Category Archives: Skadlig kod

Säkerhetsradion: Mac-trojan utnyttjar säkerhetshål i Java

Den senaste versionen av Mactrojanen Flashback hann spöka rejält under flera månader innan man fick stopp på det hål i Java som orsakade problemen. I vår senaste podcast pratar vi mer om Flashback, hur Appleanvändare kan skydda sig samt varför det tog så lång tid att laga hålet.

Iran i siktet än en gång

Iran, av många regeringar och säkerhetstjänster ansett som det stora hotet just nu, verkar ha utsatts för ytterligare cyberattacker. Senast var det anläggningar för anrikning av uran som angreps när Stuxnet angrep datorer på kärnkraftverket Bushehr. Nu är det oljeexporten som tycks vara under attack.

Thousands of hacked Twitter accounts spamming malware-links

Today at 08:49 CET over 1600 Twitter-accounts started spreading spam-links, and the numbers are still increasing.

 

When they started spreading, they first linked to Viagra spam. After a while, the server they connected to stopped serving pages. Now, they started linking to an exploit page instead (at tw1.su first, but now changed again).

The spam tweets consists of a random word, and link, and some antivirus-related search term: excellent anti-virus, check for viruses 2012, or as in the picture below proven antivirus:

At the moment of writing, I’ve seen 45810 tweets, from 1997 unique twitter accounts, and it’s still increasing. It’s rather common for hacked accounts, be it Facebook, Twitter or E-mail, to be used for spamming, but when it’s done like this, it’s not really sophisticated. Just mass-spamming. The content makes it rather obvious that it’s not sent by the real account holder. The amount of accounts involved though are really interesting!

It’s always important to make sure you don’t ”loose” your password to your e-mail and social media accounts. This applies to everyone, not just ”important” people with lots of followers. Your account is a part of your life and lifestyle, and it’s a bridge to other people. Trust is important, and there’s always a risk you or someone else will get hurt, even if a bunch of spam-tweets doesn’t seem so bad.

Update 14:49 CET: Currently the statistics is up to 57860 tweets, and 2179 unique twitter accounts.

Update April 20th, 2102 at 12:23 CET: I just rechecked my statistics after all of this, and I’ve seen 77232 tweets from 2306 users.

 

Hotrapport januari 2012

Här ser du vilka hot som var störst i Sverige under januari månad.

 

 

HTML/ScrInject.B är ett samlingsnamn för Html-sidor som innehåller bland annat iframe-taggar som skickar webbläsaren till skadlig kod.

HTML/ScrInject.B var inte bara största hotet i Sverige utan i både Europa och världen. Den stora ökningen kan ha att göra med en topp i Internetanvändandet under julhelgerna. Det brukar gå att se ett samband mellan vissa typer av hot och ett ökat surfande inför jul som kommer igång någon gång i november.

ESET:s Daniel Novomesky tror att ökningen även kan ha att göra med att fler och fler aktörer försöker sprida skadlig kod med hjälp av ”vuxeninnehåll”, en mycket vanlig strategi.

Ytligt sett är nummer två på listan, HTML/Iframe.B, ungefär samma sak.

Win32/Toggle är en så kallad PUA, Potentially Unwanted Application, det vill säga mjukvara du antagligen inte vill ha. I detta fall är det OpenCandy som ligger bakom.

OpenCandy kan man komma i kontakt med när man installerar en rad olika program, oftast freeware, när man får alternativet att installera till exempel en toolbar. Irritationen blir stor när man snabbklickar sig igenom installationen och missar att tacka nej till värdelös mjukvara som är svår att bli av med.

Detektionen Win32/HackKMS är ett crackverktyg eller en keygen. Hotet är inte av det allvarligare slaget, utan finns också listat som PUA (se ovan).

Win32/Agent.SDF.Gen är en trojan som kan skapa en autorun.inf-fil i rotkatalogen och därigenom köra sig själv automatiskt och kopiera och sprida sig.

Varning för säkerhetshål i Apples iOS

Den tyska myndigheten för IT-säkerhet gick igår ut med en varning att operativsystemet iOS har ett allvarligt säkerhetshål som kan utnyttjas för att stjäla data från iPhones, iPads och iPod Touch.

Säkerhetshålet blev känt genom hemsidan ”jailbreakme” där man kan jailbreak:a sin iOS-enhet bara genom att gå in på hemsidan.

Säkerhetshålet består i hur iOS hanterar PDF-filer. Med hjälp av detta så kan man köra valfri programkod på enheten bara genom att en PDF-fil öppnas. Detta säkerhetshål gör att man naturligtvis kan köra skadlig kod lika gärna som en ”snäll” jailbreak. Likaså kan telefoner, iPads och iPod-touch smittas genom att användaren besöker en webbplats där det finns en smittad PDF. På så vis kan kriminella komma åt allt på telefonen, iPaden eller iPoden. Man kan lätt se ett scenario där de kan få åtkomst till lösenord, foton, sms, kalendrar, e-postmeddelanden och till och med avlyssna telefonsamtal. Helt utan att användaren märker något.

Säkerhetsbristen finns på alla maskinvaror med iOS 4.3.3. Det innebär att många är i farozonen eftersom operativsystemet används i iPhone 3GS, iPhone 4, båda versionerna av iPad och iPod Touch. Det kan heller inte uteslutas att andra versioner av iOS har samma luckor i säkerheten. Apple har kommenterat säkerhetsproblemet och sagt att de kommer att släppa en patch, men man vet inte hur lång tid det tar innan den kommer, och innan alla har uppdaterat sina telefoner.

Tills dess att problemet har åtgärdats är det som vanligt bäst att vara försiktig med vilka sidor man besöker från sin i-enhet, och avstå från att öppna okända PDF:er, både i e-post och på webbplatser.

Ny trojan infekterar NTFS-loader, använder ”väldigt snygga” trick för att lura användaren att betala

Kaspersky Lab rapporterar om en ny trojan som hittats, ”Cidox”. Istället för att ”bara” infektera MBR som några andra välspridda rootkits så infekterar den NTFS IPL (Initial Program Loader). Den koden den byter ut är den som startar upp resten av systemet (”bootmgr” i Vista och nyare operativsystem, och ”ntldr” i tidigare versioner). Trojanen infekterar endast partitioner som har NTFS som filsystem.

Detta innebär att det kan vara svårare, i alla fall för tillfället, för antivirusprogram att rensa ett infekterat system.

När datorn sedan bootar om så startar den sina egna drivrutiner för att utföra resten av sin skadliga kod. Det den här versionen av trojanen gör är att den söker efter webbläsarna Firefox, Chrome och Opera. Om användaren startar webbläsaren så ser trojanens drivrutin till att den laddar in ytterligare skadlig kod i webbläsaren i form av en DLL-fil.

Användaren får sedan upp en väldigt ”snygg” varning i sin webbläsare om att den behöver säkerhetsuppdateringar:

Cidox-trojan

Cidox-trojanens varning i Firefox

Detta exempel är på ryska, men jag kan lätt tänka mig att användare kan luras av detta (så länge som språket är samma som i deras webbläsare). Man märker att de har lagt ner tid på att få varningen att se verklig ut. I Opera och Chrome så ser varningarna annorlunda ut.

Det som händer när man väljer att ”uppdatera” sin webbläsare från varningen är att trojanen uppmanar användaren att skicka ett SMS med en kod till ett betalnummer, och på så sätt tjänar skaparen av trojanen pengar.

Detta visar på ett nytt sätt att få sin skadliga kod att starta automatiskt, och även att de har lagt ner tid på att få det att se äkta ut.

Förhoppningsvis så vet personerna som har installerat sina webbläsare att de inte behöver betala eller skicka SMS för att få hem uppdateringar till dem..

Forskare: ”Botnätet TDL-4 är omöjligt att förstöra”

Forskare inom IT-säkerhet har upptäckt ett nytt och förbättrat botnät som de efter ingående undersökning bedömer är näst intill omöjligt att bryta ner. Uppskattningsvis har 4,5 miljoner datorer smittats och botnätet fortsätter sakta men säkert att växa.

Nätverket kallas TDL-4, TDSS eller Olmarik, vilket även är namnet på den skadliga kod som infekterar datorerna. Trojanen installerar sig i datorns MBR (master boot record) där den startas innan Windows, bakar in sig i systemet, och skyddas av ett rootkit. Detta gör att den är svår att upptäcka för både användare och antivirusprogram samt svår att ta bort eller oskadliggöra.

Det finns en rad olika faktorer som gör det här botnätet så svårt att ta ner: det får  kommandon på ett effektivt sätt via peer-to-peer-nätverk och de smittade datorerna använder två olika kommunikationskanaler. Sist men inte minst, så tar TDL-4 bort andra virus från datorer den infekterar för att användarna inte ska ana oråd och göra en grundlig virussökning eller installera antivirusprogram. Det gör TDL-4 till ett av de mest sofistikerade botnäten idag. Den senaste versionen har bland annat även stöd för 64-bitars system.

Botnätet används sedan av upphovsmakarna för att sprida andra virus eller hyrs ut till cyberkriminella för virus- och DDoS-attacker, spamutskick och phishingkampanjer.

Det här låter skrämmande men det är möjligt att skydda sig även mot avancerade virusattacker som TDL-4. Förhoppningsvis ökar medvetenheten om vikten av att ha bra säkerhet på både hem- och jobbdatorn och att alla vi datoranvändare blir mer försiktiga med vad vi gör på Internet.


Bild: Wikipedia

Angående Mastercard: DDOS-attacker växer som problem

Nyheterna om nya hackerangrepp och olika stora hackergruppers förehavanden har rasat in på sistone. Igår kom nyheten om att Mastercards webbsida utsattes för en DDOS-attack för att man bidrog till de ekonomiska blockaden av Wikileaks. Attackerna är en upprepning av de som hackergruppen Anonymous utförde tidigare i år med samma motiv (en podcast om Anonymous finns här).

Att utföra attacker som den här är ganska okomplicerat idag, de botnät som används kan hyras eller köpas för ganska lite pengar med rätt kontakter och marknadspriset stiger än så länge inte. Det är alltså möjligt att utföra sådana här ganska storskaliga påtryckningar (jag kan tänka mig att vissa skulle kalla det terror) för helt vanliga personer som läser på lite och skaffar sig rätt kontakter.

Ett litet men viktigt steg i kampen mot DDOS-attacker är att skydda datorer mot skadlig kod för att hindra botnäten från att sprida sig. Det handlar självklart om att använda antivirusprogram, men även om ett säkrare beteende. Det är dessutom viktigt att mjukvaruföretag lagar brister och säkerhetshål i program och operativsystem, det betyder mycket. Titta bara på hur mängden infektioner som utnyttjar Autorun sjönk när Microsoft skickade ut en push-uppdatering som låste funktionen.