Category Archives: Skadlig kod

Hotrapport maj: Skadlig kod sprids via webbsidor

Efter en paus är det dags att börja ta upp de månatliga hotrapporterna från ESET. Diagrammet nedan visar de fem hot, virus och infektioner som var vanligast i Sverige under maj månad. Statistiken kommer från ThreatSense, det system som ESET använder för att kontinuerligt samla in information om angrepp och infektioner världen över.


Tre av topp 5-hoten i maj handlar om skadlig kod som sprids via infekterade legitima sidor eller försök att göra detta. Det är ett problem som varit ganska omfattande under en period och med stor sannolikhet kommer det att förvärras. Tråkigt nog är det alltså så att det går att få pålitliga sidor att sprida skadlig kod. Det sker antingen genom att de hackas eller med hjälp av infekterade annonser. En sådan dyker ofta upp på sajter genom annonsnätverk och kan vara programmerad att skicka webbläsaren vidare till sidor som innehåller skadlig kod till exempel var hundrade gång den visas.

  1. JS/Redirector.NID är en trojan som skickar webbläsaren till en URL som innehåller skadlig kod. Koden är oftast inbakad i manipulerad HTML på legitima webbsidor som hackats. Som namnet antyder använder JS/Redirector JavaScript, oftast obfuskerad, för att för att skapa hänvisningen till den infekterade sidan. Det här gör den för att ladda upp och köra skadlig programvara på klientdatorn, ett mycket vanligt sätt att sprida skadlig kod.
  2. HTML/Iframe.B.Gen är det allmänna namnet för Iframe-taggar med skadlig kod som bäddas in i HTML-sidor. Koden som bäddats in kan exempelvis utnyttja säkerhetshål för att köra skadlig kod automatiskt när användaren besöker sidan.
  3. Win32/Patched består av en rad olika infektioner som ändrar i systemfiler. Vissa standardprogram i Windows kan också påverkas, till exempel Anteckningar och Kalkylatorn. En tidigare frisk fil får ett tillskott av skadlig kod och filer som har patchats på det här sättet ändrar sitt beteende, antingen för att kunna underlätta spridningen av skadlig kod, eller också för att det ska vara ännu svårare att upptäcka den skadliga koden.En del piratversioner av Windows XP har en patchad version av drivrutinen tcpip.sys för att göra det möjligt att ha fler än 10 nätverksuppkopplingar som standard – användbart till exempel för den som använder torrentklienter, men det kan också missbrukas för att ställa till med ofog.
  4. Win32/RegistryBooster är egentligen inte skadlig kod, utan det vi brukar kalla ett potentiellt oönskat program.
  5. HTML/ScrInject.B.Gen är samlingsnamn för detektioner av infekterade HTML-sidor som innehåller dolda skript eller Iframe-taggar som skickar webbläsaren till skadlig kod.

 

När Osama Bin Laden dog vaknade cyberskurkarna

Att Osama Bin Laden hittades och dödades av amerikanska trupper den 1 maj kan knappast ha gått någon förbi. Många debatter pågår om hur detta kommer att påverka vår värld och teorierna är spridda.

Något vi på ESET kan intyga är att genom Bin Ladens död växer nya skadliga hot fram snabbt. Cyberskurkar utnyttjar al Qaida-ledarens död som katapult för att sprida falska videor och Black Hat-sökmotoroptimering med skadlig kod till alla som vill ha mer information om Bin Ladens död.

Cyberskurkarna har stenkoll på vad som krävs för att få en nyfiken surfare att hamna på fel sajt. De lockar med några bilder av Bin Laden och många klickar utan att tänka sig för, som ofta är fallet vid stora, internationella nyheter som denna. Skurkarna förstår också att sökmotoroptimering är ett effektivt verktyg att få en skadlig sida att framstå som säker, eftersom de ser till att den hamnar högt upp i sökresultatet.

Medan vi ofta tar upp sökmotordriven skadlig kod för engelska sökord vill vi passa på att varna för att denna typ av hot riktar in sig på alla språk, något man inte ser alltför ofta. Se exempelvis denna video hittad på en rumänsk webbsida.

Vårt tips i alla sådana här lägen är att hålla sig till kända, säkra kanaler för dessa nyheter! YouTube, till exempel, kan inte räknas som en säker sida eftersom det inte går att kontrollera vad som läggs upp – ett faktum som många cyberskurkar gärna utnyttjar.

Svenskt Näringslivs virusproblem lösta

Computer Sweden skrev igår att de problem med skadlig kod som Svenskt Näringsliv hade förra veckan nu i stort sett är lösta, enligt IT-chefen Pernilla Peterson.

Det man hade fått in i systemet var trojaner ut en familj som kallas Pinkslipbot eller Qakbot. Pernilla Peterson tror att det rör sig om en slump och inte någon riktad attack, och troligen har hon rätt.

Varning för falskt antivirusprogram – E-Set 2011

Vi har fått rapporter om ett falskt säkerhetsprogram kallat E-Set Antivirus 2011 som är förklätt med hjälp av ESETs namn, och AVGs logotyp.

Den här typen av infiltration som utger sig för sig vara ett legitimt säkerhetsprogram, men i själva verket är en skadlig kod kallas för scareware eller rogue antivirus. ESET har inga annonser för sina programvaror där du uppmanas installera någonting på din dator.

Våra produkter stoppar naturligtvis detta program, men om du använder ett annat säkerhetsprogram än ESET och har hittat E-Set, eller något annat, på din dator kan du följa stegen i artikeln ”I think my computer has a virus – what should I do”, men du använder istället ditt befintliga säkerhetsprogram i steg 3 och 4. Du kan också kontakta din programleverantör för support.

Om du inte är ESET-kund är du även varmt välkommen att besöka vår supportsida och köra ESET Online Scanner http://www.eset.se/hotcenter/onlinegenomsokning/ för att genomsöka datorn gratis online.

Detaljerad information om just detta falska antivirusprogram finns i ESET-artikeln Rogue E-Set Antivirus 2011 malware.

Creeper fyller 40 år!

Idag är det 40 år sedan det allra första datorviruset upptäcktes. Det döptes till Creeper eftersom meddelandet ”I’m the creeper, catch me if you can!” (efter en Scooby Doo-figur) visades på skrivare och faxar som havererade eller började uppföra sig märkligt efter att ha blivit smittade.
Creeper var startskottet för något som visade sig bli mycket stort, skadlig kod och cyberbrott omsätter idag rent ofantliga summor. (I ödmjukhetens namn kanske jag och mina kollegor och konkurrenter inte ska glömma att den försörjer även vår bransch.)

Mycket har hänt på virusfronten sedan Creeper, inte bara när det gäller koden. När det gäller Creeper var den ansvarige programmeraren så hygglig att han även släppte Reaper, ett program som tog bort Creeperviruset.

Ett fyrfaldigt leve för Creeper!

Berömda virus, inbyggt stöldskydd från Intel och bordlagd datalagring

Lite säkerhetsnyheter

Spekulationerna om vilka som ligger bakom Stuxnet har varit många, men nu verkar det som om det finns ett svar och som att spekulationer om Israels inblandning kanske stämmer. Den israeliska dagstidningen Haaretz,  läser jag i Help net security, skrivit om att Stuxnet nämnts i en hyllningsvideo som visades på en avtackningsfest för den Israeliske generalen Gabi Ashkenazi.

Säkerhetsfirman HBGary, .Inc, leverantörer till bland annat amerikanska myndigheter, ska enligt Crowdleaks.org ha arbetat med att ta fram ett nytt rootkit, närmast omöjligt att hitta och avlägsna.

Roger Grimes gör en intressant uppdelning av de olika hackertyper man kan hitta om man tar sig tid att leta, hans bloggpost finns här på Infoworld.

Cyberattacker en realitet

I en debattartikel i Dagens Nyheter igår skrev EU-kommissionären Cecilia Malmström att ett utökat samarbete med Nato är nödvändigt som ett led i utvecklingen av ett försvar mot cyberattacker. I dag kan vi läsa om ämnet cyberattacker i DN, fast på nyhetsplats.

FRA:s överdirektör Christina Malm menar enligt dagens artikel att frågan inte är om utan när en attack sker och det har hon nog helt rätt i. Cecilia Malmström återkommer även idag och framför tanken om att det börjar bli dags att införa ett förbud mot att sprida skadlig kod. Det vore helt klart vore ett bra första steg, Skadlig kod tycks ibland uppfattas som harmlösa hyss, kanske för att människor sällan drabbas fysiskt. Men Internet är en del av den verkliga världen och frågan om ett cyberförsvar och modern lagstiftning måste tas på allvar.

Cyberattacker en realitet

I en debattartikel i Dagens Nyheter igår skrev EU-kommissionären Cecilia Malmström att ett utökat samarbete med Nato är nödvändigt som ett led i utvecklingen av ett försvar mot cyberattacker. I dag kan vi läsa om ämnet cyberattacker i DN, fast på nyhetsplats.

FRA:s överdirektör Christina Malm menar enligt dagens artikel att frågan inte är om utan när en attack sker och det har hon nog helt rätt i. Cecilia Malmström återkommer även idag och framför tanken om att det börjar bli dags att införa ett förbud mot att sprida skadlig kod. Det vore helt klart vore ett bra första steg, Skadlig kod tycks ibland uppfattas som harmlösa hyss, kanske för att människor sällan drabbas fysiskt. Men Internet är en del av den verkliga världen och frågan om ett cyberförsvar och modern lagstiftning måste tas på allvar.

Inbyggd pdf-läsare i Chrome skulle kunna hindra attacker

Igår skrev bland andra Michael Jenselius på PC för alla om Googles nya feature i webbläsaren Chrome – inbyggd pdf-läsare. Det betyder att Google tar en egen väg för att möta problemen med skadlig kod som distribueras via svagheter i till exempel Adobes pdf-läsare.

Eftersom det handlar om helt nyskapad mjukvara, så bör tidigare attacker som gjorts mot andra pdf-läsare kunna kontrolleras. Att pdf-läsaren är inbyggd i browsern gör dessutom att den enkelt att uppdatera den, vilket är en klar fördel – det är ju självklart så att ju äldre och mer känt ett säkerhetshål är, desto oftare används det.

Samtidigt finns det en risk att Google introducerar helt nya buggar som går att utnyttja och pdf-formatet har ju varit ett hett byte för nätbrottslingar länge. Intressant är det dock.