Перейти к содержанию

Новости о шпионских программах (и другом Malware)


Рекомендуемые сообщения

Для начала темы приведу пример того, какие сейчас изощренные и опасные стали шпионские программы (adware).

Если необходим перевод на русский - пишите. Учту на будущее.

 

_ttp://isc.sans.org/diary.html?n&storyid=3702 (и обязательно посмотрите расширенное описание в http://www.symantec.com/business/security_...99&tabid=1)

Treacherous malware: the story of Advatrix

Published: 2007-11-29,

Last Updated: 2007-11-29 00:55:54 UTC

by Bojan Zdrnja (Version: 1)

 

Recently I spent some time analyzing a relatively simple BHO (Browser Helper Object) just to see what the bad guys were really doing with it.

 

The BHO was dropped by an executable, which was part of a bigger adware package pretending to be an anti-virus program (of course). The only dropped file by this dropper was actually the DLL used by the BHO which the dropper registered with the system.

 

After quick analysis I found out that the BHO captured queries for various search engines and other commonly visited web sites and submitted them to a third web site. That web site had a possibility of displaying various ads on the infected machine (when I tested the BHO that component did not work).

 

The list of sites that the BHO stole information from was impressive – there were almost 140 sites monitored. For every site, the BHO had information about exactly what to extract, so only the user’s query was sent and not the whole URL.

 

For example, for wikipedia.org, the BHO extracted the search= parameter, while for search.yahoo.com it extracted the p= parameter.

 

The extracted parameters where then submitted to a third site (which is not working any more) with the following request:

 

http://[removed]/adtest/index.phtml?svLID=%25s&svAFF_ID=%25d&svCHECKIN_ID=%25d&svPOPUP=TARGETED&svKEYWORDS=%25s&svVERSION=%25d

 

Two most interesting things in this request are the svPOPUP and svKEYWORDS arguments. The svPOPUP tells the ad site to display targeted ads, related to the keywords submitted in the svKEYWORDS argument. As you can probably guess, those are the search terms that the user entered.

 

This was all more or less standard, only the number of monitored web sites seemed pretty high – this BHO certainly had a serious impact on a user’s privacy.

 

After I searched the web a bit, I found out that Elia Florio from Symantec already described another variant of this same BHO which they called Trojan.Advatrix (Symantec's description is here). Besides the information I already had, that particular variant did something else to the machine. Something very, very mean.

 

Elia found out that the BHO modifies Internet Explorer so that it becomes vulnerable to two security vulnerabilities: MS06-014 known as the MDAC vulnerability and MS07-017, known as the ANI vulnerability.

 

These two vulnerabilities are probably the most exploited vulnerabilities in Internet Explorer today. The MS06-014 vulnerability is practically a part of every exploit pack today (and is certainly in MPACK, which is the most popular one). Exploits for the ANI vulnerability can also still be found almost everywhere.

 

What makes me extremely worried is how hidden this whole thing is. The BHO just modifies Internet Explorer’s image which means that no files are written to the disk. In other words, such a machine will look completely patched to Windows Update or any other patch checking system. However, while the BHO is active, the machine will be vulnerable to two most exploited client side vulnerabilities in last couple of years.

 

The last line of defense, the anti-virus program, is not particularly helpful here either. The dropper I had was detected by only 13 out of 32 AV programs on VirusTotal and the DLL detection was even worse with only 7 AV programs detecting it.

 

While there are many lessons to learn from this malware, I would like to stress out one really important thing: when a machine gets infected, your only option is to reinstall it from scratch. With today’s malware phoning home and installing stealth, updated modules, this is really a no brainer.

 

--

 

 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 55
  • Создана
  • Последний ответ

_ttp://www.cnews.ru/news/line/index.shtml?2007/11/29/277318

 

В Сети в настоящее время ведется крупномасштабная скоординированная атака на пользователей через вредоносные страницы, занимающие первые места в поисковом рейтинге Google, отмечают специалисты ИБ-Sunbelt Software.

 

Сотни англоязычных поисковых запросов на различные темы, начиная от «как настроить маршрутизатор Cisco» до «как научить собаку приносить вещи по команде», выдают в первой десятке ссылки, ведущие на зараженные веб-страницы, сообщает CSOOnline.com. По словам исполнительного директора Sunbelt Алекса Экелберри, в Google обнаружены ссылки, ведущие по невинным запросам на 27 доменов, на каждом из которых находится до 1499 вредоносных страниц. Вместе они обслуживают 40 тыс. страниц.

 

Рейтинг этих страниц в результатах поиска искусственно завышается за счет спама в комментариях на известных сайтах или спама в блогах – позиция сайта в Google зависит, в частности, от количества ссылок на него с других ресурсов. Для завышений рейтинга используются ботнеты, отмечает Sunbelt Software.

 

Большая часть ссылок внешне не вызывает подозрений – это набор случайных букв в китайской доменной зоне «.cn». В некоторых случаях пользователю предлагают установить кодек (исполняемый файл – троян или червь) для просмотра видео, иногда – используют эксплойты, подгружаемые из плавающих рамок (iframes).

 

На одном из таких сайтов расположены более 25 разновидностей вредоносных программ, включая трояны, спам-боты, руткиты и модули для кражи паролей. Все эти программы определяются популярными антивирусами, отмечает Sunbelt, однако далеко не все пользователи своевременно обновляют свои защитные приложения, и злоумышленникам удается извлечь из этого результат.

 

Только один комментарий - не всегда они определяются антивирусами... :smile2:

Ссылка на комментарий
Поделиться на другие сайты

Сегодня нашел средство защиты от гадостей в JS-скриптах на странице - хотелось встроить в прокси-сервер обнаружение ключевых строк, характерных для хакерских скриптов (как уже писалось в теме "Куда течет..."). Оказалось, что в версии 0.6devel 3proxy есть плагин pcre, с помощью которого можно задать список регулярных выражний и он заблокирует загрузку страницы с такой ключевой строкой. Изначально он разрабатывался под родительский контроль, но и для этого пойдет (проверил). Можно делать и исключения из правил - чтобы не блокировались хорошие сайты :smile3:

Желающие получить файл конфигурации - пишите в личку. :smile1:

 

Ссылка на комментарий
Поделиться на другие сайты

в статье _ttp://honeyblog.org/junkyard/reports/www-china-TR.pdf есть интересная статистика - примерно 2% сайтов, посещаемых по результатам запросов поисковой машины, содержат вредоносный код и могут привести к заражению пользователя. А антивирусы показывают крайне низкую эффективность из-за активного применения хакерами технологий скрытия загрузчиков в HTML-коде.

Based on the measurement setup we introduced in the former subsection, we identified a total of 2,149

malicious websites from 144,587 distinct hosts which represent the most commonly visited websites

by normal Chinese Internet users. Table 6 provides an overview of the measurement results for the

twelve different categories, the blacklist, and the total sites. We found that the categories including freedownload,

sport/entertainment, movie/TV and chat/virtual society are more risky than others, which is

consistent with our anticipation. The results also reveal that all categories contain a significant amount

of malicious content: this is an important discovery as it means any Chinese Internet user accessing the

web is at risk, regardless of the type of content they browse. Given the fact that all these sites were found

using a search engine, this proofs that the threat is significant.

 

The measurement results for the different categories reveal that different parts of the Web have a

different degree of maliciousness: we found that user content is only malicious in 0.45% of the sites,

while free download sites have a significant higher chance of hosting malicious content.

 

...

 

In order to study how good an average Internet user is protected against this threat with the help of

anti-virus (AV) engines, we also scanned every collected samples with MWScanner. This is a tool we

developed that combines nine common AV engines, to identify known malware variations and families,

and to examine the detection rates of these AV engines. Table 7 provides an overview of the detection

rates for different AV engines. If the AV engine detects a malicious file from the downloaded case data

(including web-based and conventional Trojans), then we count this as a case detection. If the AV engine

detects a malicious executable (PE file format) or a malicious sites, we count it as a conventional Trojan

detection. Finally, if the AV engine detects a malicious non-executable (not PE file format) from the case

data, then we count it as a web-based Trojan detection. For the sake of brevity, we just show the detection

rates for the best international and local AV engine.

AV Engine Case Web-based Conventional

Best International 86.1% 25.4% 83.6%

Best Local 88.7% 36.7% 84.7%

Table 7: Detection rates for malicious websites as a whole case, and the Web-based / conventional Trojan

Our measurements show that all of the AV engines achieve poor detection rates for the Web-based

Trojans, much worse than the detection rates for conventional Trojans. This is presumably mainly due to

the heavy obfuscation methods used by the attackers to evade detection, and it seems that the AV vendors

have not paid enough attention to the threats posed by malicious websites.

 

 

Ссылка на комментарий
Поделиться на другие сайты

_ttp://www.honeynet.org/papers/mws/KYE-Malicious_Web_Servers.htm

 

The first recommendation is to reduce the likelihood that a successful attack will do harm. An attack on your browser will inevitably occur, and there are several measures that can make this attack hit a brick wall even if your browser is vulnerable and the attack succeeds. Using the browser as a non-administrator user or within a Sandbox will not allow malware to install itself on the machine. This is already the default on a Windows Vista and Internet Explorer 7 installation, but there are several products freely available for older versions as well, such as AMUST Defender or Sandboxie.

 

Further, we recommend using a host-based firewall that blocks inbound and outbound connections per application. Many firewalls support a learning mode that dynamically configures the firewall via prompting the user to accept/reject a connection. As users tend to accept the prompts without much consideration, we believe this might result in an insecure configuration of the firewall, and should rather be configured by an expert after the installation. Running a host based firewall would restrict malware from performing its malicious deeds. The malware pushed by the Keith Jarrett site, for instance, could not send the collected user data to a malicious data collection server if a host-based firewall is installed. The outgoing connection would have been blocked based on the fact that the malware application wasn’t authorized to make an outbound connection on port 80. Inbound connection blocking is also important. If malware starts a service that allows the attacker to remotely connect to the machine, for instance via a remote desktop software, the firewall could successfully prevent inbound connections from being established. While malware is able to disable such a firewall once it has gained control of the machine, we did not observe such behavior on our client honeypots.

 

Second, we are recommending methods that stop the attack. We have shown that blacklisting is an effective technique. Since the landscape of malicious servers is quite dynamic, it is important to update such a blacklist on a regular basis just as one updates antivirus signatures. Alternatively, one can use one of the many browser toolbars that make a safety assessment of the site. Patching is the other mechanism that can prevent attacks. Of course, this only works on attacks for which patches are readily available. We recommend patching not only the operating system and browser, but also plug-ins and non-browser applications. As the exploit found on the Keith Jarrett site has shown, attacks also target applications that one might have not think about patching, such as Winzip. Since it is quite difficult to determine whether insecure and unpatched software is running on a system, several tools exist that make this assessment easier. One of these tools is the Secunia Software Inspector that performs an online scan of the machine to determine whether unpatched software is running. Disabling JavaScript might be another very effective method to stop attacks. Most attacks we observed did need JavaScript to be enabled. Disabling JavaScript, however, might not be feasible as it would severely impact the functionality of many legitimate web sites. Some tools address this problem by globally disabling JavaScript, but selectively enabling it for certain trusted site. NoScript for the Firefox browser is an example of such a tool.

 

When choosing a search engine to access sites, ensure that you use one that assesses the safety of the sites in its index. Google for instance, displays warning messages on the search results page next to sites that are not safe. While Google’s internal blacklist is probably also not complete, it provides another protection layer that might prevent a successful compromise on the machine you are using.

 

Finally, we make a recommendation on the software to use. Attackers are criminals that would like to attack as many people as possible in order to get the largest return on their investment. As such, they target popular, homogenous systems. The tests we conducted show that a simple but effective way to remove yourself as a targeted user is to use a non-mainstream application, such as Opera. As mentioned above, despite the existence of vulnerabilities, this browser didn’t seem to be a target.

 

We have just listed a few recommendations that would allow you to reduce the risk of falling victim to an attack by a malicious web server. Implementing such measures does not guarantee full protection, but it does lower the risk. One should practice security in breadth and depth and there are additional measures one can take that are beyond the scope of this paper, such as measures that would detect a successful compromise. To best secure your operating system and browser we suggest contacting your vendor directly for specific instructions on configuration or patching against client-side attacks. You can reference our paper directly with them and inquire as to their specific instructions for mitigating these types of attacks with their software.

Ссылка на комментарий
Поделиться на другие сайты

Сегодня нашел средство защиты от гадостей в JS-скриптах на странице - хотелось встроить в прокси-сервер обнаружение ключевых строк, характерных для хакерских скриптов (как уже писалось в теме "Куда течет..."). Оказалось, что в версии 0.6devel 3proxy есть плагин pcre, с помощью которого можно задать список регулярных выражний и он заблокирует загрузку страницы с такой ключевой строкой. Изначально он разрабатывался под родительский контроль, но и для этого пойдет (проверил). Можно делать и исключения из правил - чтобы не блокировались хорошие сайты :smile3:

Желающие получить файл конфигурации - пишите в личку. :smile1:

Ув.Vinni!Хотелось бы получить такой файл! :smile4: Заранее спасибо! :smile21:

Ссылка на комментарий
Поделиться на другие сайты

Ув.Vinni!Хотелось бы получить такой файл! :smile4: Заранее спасибо! :smile21:

Уважаемый Человек, там не все так просто (возможны ложные срабатывания при неправильной настройке ключевых слов для блокирования). :smile17:

 

Итак, нужна программа 3proxy (_ttp://3proxy.ru/current/3proxy-0.6-devel.zip). В ней используется плагин PCRE (документация - http://3proxy.ru/plugins/PCREPlugin/). В директории, куда установлен 3proxy, должен быть файл PCREPlugin.dll . Код ошибки для страниц, на которых найдены "вредные" ключевые слова - 019. :smile3:

 

Этот прокси-сервер надо ставить локально. То есть надо будет сконфигурировать свой браузер таким образом, чтобы он обращался к веб-серверам не напрямую, а через этот прокси (в моем примере - прокси на 127.0.0.1:8080)

Ниже пример конфигурации (еще раз предупреждаю - возможно блокирование совсем не хакерских страниц, в которых есть строка document.write. Поэтому в "белый список" добавлен it2b-forum.ru :smile5: ). И еще - доступ к прокси заблокирован с других машин и разрешен только с локальной машины.

 

service

 

log c:\3proxy\logs\3proxy.log D

 

logformat "L%d-%m-%Y %H:%M:%S %z %N.%p %E %U %C:%c %R:%r %O %I %h %T"

flush

auth iponly

# pcre plugin

plugin c:\3proxy\PCREPlugin.dll pcre_plugin

pcre srvdata dunno "document\.write"

pcre_extend allow * it2b-forum.ru

pcre_extend deny * *

pcre srvdata deny "eval\("

pcre srvdata deny "arguments\.callee\.toString"

#

allow * 127.0.0.1 * * *

deny * * * * *

proxy -p8080 -a0

 

 

Ссылка на комментарий
Поделиться на другие сайты

_ttp://www.securitylab.ru/news/309558.php

 

В четверг в баннерной сети издания Utro.ru появился вредоносный код. После заражения на компьютере пользователя устанавливаются боты, которые принимают участие в DDoS-атаках, сообщает блог по безопасности urs-molotoff.

 

Специалисты предупредили РБК, но вредоносный баннер до сих пор крутится в сетке Utro.ru и заражает компьютеры ботами - а те, в свою очередь, заваливают "заказанные" сайты. Называется этот ботнет Black Energy, и его автор, по некоторым сведениям - наш соотечественник.

 

Западные эксперты отмечают, что в последнее время ботнеты все чаще приходят из России. В конце ноября ФБР рапортовало о завешении второй части операции Bot Roast по борьбе с ботнетами у себя в США. В то же время в Рунете как раз в ноябре стали ходить рассылки с рекламой услуг про организации DDoS-атак с помощью ботнетов. А теперь дошло и до баннерной сети Utro.ru в качестве рекламной площадки.

 

Стоит отметить также, что это уже третий в этом году случай распространения вредоносных кодов через проекты РБК. В июле благодаря предыдущему заражению баннерной сети Utro.ru несколько известных новостных сайтов стали распространителями трояна, который занимался кражей идентификационных данных пользователей Quik. Ранее в июне трояны для кражи паролей распространялись через главный сайт РБК....

Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

Похоже все это уходит в прошлое, начали действовать новые программы.

В Windows Vista нашли шпионский модуль

21 декабря 2007, 10:34

Версия для печати

Вставить в блог

 

Эксперты подозревают, что один из алгоритмов в новой версии Windows Vista был создан по указанию спецслужб США.

 

В новейшую версию операционной системы Windows Vista, в ее первый пакет обновлений, будет включен генератор псевдослучайных чисел со странным алгоритмом. По мнению некоторых экспертов, данный модуль стандартизирован по указанию спецслужб США и имеет «черную дверь», позволяющую «заинтересованным лицам» получать доступ к ценной информации пользователя.

 

 

Алгоритм под кодовым названием Dual_EC_DRBG вошел, как опция в пакет обновления Service Pack 1 операционной системы Windows Vista. По умолчанию в Vista SP1 используется другой алгоритм - CTR_DBG, основанный на AES. Релиз-кандидат пакета доступен для загрузки уже несколько дней.

 

 

О своих плохих подозрениях относительно Dual_EC_DRBG ранее заявляли несколько криптоаналитиков. Известный эксперт по безопасности Брюс Шнейер указывал на то, что спецслужбы США непосредственно вовлечены в установление криптографических стандартов страны. По его словам, именно Агентство национальной безопасности предложило сделать Dual_EC_DRBG национальным стандартом, несмотря на его низкую производительность, что и было реализовано американским Национальным институтом стандартов и технологий.

 

 

Об этом сообщает Cnews.

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...