Перейти к содержанию

Новости о шпионских программах (и другом Malware)


Рекомендуемые сообщения

Для начала темы приведу пример того, какие сейчас изощренные и опасные стали шпионские программы (adware).

Если необходим перевод на русский - пишите. Учту на будущее.

 

_ttp://isc.sans.org/diary.html?n&storyid=3702 (и обязательно посмотрите расширенное описание в http://www.symantec.com/business/security_...99&tabid=1)

Treacherous malware: the story of Advatrix

Published: 2007-11-29,

Last Updated: 2007-11-29 00:55:54 UTC

by Bojan Zdrnja (Version: 1)

 

Recently I spent some time analyzing a relatively simple BHO (Browser Helper Object) just to see what the bad guys were really doing with it.

 

The BHO was dropped by an executable, which was part of a bigger adware package pretending to be an anti-virus program (of course). The only dropped file by this dropper was actually the DLL used by the BHO which the dropper registered with the system.

 

After quick analysis I found out that the BHO captured queries for various search engines and other commonly visited web sites and submitted them to a third web site. That web site had a possibility of displaying various ads on the infected machine (when I tested the BHO that component did not work).

 

The list of sites that the BHO stole information from was impressive – there were almost 140 sites monitored. For every site, the BHO had information about exactly what to extract, so only the user’s query was sent and not the whole URL.

 

For example, for wikipedia.org, the BHO extracted the search= parameter, while for search.yahoo.com it extracted the p= parameter.

 

The extracted parameters where then submitted to a third site (which is not working any more) with the following request:

 

http://[removed]/adtest/index.phtml?svLID=%25s&svAFF_ID=%25d&svCHECKIN_ID=%25d&svPOPUP=TARGETED&svKEYWORDS=%25s&svVERSION=%25d

 

Two most interesting things in this request are the svPOPUP and svKEYWORDS arguments. The svPOPUP tells the ad site to display targeted ads, related to the keywords submitted in the svKEYWORDS argument. As you can probably guess, those are the search terms that the user entered.

 

This was all more or less standard, only the number of monitored web sites seemed pretty high – this BHO certainly had a serious impact on a user’s privacy.

 

After I searched the web a bit, I found out that Elia Florio from Symantec already described another variant of this same BHO which they called Trojan.Advatrix (Symantec's description is here). Besides the information I already had, that particular variant did something else to the machine. Something very, very mean.

 

Elia found out that the BHO modifies Internet Explorer so that it becomes vulnerable to two security vulnerabilities: MS06-014 known as the MDAC vulnerability and MS07-017, known as the ANI vulnerability.

 

These two vulnerabilities are probably the most exploited vulnerabilities in Internet Explorer today. The MS06-014 vulnerability is practically a part of every exploit pack today (and is certainly in MPACK, which is the most popular one). Exploits for the ANI vulnerability can also still be found almost everywhere.

 

What makes me extremely worried is how hidden this whole thing is. The BHO just modifies Internet Explorer’s image which means that no files are written to the disk. In other words, such a machine will look completely patched to Windows Update or any other patch checking system. However, while the BHO is active, the machine will be vulnerable to two most exploited client side vulnerabilities in last couple of years.

 

The last line of defense, the anti-virus program, is not particularly helpful here either. The dropper I had was detected by only 13 out of 32 AV programs on VirusTotal and the DLL detection was even worse with only 7 AV programs detecting it.

 

While there are many lessons to learn from this malware, I would like to stress out one really important thing: when a machine gets infected, your only option is to reinstall it from scratch. With today’s malware phoning home and installing stealth, updated modules, this is really a no brainer.

 

--

 

 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 55
  • Создана
  • Последний ответ

_ttp://www.cnews.ru/news/line/index.shtml?2007/11/29/277318

 

В Сети в настоящее время ведется крупномасштабная скоординированная атака на пользователей через вредоносные страницы, занимающие первые места в поисковом рейтинге Google, отмечают специалисты ИБ-Sunbelt Software.

 

Сотни англоязычных поисковых запросов на различные темы, начиная от «как настроить маршрутизатор Cisco» до «как научить собаку приносить вещи по команде», выдают в первой десятке ссылки, ведущие на зараженные веб-страницы, сообщает CSOOnline.com. По словам исполнительного директора Sunbelt Алекса Экелберри, в Google обнаружены ссылки, ведущие по невинным запросам на 27 доменов, на каждом из которых находится до 1499 вредоносных страниц. Вместе они обслуживают 40 тыс. страниц.

 

Рейтинг этих страниц в результатах поиска искусственно завышается за счет спама в комментариях на известных сайтах или спама в блогах – позиция сайта в Google зависит, в частности, от количества ссылок на него с других ресурсов. Для завышений рейтинга используются ботнеты, отмечает Sunbelt Software.

 

Большая часть ссылок внешне не вызывает подозрений – это набор случайных букв в китайской доменной зоне «.cn». В некоторых случаях пользователю предлагают установить кодек (исполняемый файл – троян или червь) для просмотра видео, иногда – используют эксплойты, подгружаемые из плавающих рамок (iframes).

 

На одном из таких сайтов расположены более 25 разновидностей вредоносных программ, включая трояны, спам-боты, руткиты и модули для кражи паролей. Все эти программы определяются популярными антивирусами, отмечает Sunbelt, однако далеко не все пользователи своевременно обновляют свои защитные приложения, и злоумышленникам удается извлечь из этого результат.

 

Только один комментарий - не всегда они определяются антивирусами... :smile2:

Ссылка на комментарий
Поделиться на другие сайты

Сегодня нашел средство защиты от гадостей в JS-скриптах на странице - хотелось встроить в прокси-сервер обнаружение ключевых строк, характерных для хакерских скриптов (как уже писалось в теме "Куда течет..."). Оказалось, что в версии 0.6devel 3proxy есть плагин pcre, с помощью которого можно задать список регулярных выражний и он заблокирует загрузку страницы с такой ключевой строкой. Изначально он разрабатывался под родительский контроль, но и для этого пойдет (проверил). Можно делать и исключения из правил - чтобы не блокировались хорошие сайты :smile3:

Желающие получить файл конфигурации - пишите в личку. :smile1:

 

Ссылка на комментарий
Поделиться на другие сайты

в статье _ttp://honeyblog.org/junkyard/reports/www-china-TR.pdf есть интересная статистика - примерно 2% сайтов, посещаемых по результатам запросов поисковой машины, содержат вредоносный код и могут привести к заражению пользователя. А антивирусы показывают крайне низкую эффективность из-за активного применения хакерами технологий скрытия загрузчиков в HTML-коде.

Based on the measurement setup we introduced in the former subsection, we identified a total of 2,149

malicious websites from 144,587 distinct hosts which represent the most commonly visited websites

by normal Chinese Internet users. Table 6 provides an overview of the measurement results for the

twelve different categories, the blacklist, and the total sites. We found that the categories including freedownload,

sport/entertainment, movie/TV and chat/virtual society are more risky than others, which is

consistent with our anticipation. The results also reveal that all categories contain a significant amount

of malicious content: this is an important discovery as it means any Chinese Internet user accessing the

web is at risk, regardless of the type of content they browse. Given the fact that all these sites were found

using a search engine, this proofs that the threat is significant.

 

The measurement results for the different categories reveal that different parts of the Web have a

different degree of maliciousness: we found that user content is only malicious in 0.45% of the sites,

while free download sites have a significant higher chance of hosting malicious content.

 

...

 

In order to study how good an average Internet user is protected against this threat with the help of

anti-virus (AV) engines, we also scanned every collected samples with MWScanner. This is a tool we

developed that combines nine common AV engines, to identify known malware variations and families,

and to examine the detection rates of these AV engines. Table 7 provides an overview of the detection

rates for different AV engines. If the AV engine detects a malicious file from the downloaded case data

(including web-based and conventional Trojans), then we count this as a case detection. If the AV engine

detects a malicious executable (PE file format) or a malicious sites, we count it as a conventional Trojan

detection. Finally, if the AV engine detects a malicious non-executable (not PE file format) from the case

data, then we count it as a web-based Trojan detection. For the sake of brevity, we just show the detection

rates for the best international and local AV engine.

AV Engine Case Web-based Conventional

Best International 86.1% 25.4% 83.6%

Best Local 88.7% 36.7% 84.7%

Table 7: Detection rates for malicious websites as a whole case, and the Web-based / conventional Trojan

Our measurements show that all of the AV engines achieve poor detection rates for the Web-based

Trojans, much worse than the detection rates for conventional Trojans. This is presumably mainly due to

the heavy obfuscation methods used by the attackers to evade detection, and it seems that the AV vendors

have not paid enough attention to the threats posed by malicious websites.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...