyen képesség-növelésének súlyos hatása lehetne a net egészére, hiszen a rosszul ellenőrzött adatbeviteli mezőket kihasználó ún. puffer-túlcsordulás típusú támadások egyes források szerint 2008. eleje óta a legelterjedtebb adatlopási és kártevő-terjesztési módszernek számítanak a weben.
A webhelyeken keresésre szolgáló mezőkbe a támadók megpróbálnak szabálytalan hosszúságú vagy speciális karaktereket tartalmazó utasítássort beírni, abban a reményben, hogy a relációs adatbázis programozója képzetlen vagy hanyag volt és emiatt elfeledkezett a felhasználói input előzetes szűréséről - lehetővé téve ezzel az adatok utasításként történő végrehajtását.
Nem csak a Microsoft hibázott
A következmények szerteágazóak lehetnek, kezdve a szerveren tárolt személyes adatok tömeges ellopásától a kártékony kódok terjesztésére szolgáló szkript utasítások weblapokba illesztéséig - ráadásul mindez nem csak elméleti lehetőség, hanem a gyakorlatban is sűrűn alkalmazott támadási módszer, amellyel minden Microsoft SQL szerver üzemeltetőnek számolnia kell.
Az SQL alapú támadás azonban mostanáig nem fenyegette magát az adatbázist futtató szervert, csak annak felhasználóit és látogatóit. Ezt a szerencsés helyzetet bolygathatják fel az új trükkök, amelyek lehetővé teszik Microsoft SQL szervergépek feltörését, illetve a MySQL és a PostgreSQL szabad-szoftvereket futtató rendszerekhez történő távoli parancssori hozzáférést. (A probléma súlyosságára jellemző, hogy a Microsoft cég idén februárban biztonsági javítást adott ki az SQL Server termékéhez.)
Bernardo Guimaraes szerint a biztonsági kutatók eddig főleg az adatbázisokban tárolt információk jogosulatlan kinyerésének és illetéktelen módosításának kérdéseit vizsgálták - számára azonban az SQL szerverek csak egy lépcsőfokot jelentenek a gép feletti uralom megszerzéséhez. Állítása szerint a Black Hat konferencián feltárt módszerekből tanulva ezután a sebezhetőség-vizsgálók is észlelni tudják majd az összetett SQL-problémákat.
Számszerűsítik a veszélyt
A továbbfejlődésre valóban nagy szükség lenne, mert a White Hat webalkalmazás-biztonsági cég adatgyűjtése szerint ezer vezető portál közül legalább 16 sebezhető és ha a világ összes webhelyét figyelembe vesszük, a veszélyeztetett szerverek aránya valószínűleg eléri a 33%-ot, ami végeredményben több tízmillió webhelyet jelenthet.
A hiba kijavítása várhatóan költséges feladat lesz, amely világszinten 3-8,5 milliárd dollár közötti összeget is felemészthet: a webalkalmazások egy része módosításra szorul vagy újra kell írni őket és át kell gondolni az adatbázisokhoz tartozó felhasználói fiókok kérdését is.
Általánosságban javasolt, hogy minél kevesebb és kiemelt jogosultságok nélküli felhasználó üzemeltesse az adatbázist - Guimaraes SQL-szoftverhibákat célzó új támadásai azonban lehetővé teszik helyi jogosultságok átvitelét a távoli adatbázisszerverre. Ez ellen a régóta ismert jó tanácsok nem nyújtanak védelmet - amíg a javítófoltok elkészülnek, a cégeket és portál-üzemeltetőket az utóbbi időben elszaporodott adatleszívásoknál sokkal rosszabb feltörések is fenyegethetik.
2009. ápr. 5. 21:12 - írta Pchardver
Komoly biztonsági veszélyt jelentenek a népszerű oldalakra feltölthető felhasználói tartalmak. Már egy egyszerű GIF-ben sem lehet bízni.
Egy weboldalra feltöltött képpel is el lehet lopni az odalátogató felhasználók belépési kódjait – demonstrálják majd szakemberek a holnap kezdődő Las Vegas-i Black Hat számítógép-biztonsági konferencián. A trükk alapja egy hibrid képfájl, amely formailag grafikus állománynak tűnik, valójában azonban program. Ez minden olyan weboldalon – például iWiW, Facebook, Vatera vagy eBay – használható felhasználói jelszavak begyűjtésére, amely megengedi képek felöltését.
„Sikerült összeraknunk egy olyan Java-appletet, amely valójában egy kép” – magyarázta a sajátos adathalász támadás lényegét a Computerworld-nek az egyik előadó, John Heasman. A hibrid fájlt a Graphics Interchange Format (GIF) képformátum, valamint a Java-osztályokat és a kapcsolódó metaadatokat tartalmazó Java Archive (JAR) tömörített állomány rövidítésének összevonásával GIFAR-nak nevezték el. A konferencián Heasman és két kollégája azt fogják bemutatni – az éles támadások idő előtti terjedését megelőzendő néhány fontos részlet kihagyásával –, miként lehet GIFAR állományokat készíteni.
Az ezekre épített támadás lényege, hogy a fájlt a webszerver egyszerű .gif képnek látja, miközben a böngésző Java virtuális gépe JAR-ként, és annak rendje és módja szerint kicsomagolja és futtatja. Innentől a támadóknak pofonegyszerű a dolga: elég egy olyan népszerű weboldalt keresni, amely megengedi képek feltöltését. Ha például egy eBay-regisztrációt hoznak létre, és az árverezett termék oldalára töltik fel a GIFAR fájlt, minden olyan látogató ebayes bejelentkezési kódjait meg tudják szerezni, aki be van jelentkezve az oldal lehívásakor.
A módszer ellen egyébként nem nehéz védekezni: szűrők beiktatásával a fenyegetett oldalak fenntartói blokkolhatják a hibrid fájlokat, és a Sun is patchelheti a Java futtatókörnyezetet – amin az előadók elmondása szerint már dolgozik is –, de a szakértők nem is erre az egyedi sebezhetőségre, hanem az általános problémára, az amúgy megbízható szájtok kompromittálhatóságára igyekeznek felhívni a figyelmet előadásukban. „Jönnek majd más módszerek, más technológiák, melyekkel ugyanezt meg lehet csinálni. Hosszú távon a webes alkalmazásoknak ellenőrzésük alá kell vonnia a tartalmakat” – figyelmeztetett Nathan McFeters társelőadó.
Egy weboldalra feltöltött képpel is el lehet lopni az odalátogató felhasználók belépési kódjait – demonstrálják majd szakemberek a holnap kezdődő Las Vegas-i Black Hat számítógép-biztonsági konferencián. A trükk alapja egy hibrid képfájl, amely formailag grafikus állománynak tűnik, valójában azonban program. Ez minden olyan weboldalon – például iWiW, Facebook, Vatera vagy eBay – használható felhasználói jelszavak begyűjtésére, amely megengedi képek felöltését.
„Sikerült összeraknunk egy olyan Java-appletet, amely valójában egy kép” – magyarázta a sajátos adathalász támadás lényegét a Computerworld-nek az egyik előadó, John Heasman. A hibrid fájlt a Graphics Interchange Format (GIF) képformátum, valamint a Java-osztályokat és a kapcsolódó metaadatokat tartalmazó Java Archive (JAR) tömörített állomány rövidítésének összevonásával GIFAR-nak nevezték el. A konferencián Heasman és két kollégája azt fogják bemutatni – az éles támadások idő előtti terjedését megelőzendő néhány fontos részlet kihagyásával –, miként lehet GIFAR állományokat készíteni.
Az ezekre épített támadás lényege, hogy a fájlt a webszerver egyszerű .gif képnek látja, miközben a böngésző Java virtuális gépe JAR-ként, és annak rendje és módja szerint kicsomagolja és futtatja. Innentől a támadóknak pofonegyszerű a dolga: elég egy olyan népszerű weboldalt keresni, amely megengedi képek feltöltését. Ha például egy eBay-regisztrációt hoznak létre, és az árverezett termék oldalára töltik fel a GIFAR fájlt, minden olyan látogató ebayes bejelentkezési kódjait meg tudják szerezni, aki be van jelentkezve az oldal lehívásakor.
A módszer ellen egyébként nem nehéz védekezni: szűrők beiktatásával a fenyegetett oldalak fenntartói blokkolhatják a hibrid fájlokat, és a Sun is patchelheti a Java futtatókörnyezetet – amin az előadók elmondása szerint már dolgozik is –, de a szakértők nem is erre az egyedi sebezhetőségre, hanem az általános problémára, az amúgy megbízható szájtok kompromittálhatóságára igyekeznek felhívni a figyelmet előadásukban. „Jönnek majd más módszerek, más technológiák, melyekkel ugyanezt meg lehet csinálni. Hosszú távon a webes alkalmazásoknak ellenőrzésük alá kell vonnia a tartalmakat” – figyelmeztetett Nathan McFeters társelőadó.
2009. ápr. 4. 21:23 - írta Pchardver
Unum signum nullum signum. Mégis: egy felmérés szerint a netezők közel fele mindenhol ugyanazt a kódot használja.
Mivel amúgy is rengeteg kódot kell fejben tartanunk, sokan használjuk ugyanazt a jelszót a különféle internetes oldalakon, pedig ez olyan, mintha egy kulcs nyitná a lakásunkat, az autónkat és a páncélszekrényt a nappaliban. Az univerzális jelszó az internetes bűnözők álma – figyelmeztetnek biztonsági szakértők egy friss felmérés eredményeit kommentálva. Az Accenture által készített, nem reprezentatív kutatás szerint az amerikai és brit internetezők közel fele mindenhol ugyanazt a passwordöt gépeli be, pedig a megkérdezettek 88 százaléka azt gondolja, hogy a felhasználó felelőtlensége, meggondolatlansága miatt tudnak a csalók privát adatokat lopni, azokkal visszaélni.
A szakértők szerint az eredmények azt mutatják, hogy a netezők hajlamosak alábecsülni a szervezett internetes bűnözés veszélyét, pedig a lopott adatoknak virágzó piaca van. „Nagy a zavar a fejekben, sokan gondolják azt, hogy nincs itt gond, és dugják a fejüket a homokba, »Tőlem még nem lopták el az adataimat, és nem is ismerek olyat, akitől igen. Tehát ez nem is történhet meg«, gondolják az emberek” – idézi a ma publikálandó jelentést ismertető AP Robert Dysont, az Accenture biztonsági vezetőjét.
Sokan azért használják mindenütt ugyanazt a kódot, hogy ne felejtsék el – erre mutat, hogy a britek 70, az amerikaik 49 százaléka nem jegyzi fel a jelszavát emlékeztetőül. A megkérdezetteknek mindössze 7 százaléka mondta azt, hogy gyakran változtatja a jelszavát, vagy jelszókezelő programot, esetleg ujjlenyomat-olvasót is használ.
A felmérés során olyan felhasználókat kérdeztek meg, akik otthon is használnak számítógépet, széles sávú hozzáféréssel rendelkeznek, és legalább heti két alkalommal interneteznek (az e-mailezésen felül). A résztvevőket véletlenszerűen választották ki, és telefonon keresték meg őket. Az átlagéletkor 46 év volt.
Mivel amúgy is rengeteg kódot kell fejben tartanunk, sokan használjuk ugyanazt a jelszót a különféle internetes oldalakon, pedig ez olyan, mintha egy kulcs nyitná a lakásunkat, az autónkat és a páncélszekrényt a nappaliban. Az univerzális jelszó az internetes bűnözők álma – figyelmeztetnek biztonsági szakértők egy friss felmérés eredményeit kommentálva. Az Accenture által készített, nem reprezentatív kutatás szerint az amerikai és brit internetezők közel fele mindenhol ugyanazt a passwordöt gépeli be, pedig a megkérdezettek 88 százaléka azt gondolja, hogy a felhasználó felelőtlensége, meggondolatlansága miatt tudnak a csalók privát adatokat lopni, azokkal visszaélni.
A szakértők szerint az eredmények azt mutatják, hogy a netezők hajlamosak alábecsülni a szervezett internetes bűnözés veszélyét, pedig a lopott adatoknak virágzó piaca van. „Nagy a zavar a fejekben, sokan gondolják azt, hogy nincs itt gond, és dugják a fejüket a homokba, »Tőlem még nem lopták el az adataimat, és nem is ismerek olyat, akitől igen. Tehát ez nem is történhet meg«, gondolják az emberek” – idézi a ma publikálandó jelentést ismertető AP Robert Dysont, az Accenture biztonsági vezetőjét.
Sokan azért használják mindenütt ugyanazt a kódot, hogy ne felejtsék el – erre mutat, hogy a britek 70, az amerikaik 49 százaléka nem jegyzi fel a jelszavát emlékeztetőül. A megkérdezetteknek mindössze 7 százaléka mondta azt, hogy gyakran változtatja a jelszavát, vagy jelszókezelő programot, esetleg ujjlenyomat-olvasót is használ.
A felmérés során olyan felhasználókat kérdeztek meg, akik otthon is használnak számítógépet, széles sávú hozzáféréssel rendelkeznek, és legalább heti két alkalommal interneteznek (az e-mailezésen felül). A résztvevőket véletlenszerűen választották ki, és telefonon keresték meg őket. Az átlagéletkor 46 év volt.
2009. ápr. 4. 21:08 - írta Pchardver
Az Adobe súlyos biztonsági hibákat megszüntető javításai nem tudják ellátni a feladatukat, ugyanis azokat eddig csak a felhasználók töredéke telepítette fel.
Az Adobe március folyamán minden jelenleg támogatott Acrobat és Reader alkalmazásához kiadta azokat a hibajavításokat, amelyek öt különféle sebezhetőséget orvosolnak a PDF-kezelő szoftverekben. Először a 9-es verziójú alkalmazásokhoz váltak elérhetővé a frissítések március 10-én. Ezt követően, március 17-én jelentek meg a 8-as és a 7-es verziójú szoftverekhez a javítások, míg a Linux és a Solaris kompatibilis kiadásokhoz március 24-től tölthetők le a patch-ek.
Az Adobe alkalmazásaiban kijavított sérülékenységek egy része már január óta kihasználható, és a hibajavítások telepítésének elhalasztása egyre komolyabb kockázatokat hordoz. A Qualys arra volt kíváncsi, hogy e veszélyek fokozódása milyen hatással van a frissítési hajlandóságra, ezért két héttel az első Adobe hibajavítások megjelenését követően megvizsgálta, hogy milyen arányban kerültek már fel a rendszerekre a legújabb szoftververziók. Sajnos az eredmények meglehetősen aggasztó helyzetről árulkodnak, ugyanis több százezer PC ellenőrzése alapján kiderült, hogy a felhasználóknak kevesebb mint a 10 százaléka vette komolyan a biztonsági figyelmeztetéseket, és telepítette fel a javításokat. A Qualys az összehasonlíthatóság kedvéért azt is közölte, hogy ugyanez az arány az Internet Explorer esetében 40 százalék szokott lenni kéthetes időintervallumon belül.
Wolfgang Kandek, a Qualys műszaki igazgatója úgy vélte, hogy a sebezhetőségek a médiában nagy hangsúlyt kaptak, a felhasználók jelentős része mégsem vett tudomást azokról. A szakember szerint sokan használják a Windows Update szolgáltatást a Windows automatikus frissítéséhez. Azonban ez az alkalmazások esetében már nincs így. (Pedig automatikus frissítés és a figyelmeztetés az új verziók megjelenésére az Adobe alkalmazásainak esetében sem ismeretlen.)
Az Adobe nem látja olyan kritikusnak a helyzetet, mint amit a Qualys jelentése tükröz. Brad Arkin, az Adobe termékbiztonságért felelős igazgatója elmondta, hogy "jelentős növekedést tapasztaltunk az Update Manager révén kezdeményezett letöltések mennyiségében. Amikor a felhasználó megnyitja a Reader vagy az Acrobat alkalmazásokat, akkor a szoftver ellenőrzi a szervereket, és jelzi az új frissítések elérhetőségét. Ezt követően a felhasználó vagy továbblép, vagy letölti az új verziót." Majd hozzátette, hogy a frissítések közzétételét követő időszakokban a letöltésekből származó adatforgalom jelentős növekedést szokott mutatni, és ez most sincs másként.
A Qualys nem először hívja fel a figyelmet a frissítések telepítésével kapcsolatos problémákra. A cég tavaly decemberben a Windowshoz kiadott, kritikus veszélyességű sebezhetőséget megszüntető hibajavítás esetében is hangot adott az aggodalmának. Nem is alaptalanul, hiszen a Conficker nevű kártékony program ekkor kezdte a térhódítását, majd PC-k millióit fertőzte meg többek között a Windows sérülékenységének kihasználásával.
Az Adobe március folyamán minden jelenleg támogatott Acrobat és Reader alkalmazásához kiadta azokat a hibajavításokat, amelyek öt különféle sebezhetőséget orvosolnak a PDF-kezelő szoftverekben. Először a 9-es verziójú alkalmazásokhoz váltak elérhetővé a frissítések március 10-én. Ezt követően, március 17-én jelentek meg a 8-as és a 7-es verziójú szoftverekhez a javítások, míg a Linux és a Solaris kompatibilis kiadásokhoz március 24-től tölthetők le a patch-ek.
Az Adobe alkalmazásaiban kijavított sérülékenységek egy része már január óta kihasználható, és a hibajavítások telepítésének elhalasztása egyre komolyabb kockázatokat hordoz. A Qualys arra volt kíváncsi, hogy e veszélyek fokozódása milyen hatással van a frissítési hajlandóságra, ezért két héttel az első Adobe hibajavítások megjelenését követően megvizsgálta, hogy milyen arányban kerültek már fel a rendszerekre a legújabb szoftververziók. Sajnos az eredmények meglehetősen aggasztó helyzetről árulkodnak, ugyanis több százezer PC ellenőrzése alapján kiderült, hogy a felhasználóknak kevesebb mint a 10 százaléka vette komolyan a biztonsági figyelmeztetéseket, és telepítette fel a javításokat. A Qualys az összehasonlíthatóság kedvéért azt is közölte, hogy ugyanez az arány az Internet Explorer esetében 40 százalék szokott lenni kéthetes időintervallumon belül.
Wolfgang Kandek, a Qualys műszaki igazgatója úgy vélte, hogy a sebezhetőségek a médiában nagy hangsúlyt kaptak, a felhasználók jelentős része mégsem vett tudomást azokról. A szakember szerint sokan használják a Windows Update szolgáltatást a Windows automatikus frissítéséhez. Azonban ez az alkalmazások esetében már nincs így. (Pedig automatikus frissítés és a figyelmeztetés az új verziók megjelenésére az Adobe alkalmazásainak esetében sem ismeretlen.)
Az Adobe nem látja olyan kritikusnak a helyzetet, mint amit a Qualys jelentése tükröz. Brad Arkin, az Adobe termékbiztonságért felelős igazgatója elmondta, hogy "jelentős növekedést tapasztaltunk az Update Manager révén kezdeményezett letöltések mennyiségében. Amikor a felhasználó megnyitja a Reader vagy az Acrobat alkalmazásokat, akkor a szoftver ellenőrzi a szervereket, és jelzi az új frissítések elérhetőségét. Ezt követően a felhasználó vagy továbblép, vagy letölti az új verziót." Majd hozzátette, hogy a frissítések közzétételét követő időszakokban a letöltésekből származó adatforgalom jelentős növekedést szokott mutatni, és ez most sincs másként.
A Qualys nem először hívja fel a figyelmet a frissítések telepítésével kapcsolatos problémákra. A cég tavaly decemberben a Windowshoz kiadott, kritikus veszélyességű sebezhetőséget megszüntető hibajavítás esetében is hangot adott az aggodalmának. Nem is alaptalanul, hiszen a Conficker nevű kártékony program ekkor kezdte a térhódítását, majd PC-k millióit fertőzte meg többek között a Windows sérülékenységének kihasználásával.
2009. ápr. 3. 20:25 - írta Pchardver
Az Unruy.A vírus megpróbálja megbénítani a biztonsági szoftverek működését, majd kiszolgáltatottá teszi a fertőzött rendszereket a támadásokkal szemben.Az Unruy.A vírus a kiszemelt számítógépeken elsősorban azokat a fájlokat szemeli ki magának, amelyek a regisztrációs adatbázis alapján a Windows minden egyes indulásakor betöltésre kerülnek. Ezeket a fájlokat elmenti, majd lecseréli azokat a saját állományával. Ezzel biztosítja, hogy az operációs rendszer minden egyes újraindítása után képes legyen ellátni a feladatát.
A vírus alapvetően két kártékony tevékenységet végez. Egyrészt hatástalanítja a biztonsági szoftvereket, ami további károkozáshoz vezethet. Másrészt pedig egy hátsó kaput nyit. Ezen keresztül a támadók parancsokat hajthatnak végre a fertőzött rendszereken, valamint fájlokat tölthetnek le, illetve programokat futtathatnak.
Amikor az Unruy.A vírus elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehoz egy mutexet annak érdekében, hogy csak egy példányban fusson a fertőzött rendszeren.
2. Megkeresi a regisztrációs adatbázisban a következő bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Az itt található értékekben szereplő, exe kiterjesztésű állományokból az alábbi másolatokat hozza létre:
[a fájl elérési útvonala]\[eredeti fájlnév]\[egy space karakter].exe
3. Az előbbiekben elmentett állományok helyére a saját fájlját másolja be.
4. Leállítja azokat a folyamatokat, amelyek biztonsági szoftverekhez tartoznak.
5. Csatlakozik egy távoli szerverhez.
6. Nyit egy hátsó kaput.
A vírus alapvetően két kártékony tevékenységet végez. Egyrészt hatástalanítja a biztonsági szoftvereket, ami további károkozáshoz vezethet. Másrészt pedig egy hátsó kaput nyit. Ezen keresztül a támadók parancsokat hajthatnak végre a fertőzött rendszereken, valamint fájlokat tölthetnek le, illetve programokat futtathatnak.
Amikor az Unruy.A vírus elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehoz egy mutexet annak érdekében, hogy csak egy példányban fusson a fertőzött rendszeren.
2. Megkeresi a regisztrációs adatbázisban a következő bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Az itt található értékekben szereplő, exe kiterjesztésű állományokból az alábbi másolatokat hozza létre:
[a fájl elérési útvonala]\[eredeti fájlnév]\[egy space karakter].exe
3. Az előbbiekben elmentett állományok helyére a saját fájlját másolja be.
4. Leállítja azokat a folyamatokat, amelyek biztonsági szoftverekhez tartoznak.
5. Csatlakozik egy távoli szerverhez.
6. Nyit egy hátsó kaput.
2009. ápr. 2. 21:37 - írta Pchardver
A napokban biztonsági kutatók egy jelentős kémhálózatot lepleztek le, amely a világ 103 országában működött és állami, pénzügyi, illetve ipari titkokat gyűjtögetett.
Amikor kártékony programok által felépített botnet hálózatok kerülnek szóba, akkor a biztonsági cégek közleményeiben elsősorban azt lehet olvasni, hogy hány százezer zombi PC vesz részt e kártékony rendszerek üzemetetésében. A napokban azonban egy olyan kémhálózat került a figyelem középpontjába, amelynek nem az a célja, hogy ezresével vonjon be otthoni számítógépeket a kártékony tevékenységébe, hanem hogy kifejezetten a legértékesebb adatokat gyűjtse össze.
A GhostNet néven emlegetett hálózat egy gh0st RAT (Remote Access Tool) nevű kártékony programnak köszönheti a létezését. Ez a szoftver ugyanis képes komolyabb védelmi vonalakat is áttörni, amit mi sem bizonyít jobban, mint hogy kormányzati, gazdasági és ipari rendszerekben is felbukkant, amelyekből értékes adatokat szivárogtatott ki. A kártevő a bizalmas fájlok, dokumentumok megszerzésén túl alkalmas arra is, hogy webkamerák által készített képeket rögzítsen és továbbítson, valamint a támadók számára vezérelhetővé tegye a fertőzött számítógépeket.
A GhostNettel kapcsolatban a Torontói Egyetem kutatói körülbelül 10 hónappal ezelőtt kezdtek el vizsgálódni, és a napokban gondolták úgy, hogy elérkezett az ideje e rendkívül veszélyes kémhálózat leleplezésének. A szakemberek megállapították, hogy az elmúlt időszakban a GhostNet 103 országba "tette be a lábát", és megközelítőleg 1300 számítógépet foglalt magába. A vizsgálatokból kiderült, hogy a GhostNet mögött elsősorban politikai motivációk húzódnak meg.
A kémhálózattal kapcsolatos vizsgálódások igazán akkor kezdődtek el, amikor felmerült a gyanú, hogy a Dalai Láma irodáját online támadás érte. Hamar kiderült, hogy valami nincs rendben, hiszen a szakértők olyan rendszerekre bukkantak, amelyeken kémprogram futott. A nyomozások végül arra is fényt derítettek, hogy a kémkedés rengeteg országra kiterjedően történik.
Az egyetemi kutatók által feltárt információk alapján arra lehet következtetni, hogy a GhostNet központja Kínában van. Arra azonban eddig nincs bizonyíték, hogy a kínai kormány állna a kémhálózat hátterében, noha egy másik, a torontóinál élesebben fogalmazó cambridge-i tanulmány szerint a Dalai Láma féle eset mögött kínai kormányzati ügynökségek állnak.
A Torontói Egyetem a tanulmányában közli azon szervezetek nevét, amelyek érintetett a GhostNet kapcsán. Ezek között számos kormányzati és gazdasági intézmény, nagykövetség valamint cég szerepel. Az országok listáján megtalálható többek között Indonézia, Irán, Litvánia, Ciprus, Németország, India, Málta, Pakisztán, Portugália, Románia, Dél-Korea, Tajvan, stb. Magyarországi szervezet nincs a listán.
Amikor kártékony programok által felépített botnet hálózatok kerülnek szóba, akkor a biztonsági cégek közleményeiben elsősorban azt lehet olvasni, hogy hány százezer zombi PC vesz részt e kártékony rendszerek üzemetetésében. A napokban azonban egy olyan kémhálózat került a figyelem középpontjába, amelynek nem az a célja, hogy ezresével vonjon be otthoni számítógépeket a kártékony tevékenységébe, hanem hogy kifejezetten a legértékesebb adatokat gyűjtse össze.
A GhostNet néven emlegetett hálózat egy gh0st RAT (Remote Access Tool) nevű kártékony programnak köszönheti a létezését. Ez a szoftver ugyanis képes komolyabb védelmi vonalakat is áttörni, amit mi sem bizonyít jobban, mint hogy kormányzati, gazdasági és ipari rendszerekben is felbukkant, amelyekből értékes adatokat szivárogtatott ki. A kártevő a bizalmas fájlok, dokumentumok megszerzésén túl alkalmas arra is, hogy webkamerák által készített képeket rögzítsen és továbbítson, valamint a támadók számára vezérelhetővé tegye a fertőzött számítógépeket.
A GhostNettel kapcsolatban a Torontói Egyetem kutatói körülbelül 10 hónappal ezelőtt kezdtek el vizsgálódni, és a napokban gondolták úgy, hogy elérkezett az ideje e rendkívül veszélyes kémhálózat leleplezésének. A szakemberek megállapították, hogy az elmúlt időszakban a GhostNet 103 országba "tette be a lábát", és megközelítőleg 1300 számítógépet foglalt magába. A vizsgálatokból kiderült, hogy a GhostNet mögött elsősorban politikai motivációk húzódnak meg.
A kémhálózattal kapcsolatos vizsgálódások igazán akkor kezdődtek el, amikor felmerült a gyanú, hogy a Dalai Láma irodáját online támadás érte. Hamar kiderült, hogy valami nincs rendben, hiszen a szakértők olyan rendszerekre bukkantak, amelyeken kémprogram futott. A nyomozások végül arra is fényt derítettek, hogy a kémkedés rengeteg országra kiterjedően történik.
Az egyetemi kutatók által feltárt információk alapján arra lehet következtetni, hogy a GhostNet központja Kínában van. Arra azonban eddig nincs bizonyíték, hogy a kínai kormány állna a kémhálózat hátterében, noha egy másik, a torontóinál élesebben fogalmazó cambridge-i tanulmány szerint a Dalai Láma féle eset mögött kínai kormányzati ügynökségek állnak.
A Torontói Egyetem a tanulmányában közli azon szervezetek nevét, amelyek érintetett a GhostNet kapcsán. Ezek között számos kormányzati és gazdasági intézmény, nagykövetség valamint cég szerepel. Az országok listáján megtalálható többek között Indonézia, Irán, Litvánia, Ciprus, Németország, India, Málta, Pakisztán, Portugália, Románia, Dél-Korea, Tajvan, stb. Magyarországi szervezet nincs a listán.
2009. ápr. 2. 20:30 - írta Pchardver
A Sunbelt Software kártékony programokat rangsoroló, márciusi toplistája jelentős mértékben módosult az előző hónapokhoz képest.
Az elmúlt hat hónap fejleményeihez képest jelentős változás állt be a károkozó toplistában. Míg korábban a toplista szereplői az összes fertőzés közel 25 százalékáért voltak okolhatók, addig március során ez az arány jelentősen csökkent, hiszen alig haladta meg a 16 százalékot. Újdonság továbbá, hogy a komplex károkozók, elsősorban a reklámprogramként működő kártevők mellé visszatértek a "hagyományos" trójaiak, amelyek a top 10-es lista felét tették ki.
Az élen a Virtumonde található, amely egy új "funkciónak" köszönhetően immár automatikusan terjed a számítógépekhez csatlakoztatott adattárolókon (pl.: USB-eszközökön) keresztül. A második helyre egy régi ismerős, a magát felnőtt tartalmú videók lejátszására alkalmas szoftverként feltüntető, korábban sokszoros listavezető Trojan-Downloader.Zlob.Media-Codec verekedte magát vissza. A harmadik helyre a Downadup/Conficker féreg jutott fel: a több mint tízmillió PC-t megtámadó kártevő számos módon - USB-s meghajtókon, CD-ken, feltört programok között - terjedt szét az egész világon. A negyedik helyen ismét egy régi ismerős, a toplistára még 2007-ben feljutó Zango reklámprogram tért vissza.
Az ötödik-hetedik helyen három trójai található. A Trojan-Spy.Win32.Zbot trójait belépési adatok, bankkártyaszámok eltulajdonítására programoztak, míg a Trojan.Win32.Monder feltört programok mellett terjed, és véletlenszerűen elnevezett DLL fájlokkal tölti meg a Windows rendszermappáját. A Trojan.FakeAlert pedig nevéhez méltóan hamis biztonsági riasztásokat produkál, és hamis védelmi alkalmazásokat próbál terjeszteni. A toplistán nyolcadik lett Hotbar.ShopperReports kártevő, míg a kilencedik helyre egy ál-antivírus, az Antivirus 360 jutott fel. A rangsort a változatos kártevőket magában foglaló INF.Autorun károkozó család tagjai zárják.
A Sunbelt a március hónapra vonatkozó jelentésében megemlítette, hogy az elmúlt héten a Los Angelesi Szövetségi Bíróság négy év börtönre és 19.000 dollár kártérítésre ítélt egy 27 éves fiatalembert. A vád szerint John Schiefer 250.000 számítógépet fertőzött meg, és kapcsolta őket saját botnet hálózatába. Az internetes fizetési forgalmat figyelve a felhasználók PayPal adataira utazott, és a saját vásárlásait mások számlájának terhére hajtotta végre. A bíróság szerint Schiefer egyúttal egy dán médiavállalatot is átejtett, amelynek azt ígérte, hogy negyedmillió felhasználóhoz juttatja el legálisan egy termék reklámját pop-up ablakban.
A Sunbelt szerint a legfertőzőbb vírusok és kémprogramok Magyarországon 2009 márciusában:
1. Virtumonde (reklámprogram)
2. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
3. Downadup/Conficker (féreg)
4. Zango (reklámprogram/trójai)
5. Trojan-Spy.Win32.Zbot (kémprogram/trójai)
6. Trojan.Win32.Monder (trójai)
7. Trojan.FakeAlert (trójai)
8. Hotbar.ShopperReports (böngésző eszköztár)
9. Antivirus360 (ál-antivírus)
10. INF.Autorun (vegyes)
Az elmúlt hat hónap fejleményeihez képest jelentős változás állt be a károkozó toplistában. Míg korábban a toplista szereplői az összes fertőzés közel 25 százalékáért voltak okolhatók, addig március során ez az arány jelentősen csökkent, hiszen alig haladta meg a 16 százalékot. Újdonság továbbá, hogy a komplex károkozók, elsősorban a reklámprogramként működő kártevők mellé visszatértek a "hagyományos" trójaiak, amelyek a top 10-es lista felét tették ki.
Az élen a Virtumonde található, amely egy új "funkciónak" köszönhetően immár automatikusan terjed a számítógépekhez csatlakoztatott adattárolókon (pl.: USB-eszközökön) keresztül. A második helyre egy régi ismerős, a magát felnőtt tartalmú videók lejátszására alkalmas szoftverként feltüntető, korábban sokszoros listavezető Trojan-Downloader.Zlob.Media-Codec verekedte magát vissza. A harmadik helyre a Downadup/Conficker féreg jutott fel: a több mint tízmillió PC-t megtámadó kártevő számos módon - USB-s meghajtókon, CD-ken, feltört programok között - terjedt szét az egész világon. A negyedik helyen ismét egy régi ismerős, a toplistára még 2007-ben feljutó Zango reklámprogram tért vissza.
Az ötödik-hetedik helyen három trójai található. A Trojan-Spy.Win32.Zbot trójait belépési adatok, bankkártyaszámok eltulajdonítására programoztak, míg a Trojan.Win32.Monder feltört programok mellett terjed, és véletlenszerűen elnevezett DLL fájlokkal tölti meg a Windows rendszermappáját. A Trojan.FakeAlert pedig nevéhez méltóan hamis biztonsági riasztásokat produkál, és hamis védelmi alkalmazásokat próbál terjeszteni. A toplistán nyolcadik lett Hotbar.ShopperReports kártevő, míg a kilencedik helyre egy ál-antivírus, az Antivirus 360 jutott fel. A rangsort a változatos kártevőket magában foglaló INF.Autorun károkozó család tagjai zárják.
A Sunbelt a március hónapra vonatkozó jelentésében megemlítette, hogy az elmúlt héten a Los Angelesi Szövetségi Bíróság négy év börtönre és 19.000 dollár kártérítésre ítélt egy 27 éves fiatalembert. A vád szerint John Schiefer 250.000 számítógépet fertőzött meg, és kapcsolta őket saját botnet hálózatába. Az internetes fizetési forgalmat figyelve a felhasználók PayPal adataira utazott, és a saját vásárlásait mások számlájának terhére hajtotta végre. A bíróság szerint Schiefer egyúttal egy dán médiavállalatot is átejtett, amelynek azt ígérte, hogy negyedmillió felhasználóhoz juttatja el legálisan egy termék reklámját pop-up ablakban.
A Sunbelt szerint a legfertőzőbb vírusok és kémprogramok Magyarországon 2009 márciusában:
1. Virtumonde (reklámprogram)
2. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
3. Downadup/Conficker (féreg)
4. Zango (reklámprogram/trójai)
5. Trojan-Spy.Win32.Zbot (kémprogram/trójai)
6. Trojan.Win32.Monder (trójai)
7. Trojan.FakeAlert (trójai)
8. Hotbar.ShopperReports (böngésző eszköztár)
9. Antivirus360 (ál-antivírus)
10. INF.Autorun (vegyes)
