Перейти к содержанию

Новости о шпионских программах (и другом Malware)


Рекомендуемые сообщения

:smile3:

 

--Mandiant Team Wins Race to Zero Contest (August 11, 2008) A trio of consultants from Mandiant won the Race to Zero contest. While they did not finish first, Nick Harbour, Steve Davis and Pete Silberman "managed to sneak all 10 virus and exploit samples past major antivirus scanners." The three said they participated in the contest to draw attention to the fact that organizations should not depend solely

on antivirus tools to protect their systems. Harbour created

obfuscation software that he and his team used in the contest.

Another team brought custom packing software that allowed them to finish first, in just two hours and 25 minutes; the Mandiant team took just over six hours to complete the contest. Race to Zero is run by New Zealand security researcher Simon Howard. The contest was conducted on a closed network not connected to the Internet.

http://www.securityfocus.com/brief/795?ref=rss

http://www.securityfocus.com/print/news/11531

[Editor's Note (Skoudis): I saw Nick Harbour present at Defcon, and found his research fascinating. The way he slices and dices executables to make them difficult or impossible to detect is quite impressive and scary. Based on his work and the work of many others, I believe the AV vendors will have to turn more and more to behavior-based detection. Signatures were cool fifteen, ten, and arguably five years ago. We shouldn't ditch them, but realize that we really need to augment them.

(Northcutt): The day of anti-virus products has passed; they had a good run. Save the money, run ClamAV to keep the auditors off your back and vigorously investigate one of the white list solutions. We did a webcast on this basic problem, but you don't need to invest the time to listen to the webcast. The powerpoint is posted with notes:

https://www.sans.org/webcasts/show.php?webcastid=91963 ]

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 55
  • Создана
  • Последний ответ

:smile20:

 

--Dutch Police Notify Users Infected with Bot Malware (August 8, 2008) Dutch police have notified people whose computers were infected with malware that made them part of a botnet comprising more than 100,000 PCs. People were redirected to a web page containing directions on disabling the malware and a link to an online virus scanner.

The police were able to automatically forward the infected users to the help page because they have taken control of the botnet.

A 19-year old man was arrested last week when he tried to sell the botnet to someone in Brazil for GBP 25,000 (US $47,839).

http://www.computerworlduk.com/management/...fm?NewsId=10427

[Editor's Note (Ullrich): An interesting tactic that should probably be investigated more. In the past, investigators of botnets (law enforcement or not) have been careful not to use the botnet functions themselves. Most of the time, the exact effects of these actions are not well understood. Other methods have however not been very successful in notifying users.]

Ссылка на комментарий
Поделиться на другие сайты

  • 3 месяца спустя...

_ttp://www.securitylab.ru/news/363717.php

 

Во время кампании по увеличению трафика, главная страница сайта компании «Альфастрахование» заражала посетителей трояном через эротико-рекламный мультфильм.

 

Акция по привлечению посетителей на сайт «Альфастрахования» была запущена 25 ноября. На главной странице сайта была установлена закладка - при многократном (5-8 раз) нажатии на номер телефона компании запускался swf-мультфильм эротического содержания, сопровожденный призывом воспользоваться страховыми услугами компании.

 

Информация об этом распространялась по Сети методом вирусного маркетинга. По данным Rambler Top100 за вчерашний день главную страницу сайта посетили 142 480 раз, что сопоставимо с недельной нормой посещаемости ресурса.

 

Вскоре после старта рекламной кампании обнаружилось, что в код ролика внедрена троянская программа Trojan-Spy.Win32.Zbot.gkj. По информации «Лаборатории Касперского», она была внесена в антивирусную базу 16 ноября 2008 г., и антивирусные продукты компании ее детектировали, не рекомендуя сайт к посещению. Учитывая «аккуратность» расположения трояна во flash-коде, в «Касперском» не исключают, что вредоносная программа была подсажена на сайт вручную. Вирус грузился внутри ролика следующим образом:

 

...

В «Лаборатории Касперского» не располагают информацией о функциональности этого трояна, но семейству Zbot, к которому он относится, свойственно, после инсталляции себя в систему, воровать пользовательские пароли, перехватывать данные, вводимые в формы браузеров и контролировать адреса банков и платежных систем. Таким образом происходит кража аккаунтов. Трояны Zbot способны перехватывать нажатие кнопки мыши и делаеть в этот момент скриншот экрана.

 

Интересно, что, хотя по информации «Лаборатории Касперского», ИТ-департамент «Альфастрахования» был извещен о проблеме с главной страницей вечером 25 ноября, днем 26-го flash-ролик еще запускался, и антивирусные программы детектировали в нем троян.

 

 

Ссылка на комментарий
Поделиться на другие сайты

 

_ttp://subscribe.ru/archive/inet.safety.spamtest/200812/04101148.html

Эстония отказала Srizbi в прописке

01.12.2008

25 ноября операторам ботнета Srizbi, потерявшего командные серверы в результате отключения от Сети хостинг-провайдера McColo, удалось перевести управляющие функции на серверы небольшой таллиннской компании Starline Web Services. Однако благодаря оперативности национальной Группы быстрого реагирования на компьютерные инциденты (Computer Emergency Readiness Team, CERT) и магистрального провайдера Linxtelecom новые адреса были через 13 часов заблокированы.

По оценке исследователей компании FireEye, в настоящее время ботнет Srizbi состоит приблизительно из 500000 зараженных машин, а сам троянец имеет более 50 модификаций. Как выяснилось, в случае потери связи с командным сервером бот Srizbi пытается восстановить ее перебором четырех «резервных» доменов.

Списки этих доменов и порядок их перебора отличаются у ботов, ориентированных на разные управляющие серверы, и обновляются каждые трое суток. Таким образом, для восстановления работы ботнета его операторам требуется всего лишь зарегистрировать актуальные домены, перенести управляющие функции на новые сервера и обновить спам-боты.

Воспользовавшись обнаруженным алгоритмом, эксперты FireEye попытались опередить повелителей Srizbi. Какое-то время они регистрировали воспроизводимые генератором варианты доменных имен, однако этот сценарий оказался слишком разорительным, так как требовал оплаты 450 доменов в неделю.

Как только исследователи прекратили регистрацию, инициативу перехватили владельцы ботнета. За один день компания DirectNIC, являющаяся специализированным подразделением американского онлайн-альянса Intercosmos Media Group, зарегистрировала пять доменов на имя некоего Улугбека Асатопова из Анкары. Четыре из них привязаны к эстонским серверам, а один - к серверу, IP-адрес которого зарегистрирован на Каймановых островах, а веб-хостинг находится во Франкфурте, Германия. Последний пока остается онлайн.

По оценкам экспертов, за время работы новых командных серверов Srizbi с ними имели возможность связаться около 100000 ботов. Сколько из них успели получить обновления, неизвестно, но новый шаблон для рассылки спама использовал кодировку koi8-r, то есть был рассчитан на русскоязычных пользователей Интернета. Все новые адреса SMTP-серверов принадлежат доменной зоне .ru. Один из этих серверов обслуживает крупнейший российский банк.

Ссылка на комментарий
Поделиться на другие сайты

вот какие сейчас малвари - при заражении машины устанавливают ложный DHCP-сервер в ЛВС, который в качестве DNS-серверов указывает вместо нормальных корпоративных адресов адреса DNS-серверов. находящихся под контролем атакующего :smile19: открывая таким образом большие возможности по перенаправлению жертвы (фишинг и т.д.)

По данным SANS эта малварь сейчас активно распространяется...

 

_ttp://isc.sans.org/diary.html?n&storyid=5434

 

Fellow researchers from Symantec posted technical details about an interesting variant of a well known DNSChanger malware. The analysis is available at http://www.symantec.com/security_response/...-99&tabid=1

 

The DNSChanger malware has been in the wild for quite some time and already drew our attention previously when authors started attacking popular ADSL modems. As the name says, the malware changed DNS server settings, typically to servers in the "popular" 85.255 network. We published several diaries about this malware, the most recent one from Andre is available at http://isc.sans.org/diary.html?storyid=5390.

 

The evolution went from changing local DNS servers in the operating system (for both Windows and Mac!) to changing DNS server settings in ADSL modems/routers/cable modems.

 

The malware described by Symantec goes a step further – it installs a rogue DHCP server on the network. Besides the post by Symantec, we also got notified of this malware two days ago by our reader Tim, so we can confirm that this malware is in the wild.

 

What does it do? The malware installs a legitimate driver, NDISProt which allows it to send and receive raw Ethernet frames. Once the driver is installed, the malware "simulates" a DHCP server. It starts monitoring network traffic and when it sees a DHCP discover packet it replies with its own DHCP Offer packet. As you can guess, the offered DHCP lease will contain malicious DNS servers, as shown below:

 

 

 

While not too sophisticated, the whole attack is very interesting. First, it's about a race between the rogue DHCP server and the legitimate one. Second, once a machine has been poisoned it is impossible to detect how it actually got poisoned in the first place – you will have to analyze network traffic to see the MAC address of those DHCP Offer packets to find out where the infected machine actually is.

 

As we wrote numerous times before, it's probably wise to at least monitor traffic to 85.255.112.0 – 85.255.127.255, if not block it.

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...