Перейти к содержанию

Новости о шпионских программах (и другом Malware)


Рекомендуемые сообщения

:smile3:

 

--Mandiant Team Wins Race to Zero Contest (August 11, 2008) A trio of consultants from Mandiant won the Race to Zero contest. While they did not finish first, Nick Harbour, Steve Davis and Pete Silberman "managed to sneak all 10 virus and exploit samples past major antivirus scanners." The three said they participated in the contest to draw attention to the fact that organizations should not depend solely

on antivirus tools to protect their systems. Harbour created

obfuscation software that he and his team used in the contest.

Another team brought custom packing software that allowed them to finish first, in just two hours and 25 minutes; the Mandiant team took just over six hours to complete the contest. Race to Zero is run by New Zealand security researcher Simon Howard. The contest was conducted on a closed network not connected to the Internet.

http://www.securityfocus.com/brief/795?ref=rss

http://www.securityfocus.com/print/news/11531

[Editor's Note (Skoudis): I saw Nick Harbour present at Defcon, and found his research fascinating. The way he slices and dices executables to make them difficult or impossible to detect is quite impressive and scary. Based on his work and the work of many others, I believe the AV vendors will have to turn more and more to behavior-based detection. Signatures were cool fifteen, ten, and arguably five years ago. We shouldn't ditch them, but realize that we really need to augment them.

(Northcutt): The day of anti-virus products has passed; they had a good run. Save the money, run ClamAV to keep the auditors off your back and vigorously investigate one of the white list solutions. We did a webcast on this basic problem, but you don't need to invest the time to listen to the webcast. The powerpoint is posted with notes:

https://www.sans.org/webcasts/show.php?webcastid=91963 ]

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 55
  • Создана
  • Последний ответ

:smile20:

 

--Dutch Police Notify Users Infected with Bot Malware (August 8, 2008) Dutch police have notified people whose computers were infected with malware that made them part of a botnet comprising more than 100,000 PCs. People were redirected to a web page containing directions on disabling the malware and a link to an online virus scanner.

The police were able to automatically forward the infected users to the help page because they have taken control of the botnet.

A 19-year old man was arrested last week when he tried to sell the botnet to someone in Brazil for GBP 25,000 (US $47,839).

http://www.computerworlduk.com/management/...fm?NewsId=10427

[Editor's Note (Ullrich): An interesting tactic that should probably be investigated more. In the past, investigators of botnets (law enforcement or not) have been careful not to use the botnet functions themselves. Most of the time, the exact effects of these actions are not well understood. Other methods have however not been very successful in notifying users.]

Ссылка на комментарий
Поделиться на другие сайты

  • 3 месяца спустя...

_ttp://www.securitylab.ru/news/363717.php

 

Во время кампании по увеличению трафика, главная страница сайта компании «Альфастрахование» заражала посетителей трояном через эротико-рекламный мультфильм.

 

Акция по привлечению посетителей на сайт «Альфастрахования» была запущена 25 ноября. На главной странице сайта была установлена закладка - при многократном (5-8 раз) нажатии на номер телефона компании запускался swf-мультфильм эротического содержания, сопровожденный призывом воспользоваться страховыми услугами компании.

 

Информация об этом распространялась по Сети методом вирусного маркетинга. По данным Rambler Top100 за вчерашний день главную страницу сайта посетили 142 480 раз, что сопоставимо с недельной нормой посещаемости ресурса.

 

Вскоре после старта рекламной кампании обнаружилось, что в код ролика внедрена троянская программа Trojan-Spy.Win32.Zbot.gkj. По информации «Лаборатории Касперского», она была внесена в антивирусную базу 16 ноября 2008 г., и антивирусные продукты компании ее детектировали, не рекомендуя сайт к посещению. Учитывая «аккуратность» расположения трояна во flash-коде, в «Касперском» не исключают, что вредоносная программа была подсажена на сайт вручную. Вирус грузился внутри ролика следующим образом:

 

...

В «Лаборатории Касперского» не располагают информацией о функциональности этого трояна, но семейству Zbot, к которому он относится, свойственно, после инсталляции себя в систему, воровать пользовательские пароли, перехватывать данные, вводимые в формы браузеров и контролировать адреса банков и платежных систем. Таким образом происходит кража аккаунтов. Трояны Zbot способны перехватывать нажатие кнопки мыши и делаеть в этот момент скриншот экрана.

 

Интересно, что, хотя по информации «Лаборатории Касперского», ИТ-департамент «Альфастрахования» был извещен о проблеме с главной страницей вечером 25 ноября, днем 26-го flash-ролик еще запускался, и антивирусные программы детектировали в нем троян.

 

 

Ссылка на комментарий
Поделиться на другие сайты

 

_ttp://subscribe.ru/archive/inet.safety.spamtest/200812/04101148.html

Эстония отказала Srizbi в прописке

01.12.2008

25 ноября операторам ботнета Srizbi, потерявшего командные серверы в результате отключения от Сети хостинг-провайдера McColo, удалось перевести управляющие функции на серверы небольшой таллиннской компании Starline Web Services. Однако благодаря оперативности национальной Группы быстрого реагирования на компьютерные инциденты (Computer Emergency Readiness Team, CERT) и магистрального провайдера Linxtelecom новые адреса были через 13 часов заблокированы.

По оценке исследователей компании FireEye, в настоящее время ботнет Srizbi состоит приблизительно из 500000 зараженных машин, а сам троянец имеет более 50 модификаций. Как выяснилось, в случае потери связи с командным сервером бот Srizbi пытается восстановить ее перебором четырех «резервных» доменов.

Списки этих доменов и порядок их перебора отличаются у ботов, ориентированных на разные управляющие серверы, и обновляются каждые трое суток. Таким образом, для восстановления работы ботнета его операторам требуется всего лишь зарегистрировать актуальные домены, перенести управляющие функции на новые сервера и обновить спам-боты.

Воспользовавшись обнаруженным алгоритмом, эксперты FireEye попытались опередить повелителей Srizbi. Какое-то время они регистрировали воспроизводимые генератором варианты доменных имен, однако этот сценарий оказался слишком разорительным, так как требовал оплаты 450 доменов в неделю.

Как только исследователи прекратили регистрацию, инициативу перехватили владельцы ботнета. За один день компания DirectNIC, являющаяся специализированным подразделением американского онлайн-альянса Intercosmos Media Group, зарегистрировала пять доменов на имя некоего Улугбека Асатопова из Анкары. Четыре из них привязаны к эстонским серверам, а один - к серверу, IP-адрес которого зарегистрирован на Каймановых островах, а веб-хостинг находится во Франкфурте, Германия. Последний пока остается онлайн.

По оценкам экспертов, за время работы новых командных серверов Srizbi с ними имели возможность связаться около 100000 ботов. Сколько из них успели получить обновления, неизвестно, но новый шаблон для рассылки спама использовал кодировку koi8-r, то есть был рассчитан на русскоязычных пользователей Интернета. Все новые адреса SMTP-серверов принадлежат доменной зоне .ru. Один из этих серверов обслуживает крупнейший российский банк.

Ссылка на комментарий
Поделиться на другие сайты

вот какие сейчас малвари - при заражении машины устанавливают ложный DHCP-сервер в ЛВС, который в качестве DNS-серверов указывает вместо нормальных корпоративных адресов адреса DNS-серверов. находящихся под контролем атакующего :smile19: открывая таким образом большие возможности по перенаправлению жертвы (фишинг и т.д.)

По данным SANS эта малварь сейчас активно распространяется...

 

_ttp://isc.sans.org/diary.html?n&storyid=5434

 

Fellow researchers from Symantec posted technical details about an interesting variant of a well known DNSChanger malware. The analysis is available at http://www.symantec.com/security_response/...-99&tabid=1

 

The DNSChanger malware has been in the wild for quite some time and already drew our attention previously when authors started attacking popular ADSL modems. As the name says, the malware changed DNS server settings, typically to servers in the "popular" 85.255 network. We published several diaries about this malware, the most recent one from Andre is available at http://isc.sans.org/diary.html?storyid=5390.

 

The evolution went from changing local DNS servers in the operating system (for both Windows and Mac!) to changing DNS server settings in ADSL modems/routers/cable modems.

 

The malware described by Symantec goes a step further – it installs a rogue DHCP server on the network. Besides the post by Symantec, we also got notified of this malware two days ago by our reader Tim, so we can confirm that this malware is in the wild.

 

What does it do? The malware installs a legitimate driver, NDISProt which allows it to send and receive raw Ethernet frames. Once the driver is installed, the malware "simulates" a DHCP server. It starts monitoring network traffic and when it sees a DHCP discover packet it replies with its own DHCP Offer packet. As you can guess, the offered DHCP lease will contain malicious DNS servers, as shown below:

 

 

 

While not too sophisticated, the whole attack is very interesting. First, it's about a race between the rogue DHCP server and the legitimate one. Second, once a machine has been poisoned it is impossible to detect how it actually got poisoned in the first place – you will have to analyze network traffic to see the MAC address of those DHCP Offer packets to find out where the infected machine actually is.

 

As we wrote numerous times before, it's probably wise to at least monitor traffic to 85.255.112.0 – 85.255.127.255, if not block it.

Ссылка на комментарий
Поделиться на другие сайты

_ttp://www.securitylab.ru/news/364150.php

BitDefender сообщила об обнаружении нового вида злонамеренного ПО. Троянская программа известная как Trojan.PWS.ChromeInject, должна быть доставлена на систему другим злонамеренным приложением и скопирована в каталог плагинов браузера.

 

Троянская программа активируется при каждом запуске браузера и сохраняет пароли к сайтам согласно заданному списку. В списке находятся PayPal, адреса известных британских online магазинов и финансовых учреждений. Перехваченные учетные данные отправляются на определенный хост, расположенный в России.

 

В данный момент количество обнаружений этого злонамеренного ПО слишком мало. Сам инцидент примечателен новым походом к реализации. Напомним, что два года тому было обнаружено шпионское ПО, которое маскировалось под расширение Firefox.

Ссылка на комментарий
Поделиться на другие сайты

:smile2:

 

----------------------------------------------------------------------

 

TITLE:

Microsoft Windows WordPad Text Converter Vulnerability

 

SECUNIA ADVISORY ID:

SA32997

 

VERIFY ADVISORY:

http://secunia.com/advisories/32997/

 

CRITICAL:

Extremely critical

 

IMPACT:

System access

 

WHERE:

From remote

 

OPERATING SYSTEM:

Microsoft Windows XP Professional

http://secunia.com/advisories/product/22/

Microsoft Windows XP Home Edition

http://secunia.com/advisories/product/16/

Microsoft Windows Server 2003 Web Edition http://secunia.com/advisories/product/1176/

Microsoft Windows Server 2003 Standard Edition http://secunia.com/advisories/product/1173/

Microsoft Windows Server 2003 Enterprise Edition http://secunia.com/advisories/product/1174/

Microsoft Windows Server 2003 Datacenter Edition http://secunia.com/advisories/product/1175/

Microsoft Windows 2000 Server

http://secunia.com/advisories/product/20/

Microsoft Windows 2000 Professional

http://secunia.com/advisories/product/1/

Microsoft Windows 2000 Datacenter Server http://secunia.com/advisories/product/1177/

Microsoft Windows 2000 Advanced Server

http://secunia.com/advisories/product/21/

Microsoft Windows Storage Server 2003

http://secunia.com/advisories/product/12399/

 

DESCRIPTION:

A vulnerability has been reported in Microsoft Windows, which can be exploited by malicious people to compromise a user's system.

 

The vulnerability is caused due to an unspecified error in the WordPad Text Converter for Word 97 files and can be exploited to corrupt memory.

 

Successful exploitation allows execution of arbitrary code.

 

NOTE: According to Microsoft, the vulnerability is currently being actively exploited.

 

SOLUTION:

Do not open untrusted documents using WordPad.

 

The vendor recommends Windows XP SP2 users to upgrade to Windows XP SP3, which is reportedly not affected.

 

PROVIDED AND/OR DISCOVERED BY:

Reported as a 0-day.

 

ORIGINAL ADVISORY:

Microsoft (KB960906):

http://www.microsoft.com/technet/security/...ory/960906.mspx

 

----------------------------------------------------------------------

 

_ttp://isc.sans.org/diary.html?n&storyid=5458

0-day exploit for Internet Explorer in the wild

Published: 2008-12-10,

by Bojan Zdrnja (Version: 1)

 

As reported by some other researchers, there is a 0-day exploit for Internet Explorer circulating in the wild. At this point in time it does not appear to be wildly used, but as the code is publicly available we can expect that this will happen very soon.

 

This is a brand new exploit that is *not* patched with MS08-073 that was released yesterday. I can confirm that the exploit works in a fully patched Windows XP machine.

 

The exploit is a typical heap overflow that appears to be exploiting something in the XML parser. After setting up the heap (spraying it – allocating 159 arrays containing the shell code) the exploit checks if couple of things are satisfied before continuing:

 

* The user has to be running Internet Explorer

* The version of Internet Explorer has to be 7

* The operating system has to be Windows XP or Windows 2003

 

If these things are satisfied, the exploit creates an XML tag as shown above. What is also interesting, and can be seen in the code above is that it waits 6 seconds before executing the code – this was probably added to thwart automatic crawlers by anti-virus vendors.

 

We have not confirmed yet if other versions are affected (Internet Explorer 6 or Internet Explorer 7 on Microsoft Windows Vista).

 

How to mitigate? This is a difficult question as we have not analyzed this completely yet. If you use an alternative browser you are not affected. When we get more information we will update the diary.

Ссылка на комментарий
Поделиться на другие сайты

_ttp://subscribe.ru/archive/inet.safety.spamtest/200812/11113840.html

 

Pushdo теряет управление

11.12.2008

 

Как свидетельствуют эксперты компании FireEye, американский хостинг-провайдер Noc4Hosts и хостинг-провайдер Starline Web Services из Эстонии заблокировали доступ к ряду командных серверов ботнета Pushdo.

 

Владельцы Pushdo были одними из тех, кто потерял центры управления ботнетом в результате отключения от Сети McColo. Однако не все управление Pushdo было сосредоточено в ресурсах одиозного хостинг-провайдера.

 

Как оказалось, один из его командных серверов был размещен в датацентре таллиннской компании Starline, который пытались использовать также операторы ботнета Srizbi. Эстонцы проявили оперативность и отключили сервер Pushdo. По данным FireEye, этот ресурс обеспечивал ботнет шаблонами для рассылки спамовых предложений по трудоустройству. Исследователи полагают, что подобные предложения имели целью сбор резюме и выуживание из них персональной информации.

 

Шесть серверов Pushdo, обнаруженных экспертами в сетях Noc4Hosts, чей датацентр расположен в штате Флорида, также использовались для управления рассылкой спама. Они отвечали, в основном, за распространение рекламы интернет-аптек небезызвестной сети Canadian Pharmacy. Получив уведомление от FireEye об имеющих место злоупотреблениях, Noc4Hosts отключила эти серверы.

 

Специалисты FireEye выявили еще один сервер Pushdo, обслуживающий http-запросы на загрузку спам-ботов. Он размещен в сетях американской компании Ubiquity Server Solutions и пока активен.

 

По свидетельству экспертов, бинарный код Pushdo состоит из двух компонентов. Основной компонент имеет функции даунлоудера и связан с управляющим сервером через http-протокол. Большая часть таких серверов была размещена в сетях McColo. После инсталляции даунлоудер загружает в резидентную систему второй компонент - спамбот Cutwail.

 

Были случаи, когда этот спамбот устанавливался на инфицированную машину другой программой-даунлоудером - Trojan.Exchanger или одной из разновидностей ложного антивируса.

 

Оба компонента Pushdo работают на инфицированной машине раздельно и управляются разными серверами. Таким образом, если командный сервер основного компонента выйдет из строя, рассылка спама продолжается. В случае прекращения доступа Cutwail к соответствующему серверу, IP-адрес которого зафиксирован, спамбот пытается установить контакт с несколькими общедоступными DNS-серверами и переключиться на другой домен верхнего уровня. Кроме того, основной компонент Pushdo может запросить обновление у своего сервера и получить новые координаты для Cutwail.

 

Источник: blog.fireeye.com

 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

_ttp://www.heise-online.co.uk/security/Keyloggers-under-the-microscope--/news/112288

 

A team assembled by honeynet specialist Thorsten Holz from the University of Mannheim has published a case study of banking trojans, keyloggers and their dropzones. The researchers observed a variety of malware and their activities over an extended period and discovered over 33 GBytes of log files in the dropzones of over 70 different data-stealing pests.

 

The log files contained personal information on more than 170,000 victims, including passwords, PINs, user names, and so on. They also contained information, including PINs, on over 10,000 bank accounts, over 140,000 email passwords and the access details of nearly 80,000 members of social networking sites such as Facebook and Hi5.

 

The more popular keyloggers are likely to have a hard time with bank accounts in some countries, such as the Netherlands, Germany and South Africa, as their customers are required to use two factor authentication, with a Transaction Authentication Number (TAN) as well as a PIN. Although in theory these can also be logged, new TAN procedures prevent criminals from using a stolen TAN for fraudulent purposes. Some UK banks also use two factor authentication at least for account sign-in, for example by choosing random letters entered by mouse click from a secondary pass phrase.

 

The team singled out the Limbo keylogger for detailed analysis. They observed a total of 164,000 infections with this malware. The keylogger stored most of the data it collected in two Chinese drop zones. Geographically this broke down as; 16 per cent of the infections were traced to Russia, 14 per cent to the USA, 13 per cent to Spain, 12 per cent to the UK, and surprisingly, 7 per cent to Germany.

 

The researchers also discuss the resale value of stolen data in the 22-page study. Depending on its liquidity, the going rate for a bank account is anything between $10 and $1,000 US. Credit cards appear to be becoming less desirable – you can buy credit card information for as little as $0.40. Email passwords are more valuable, at between $4 and $30. The complete report "Learning More About the Underground Economy: A Case-Study of Keyloggers and Dropzones" is available for downloadPDF.

 

At the conclusion of the study, the team handed over its data to the Australian CERT (AusCert), which has a system for passing information on to banks and other institutions, who can then inform the victims and take steps to remedy the situation.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...