Topp tre fortsätter att utgöras av HTML/ScrInject.B, HTML/Iframe.B och INF/Autorun. Femteplatsen innehas av Win32/Conficker som har halkat ner ett steg sedan marslistan, men fortsätter ställa till med problem genom att sprida en nätverksmask. Filinfekteraren Win32/Sality har lämnat topplistan sedan förra månaden, men på nionde och tionde plats håller sig Win32/Dorkbot och JS/Redirector kvar.

För Sverige såg hotlistan ut såhär under april månad:

En relativt oförändrad topp-fem. HTML/ScrInject.B höll sig kvar i toppen medan förra månadens tvåa, HTML/Iframe.B.Gen, i april halkade ner på tredjeplatsen när JS/TrojanDownloader.Iframe.NKE gick upp med nästan 2.5%.

Inifrån viruslabbet i Bratislava.

Update: I checked some accounts, and the e-mail ones seem to originate from the June 2011 leak by Lulzsec.
When looking at the spam-accounts, Google suggested this site as could be the original source for a bunch of them at least… ;P

For updates on this, and other programming/security stuff, follow me on Twitter: @nilssonanders

I took a look at the files, and gathered some statistics!

There are a total of 58.973 lines in total in all of the files (including whitespace).

If we sort out all the duplicate accounts, we end up with 34.062 unique accounts, where a handful are obviously incorrect when looking at the data.

There are two kinds of accounts in the list, ones with a user name (e.g. “Hayleyjsvze”), and ones with an e-mail (e.g. “something@hotmail.com”). On Twitter, you can login with either your user name, or your e-mail, so that could be the reason there are two different kinds.. or?

Of the 34.062 unique accounts, 25.068 accounts seems to be an e-mail address. Those accounts look “real”. They all seem to have “regular” passwords (easier words, numbers). The rest of the accounts, the ones that aren’t based on an e-mail address, all seem to be spam-accounts. They have a few, if any, posts, following many others, but very few followers of their own. And they all have random 8 character passwords..

Now, looking back to the real accounts, here are some statistics from the e-mails used for the accounts:

Total number of accounts: 34.062 Total number of e-mails: 25.068 (where a few are incorrect, or contain typos)
Domain "hotmail.com": 15,777
Domain "gmail.com": 2,193
Total NOT using ".com": 6,046 (but a handful of invalid e-mails in there too)
Total using ".com.br": 5,736

So, almost 95% of the country-specific e-mails are from Brazil (.com.br)! And of the “55.000″ accounts, about 9000 seem to be Twitter-spam accounts..

I think this is probably the result of either a leak of a big Brazilian hacked website, or a Brazil-targetted phishing, combined with 9000 Twitter-spam accounts.

I haven’t verified any of the accounts (of course!) so it IS possible that the e-mail accounts are actually valid for their e-mail, not actually to Twitter…

Now… looking back to the spam accounts… many of the accounts has already been suspended by Twitter, but.. here are some that are currently working:

Notice how they all have some generic profile image, screen name and full name. Also, they all have a big bunch of people they follow, a few followers of their own… and… they all retweeted the @Swagstro account…

Also, looking at their followers:

They follow about the same accounts (at least some random ones), with the top account always being @Cyberopz …

There’s definitely something more to this leak then just a generic hacked website.. weird that they combined spam-accounts and regular ones… We’ll see what else there is to find out about this.

Update:

I also did a quick Pipal run of the e-mail based accounts:

Total entries = 37058
Total unique entries = 21215

Top 10 passwords
123456 = 688 (1.86%)
123456789 = 258 (0.7%)
102030 = 92 (0.25%)
123 = 86 (0.23%)
12345 = 74 (0.2%)
1234 = 67 (0.18%)
242424 = 41 (0.11%)
101010 = 40 (0.11%)
12345678 = 38 (0.1%)
010203 = 35 (0.09%)

Top 10 base words
bruno = 47 (0.13%)
junior = 44 (0.12%)
carlos = 43 (0.12%)
brasil = 38 (0.1%)
sexo = 38 (0.1%)
amor = 36 (0.1%)
daniel = 36 (0.1%)
alex = 36 (0.1%)
rafa = 33 (0.09%)
jesus = 33 (0.09%)

(full statistics available here)

The top base words also really suggest that this leak originated in Brazil.

Update: As I reported yesterday, it seems like this list consists of old hacked accounts from last summer, and some spam-accounts with random passwords.

I dagarna släppte ESET den senaste betan av Macprodukterna ESET Cyber Security och ESET Cyber Security Pro. Båda produkterna ger ett riktigt bra skydd för hot mot IOS och Mac och även mot plattformsoberoende hot som angriper Windows eller Linux. Cyber Security Pro BETA har alla de funktioner som ESET Cyber Security BETA erbjuder, men dessutom en personlig brandvägg och föräldrakontroll, en väldigt populär funktion i de antivirusprogram som erbjuder den.

Även om det har varit relativt ovanligt att Macanvändare drabbas direkt av attacker så kan deras datorer vara bära smittor som sedan sprids till andra plattformar. Macplattformen växer också i popularitet och som vi alla vet anpassar sig den växande och mer och mer organiserade cyberbrottsbranschen snabbt.

ESET Cyber Security och ESET Cyber Security Pro kan laddas ner gratis här.

Jag vill också passa på att tipsa om vår senaste podcast om Mac-trojanen Flashback.

Lite mer om vad du hittar i programmen:

Föräldrakontroll (Pro)
Ger användaren möjlighet att individanpassa varje konto och förse dem med sina egna standardinställningar, godkända sajter och så vidare. Användaren kan också svart- och vitlista webbsidor och applikationer genom att blockera dem i ett önskat användarkonto.

Personlig brandvägg (Pro)
Brandväggen hindrar obehöriga från komma åt datorn utifrån och gör det möjligt för huvudanvändaren att skapa profiler med anpassade inställningar för specifika situationer.

Molnbaserad scanning
ESET Live Grid optimerar scanningen och är baserad på vitlistade, säkra filer som finns i ryktesdatabasen i molnet. Funktionen minskar risken för så kallade ”false positives” (falska viruslarm) och identifierar säkra filer på användarens hårddisk.

Webb- och mailscanning
Förbättrad Proxyserver-agent för scanning av Email > POP3/IMAP och Web > http. Denna funktion är fristående från e-post- och webb­klienter.

Kontroll av externa media
En ytterligare skyddsnivå som gör det möjligt att scanna potentiellt osäkra externa media efter hot, till exempel USB-stickor samt CD- och DVD-skivor.

Molnstatistik
Funktionen skapar en lista över pågående processer och visar data som specificeras efter av risknivå, antal användare, tid för detektion och applikations-ID.

When they started spreading, they first linked to Viagra spam. After a while, the server they connected to stopped serving pages. Now, they started linking to an exploit page instead (at tw1.su first, but now changed again).

The spam tweets consists of a random word, and link, and some antivirus-related search term: excellent anti-virus, check for viruses 2012, or as in the picture below proven antivirus:

At the moment of writing, I’ve seen 45810 tweets, from 1997 unique twitter accounts, and it’s still increasing. It’s rather common for hacked accounts, be it Facebook, Twitter or E-mail, to be used for spamming, but when it’s done like this, it’s not really sophisticated. Just mass-spamming. The content makes it rather obvious that it’s not sent by the real account holder. The amount of accounts involved though are really interesting!

It’s always important to make sure you don’t “loose” your password to your e-mail and social media accounts. This applies to everyone, not just “important” people with lots of followers. Your account is a part of your life and lifestyle, and it’s a bridge to other people. Trust is important, and there’s always a risk you or someone else will get hurt, even if a bunch of spam-tweets doesn’t seem so bad.

Update 14:49 CET: Currently the statistics is up to 57860 tweets, and 2179 unique twitter accounts.

Update April 20th, 2102 at 12:23 CET: I just rechecked my statistics after all of this, and I’ve seen 77232 tweets from 2306 users.

När spridningen började ledde de spridda länkarna till olika typer av spamsajter med reklam för Viagra, ett extremt vanligt ämne för spam. Just nu verkar målsidorna vara oåtkomliga. Antingen har de tagits ner, eller så är de helt enkelt överbelastade. Uppdatering: Nu har de hackade kontona istället börja sprida en länk till skadlig kod:

Alla spamtweets innehåller dels ett slumpat ord, en länk och en slumpad text på ämnet antivirus: excellent anti-virus, check for viruses in 2012 eller som i bilden nedan, proven antivirus.

Eftersom det är just antivirus som meddelandet handlar om, men inte sidan i sig, kan det ju vara så att detta var menat att länka till något falskt antivirusprogram, men “råkade” bli en Viagra-sida istället. Det kan även vara så att det är mer riktat, att endast vissa webbläsare, eller personer från vissa länder får skadlig kod, och de andra Viagra-reklam. Uppdatering: Nu har de hackade kontona istället börja sprida en länk till skadlig kod.

I skrivande stund har det spridits 37932 tweets från 1608 unika konton och antalet ökar hela tiden. Det är vanligt att hackade konton, oavsett om det är på Twitter, e-post eller Facebook, används till att skicka spam, men när det sker på det här viset är det inte särskilt sofistikerat. Det är väldigt tydligt att det inte är kontoägaren som är avsändare, vilket troligen gör effekten rätt liten.

Det är alltid viktigt är alltid att se över lösenordet till e-post- Twitter och Facebook-konton. Det gäller alla, inte bara personer med inflytande och mängder av vänner, kontakter och followers. Ditt konto är en del av ditt liv och en brygga till andra människor – tilliten är viktig och risken att du eller andra skadas finns där, även om några spam-tweets kanske inte är så allvarliga.

Uppdatering 2012-04-18 14:27: Nu är det uppe i 54222 tweets, och 2122 unika konton (3 svenska konton vad jag sett).

I Sverige såg de största hoten ut såhär under mars månad:

Enligt Microsoft ska Zeus ha kontrollerat mer än 13 miljoner datorer över hela världen. Som vanligt har datorerna i Zeus-botnätet använts för att skicka enorma mängder spam, men man har även lyckats komma åt en hel del pengar. Aktörerna bakom Zeus har på 5 år lyckats att stjäla närmare 100 miljoner dollar. Det kunde man göra tack vare funktionerna i botnätsklienten, som gör det möjligt att läsa av inloggningsuppgifter till banktjänster.

Microsofts tillslag mot Zeus var kraftfullt, men förmodligen ändå bara en droppe i havet. Det är självklart bra att vi har blivit av med ytterligare ett botnät, men det finns otroligt många noder, nät och infekterade klienter kvar och nya infektioner sker hela tiden. Ur den synvinkeln för vi en ganska meningslös kamp. De man måste rikta uppmärksamheten mot är de som skriver, säljer och använder den mjukvara som gör det möjligt för brottslingar att skapa, underhålla och styra botnäten.

Med det sagt måste jag säga att Microsofts roll detta är väldigt intressant.

De är en drivande kraft som inte bara ingått i en teknisk, utan även en juridisk allians. Det här är ett av få fall jag känner till där företag har tagit så stor del av kommandot i en brottsutredning och frågan är om det egentligen inte borde vara primärt statens uppgift att jaga och lagföra brottslingar? Syftet är naturligtvis bra, men det är viktigt i ett stabilt rättssamhälle att det stannar vid att man kan överlämna information och eventuellt passivt bistå med ytterligare uppgifter.