Перейти к содержанию

Новости о шпионских программах (и другом Malware)


Рекомендуемые сообщения

_ttp://www.securitylab.ru/news/364150.php

BitDefender сообщила об обнаружении нового вида злонамеренного ПО. Троянская программа известная как Trojan.PWS.ChromeInject, должна быть доставлена на систему другим злонамеренным приложением и скопирована в каталог плагинов браузера.

 

Троянская программа активируется при каждом запуске браузера и сохраняет пароли к сайтам согласно заданному списку. В списке находятся PayPal, адреса известных британских online магазинов и финансовых учреждений. Перехваченные учетные данные отправляются на определенный хост, расположенный в России.

 

В данный момент количество обнаружений этого злонамеренного ПО слишком мало. Сам инцидент примечателен новым походом к реализации. Напомним, что два года тому было обнаружено шпионское ПО, которое маскировалось под расширение Firefox.

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 55
  • Создана
  • Последний ответ

:smile2:

 

----------------------------------------------------------------------

 

TITLE:

Microsoft Windows WordPad Text Converter Vulnerability

 

SECUNIA ADVISORY ID:

SA32997

 

VERIFY ADVISORY:

http://secunia.com/advisories/32997/

 

CRITICAL:

Extremely critical

 

IMPACT:

System access

 

WHERE:

From remote

 

OPERATING SYSTEM:

Microsoft Windows XP Professional

http://secunia.com/advisories/product/22/

Microsoft Windows XP Home Edition

http://secunia.com/advisories/product/16/

Microsoft Windows Server 2003 Web Edition http://secunia.com/advisories/product/1176/

Microsoft Windows Server 2003 Standard Edition http://secunia.com/advisories/product/1173/

Microsoft Windows Server 2003 Enterprise Edition http://secunia.com/advisories/product/1174/

Microsoft Windows Server 2003 Datacenter Edition http://secunia.com/advisories/product/1175/

Microsoft Windows 2000 Server

http://secunia.com/advisories/product/20/

Microsoft Windows 2000 Professional

http://secunia.com/advisories/product/1/

Microsoft Windows 2000 Datacenter Server http://secunia.com/advisories/product/1177/

Microsoft Windows 2000 Advanced Server

http://secunia.com/advisories/product/21/

Microsoft Windows Storage Server 2003

http://secunia.com/advisories/product/12399/

 

DESCRIPTION:

A vulnerability has been reported in Microsoft Windows, which can be exploited by malicious people to compromise a user's system.

 

The vulnerability is caused due to an unspecified error in the WordPad Text Converter for Word 97 files and can be exploited to corrupt memory.

 

Successful exploitation allows execution of arbitrary code.

 

NOTE: According to Microsoft, the vulnerability is currently being actively exploited.

 

SOLUTION:

Do not open untrusted documents using WordPad.

 

The vendor recommends Windows XP SP2 users to upgrade to Windows XP SP3, which is reportedly not affected.

 

PROVIDED AND/OR DISCOVERED BY:

Reported as a 0-day.

 

ORIGINAL ADVISORY:

Microsoft (KB960906):

http://www.microsoft.com/technet/security/...ory/960906.mspx

 

----------------------------------------------------------------------

 

_ttp://isc.sans.org/diary.html?n&storyid=5458

0-day exploit for Internet Explorer in the wild

Published: 2008-12-10,

by Bojan Zdrnja (Version: 1)

 

As reported by some other researchers, there is a 0-day exploit for Internet Explorer circulating in the wild. At this point in time it does not appear to be wildly used, but as the code is publicly available we can expect that this will happen very soon.

 

This is a brand new exploit that is *not* patched with MS08-073 that was released yesterday. I can confirm that the exploit works in a fully patched Windows XP machine.

 

The exploit is a typical heap overflow that appears to be exploiting something in the XML parser. After setting up the heap (spraying it – allocating 159 arrays containing the shell code) the exploit checks if couple of things are satisfied before continuing:

 

* The user has to be running Internet Explorer

* The version of Internet Explorer has to be 7

* The operating system has to be Windows XP or Windows 2003

 

If these things are satisfied, the exploit creates an XML tag as shown above. What is also interesting, and can be seen in the code above is that it waits 6 seconds before executing the code – this was probably added to thwart automatic crawlers by anti-virus vendors.

 

We have not confirmed yet if other versions are affected (Internet Explorer 6 or Internet Explorer 7 on Microsoft Windows Vista).

 

How to mitigate? This is a difficult question as we have not analyzed this completely yet. If you use an alternative browser you are not affected. When we get more information we will update the diary.

Ссылка на комментарий
Поделиться на другие сайты

_ttp://subscribe.ru/archive/inet.safety.spamtest/200812/11113840.html

 

Pushdo теряет управление

11.12.2008

 

Как свидетельствуют эксперты компании FireEye, американский хостинг-провайдер Noc4Hosts и хостинг-провайдер Starline Web Services из Эстонии заблокировали доступ к ряду командных серверов ботнета Pushdo.

 

Владельцы Pushdo были одними из тех, кто потерял центры управления ботнетом в результате отключения от Сети McColo. Однако не все управление Pushdo было сосредоточено в ресурсах одиозного хостинг-провайдера.

 

Как оказалось, один из его командных серверов был размещен в датацентре таллиннской компании Starline, который пытались использовать также операторы ботнета Srizbi. Эстонцы проявили оперативность и отключили сервер Pushdo. По данным FireEye, этот ресурс обеспечивал ботнет шаблонами для рассылки спамовых предложений по трудоустройству. Исследователи полагают, что подобные предложения имели целью сбор резюме и выуживание из них персональной информации.

 

Шесть серверов Pushdo, обнаруженных экспертами в сетях Noc4Hosts, чей датацентр расположен в штате Флорида, также использовались для управления рассылкой спама. Они отвечали, в основном, за распространение рекламы интернет-аптек небезызвестной сети Canadian Pharmacy. Получив уведомление от FireEye об имеющих место злоупотреблениях, Noc4Hosts отключила эти серверы.

 

Специалисты FireEye выявили еще один сервер Pushdo, обслуживающий http-запросы на загрузку спам-ботов. Он размещен в сетях американской компании Ubiquity Server Solutions и пока активен.

 

По свидетельству экспертов, бинарный код Pushdo состоит из двух компонентов. Основной компонент имеет функции даунлоудера и связан с управляющим сервером через http-протокол. Большая часть таких серверов была размещена в сетях McColo. После инсталляции даунлоудер загружает в резидентную систему второй компонент - спамбот Cutwail.

 

Были случаи, когда этот спамбот устанавливался на инфицированную машину другой программой-даунлоудером - Trojan.Exchanger или одной из разновидностей ложного антивируса.

 

Оба компонента Pushdo работают на инфицированной машине раздельно и управляются разными серверами. Таким образом, если командный сервер основного компонента выйдет из строя, рассылка спама продолжается. В случае прекращения доступа Cutwail к соответствующему серверу, IP-адрес которого зафиксирован, спамбот пытается установить контакт с несколькими общедоступными DNS-серверами и переключиться на другой домен верхнего уровня. Кроме того, основной компонент Pushdo может запросить обновление у своего сервера и получить новые координаты для Cutwail.

 

Источник: blog.fireeye.com

 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

_ttp://www.heise-online.co.uk/security/Keyloggers-under-the-microscope--/news/112288

 

A team assembled by honeynet specialist Thorsten Holz from the University of Mannheim has published a case study of banking trojans, keyloggers and their dropzones. The researchers observed a variety of malware and their activities over an extended period and discovered over 33 GBytes of log files in the dropzones of over 70 different data-stealing pests.

 

The log files contained personal information on more than 170,000 victims, including passwords, PINs, user names, and so on. They also contained information, including PINs, on over 10,000 bank accounts, over 140,000 email passwords and the access details of nearly 80,000 members of social networking sites such as Facebook and Hi5.

 

The more popular keyloggers are likely to have a hard time with bank accounts in some countries, such as the Netherlands, Germany and South Africa, as their customers are required to use two factor authentication, with a Transaction Authentication Number (TAN) as well as a PIN. Although in theory these can also be logged, new TAN procedures prevent criminals from using a stolen TAN for fraudulent purposes. Some UK banks also use two factor authentication at least for account sign-in, for example by choosing random letters entered by mouse click from a secondary pass phrase.

 

The team singled out the Limbo keylogger for detailed analysis. They observed a total of 164,000 infections with this malware. The keylogger stored most of the data it collected in two Chinese drop zones. Geographically this broke down as; 16 per cent of the infections were traced to Russia, 14 per cent to the USA, 13 per cent to Spain, 12 per cent to the UK, and surprisingly, 7 per cent to Germany.

 

The researchers also discuss the resale value of stolen data in the 22-page study. Depending on its liquidity, the going rate for a bank account is anything between $10 and $1,000 US. Credit cards appear to be becoming less desirable – you can buy credit card information for as little as $0.40. Email passwords are more valuable, at between $4 and $30. The complete report "Learning More About the Underground Economy: A Case-Study of Keyloggers and Dropzones" is available for downloadPDF.

 

At the conclusion of the study, the team handed over its data to the Australian CERT (AusCert), which has a system for passing information on to banks and other institutions, who can then inform the victims and take steps to remedy the situation.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...