Tag Archives: skadlig kod

Hotrapport januari 2012

Här ser du vilka hot som var störst i Sverige under januari månad.

 

 

HTML/ScrInject.B är ett samlingsnamn för Html-sidor som innehåller bland annat iframe-taggar som skickar webbläsaren till skadlig kod.

HTML/ScrInject.B var inte bara största hotet i Sverige utan i både Europa och världen. Den stora ökningen kan ha att göra med en topp i Internetanvändandet under julhelgerna. Det brukar gå att se ett samband mellan vissa typer av hot och ett ökat surfande inför jul som kommer igång någon gång i november.

ESET:s Daniel Novomesky tror att ökningen även kan ha att göra med att fler och fler aktörer försöker sprida skadlig kod med hjälp av ”vuxeninnehåll”, en mycket vanlig strategi.

Ytligt sett är nummer två på listan, HTML/Iframe.B, ungefär samma sak.

Win32/Toggle är en så kallad PUA, Potentially Unwanted Application, det vill säga mjukvara du antagligen inte vill ha. I detta fall är det OpenCandy som ligger bakom.

OpenCandy kan man komma i kontakt med när man installerar en rad olika program, oftast freeware, när man får alternativet att installera till exempel en toolbar. Irritationen blir stor när man snabbklickar sig igenom installationen och missar att tacka nej till värdelös mjukvara som är svår att bli av med.

Detektionen Win32/HackKMS är ett crackverktyg eller en keygen. Hotet är inte av det allvarligare slaget, utan finns också listat som PUA (se ovan).

Win32/Agent.SDF.Gen är en trojan som kan skapa en autorun.inf-fil i rotkatalogen och därigenom köra sig själv automatiskt och kopiera och sprida sig.

Säkerhetsradion: Att besegra virus med virus

I dagens podcast diskuterar vi möjligheten att besegra virus med virus. Den japanska regeringen arbetar med något liknande i dagsläget och även om ämnet är lite känsligt så är det känt att även USA ska ha nosat på området. Hur ser det ut för Sverige?

Säkerhetsradion: Så skyddar du din smartphone

Att mobilen ska bli stulen är inte längre det enda vi bör oroa oss för när det gäller våra telefoner. I takt med att vi använder smartphones mer och mer som datorer och lagrar mängder av känslig information på dem, så ökar även riskerna för att drabbas av infekterade appar, stöld av kontoinformation och så vidare. I dagens podcast pratar vi om vilka hot som finns mot våra smartphones och hur man på bästa sätt kan skydda sig.

ESET lanserar NOD32 Antivirus 5 och ESET Smart Security 5

Nu är det dags! ESET har lanserat ESET NOD32 Antivirus 5 och ESET Smart Security 5. Användarna kan nu erbjudas bättre och mer avancerat skydd tack vare ett flertal nya funktioner. Det är också värt att notera hur de nya funktionerna täcker behoven hos olika sorters användare, till exempel familjer, online­spelare, filmintresserade, mer datakunniga användare och så vidare.

Topp fem av de nya funktionerna är följande:

– ESET Live Grid: förutom den ryktesbaserade kontrollen har ESET förbättrat precisionen för hotdetektion och ytterligare ökat de resurssnåla alternativen. Det här reflekteras bl.a. i hur ESET Live Grid gör det möjligt för säkerhetsprogrammen att med tiden lära sig vilka filer på användarens dator som är klassade som säkra. Det innebär att genomsökningar kommer gå snabbare och snabbare och snabbare.

– Kontroll av flyttbara media: Externa media, så som t.ex. USB-minnen, utgör ett hot mot datoranvändare eftersom de används för att sprida virus och skadlig kod. I version 5 kan administratören enkelt begränsa exakt vilka externa medier som ska få användas i systemet, för att undvika spridandet av dolda virus.

– Föräldrakontroll (endast ESET Smart Security 5): Föräldrar eller administratörer kan definiera oönskade sidor som ska blockeras. För att kunna anpassa dessa inställningar till varje användare kan en ”användartyp” registreras för varje konto. Varje användare får sina egna förinställda kategorier av webbsidor som inte tillåts när användaren är online.

– Värdskydd/HIPS (Advanced Host-based Intrusion Prevention System): För de mer tekniskt kunniga användarna agerar denna funktion som ytterligare ett lager av säkerhet. Användarna kan själva definiera regler för vilka processer eller filer som ska tillåtas åtkomst till olika filer och registernycklar.

– Spelarläge: Funktionen gör att skyddet inaktiverar varningsfönster och växlar till tyst läge för att spara ytterligare på systemresurser för att behålla en bra prestanda och inte påverka spelkvaliteten. Spelarläge passar även för andra aktiviteter där fullskärmsläge används, till exempel presentationer och film.

I veckans podcast kommer vi att prata om version 5 och vad de nya funktionerna innebär.

Mozilla planerar gömma versionsnummer i Firefox

Efter att ha ökat versionsnumren i Firefox i väldigt snabb takt, något som uppmärksammats av bland annat IDG, planerar Mozilla nu att helt dölja versionsnumren i Firefox, och istället bara visa något i stil med ”Firefox sökte efter uppdateringar för 20 minuter sedan, du har den senaste versionen”.

I en kommentar på bugzilla finns följande att läsa, skrivet av Asa Dotzler, Community Manager för Firefox:

Remove version from About window
When a user opens the About window for Firefox, the window should say something like ”Firefox checked for updates 20 minutes ago, you are running the latest release.”

It is important to say when the last check happened and ideally to do the check when the dialog is launched so that time is very near and to drop the version and simply tell them they’re on the latest or not.

If a user needs the full version information they can get it from about:support.

På ett sätt kan det vara bra att försöka få bort fokus från ”vilken version man har installerad”, men då är det viktigt att de automatiska uppdateringarna fungerar bra och smidigt för användarna.

För en hemanvändare spelar det oftast ingen roll vilken version man använder, utan kan man alltid lätt ha den senaste versionen installerad så är det troligtvis det smidigaste. I ett företagsnätverk kan det dock vara svårare. Först och främst måste användaren ha rättighet att uppdatera programmet, antingen genom att ha skrivrättigheter till programmet, eller att användaren kan autenticera sig som en administratör/någon som har rättigheter. Sedan är det oftare väldigt viktigt att man har kontroll över vilka versioner som körs på klienterna.

Både Google och Mozilla vill att användarna ska strunta i versionsnumren. Istället så ska man köra t.ex. antingen Stable, eller Nightly. Oavsett exakt version.

Asa Dotzler fortsätter:

This feature is a priority of the Firefox UX lead and the Firefox Product lead. It is part of the phasing out of version numbers in Firefox that’s already well under way (though still incomplete.)

Om man gör en koppling till säkerhetsprogram så är det första jag kommer att tänka på att man måste verkligen veta att programmet söker efter uppdateringar, eller att det varnar om det misslyckas (i alla fall efter ett par gånger).

Viss skadlig kod försöker förhindra olika antivirusprogram från att uppdatera. Det är viktigt att de inte lätt kan luras att säga att ”Allt är lugnt! Du har senaste versionen!” fastän det inte stämmer.

Varning för säkerhetshål i Apples iOS

Den tyska myndigheten för IT-säkerhet gick igår ut med en varning att operativsystemet iOS har ett allvarligt säkerhetshål som kan utnyttjas för att stjäla data från iPhones, iPads och iPod Touch.

Säkerhetshålet blev känt genom hemsidan ”jailbreakme” där man kan jailbreak:a sin iOS-enhet bara genom att gå in på hemsidan.

Säkerhetshålet består i hur iOS hanterar PDF-filer. Med hjälp av detta så kan man köra valfri programkod på enheten bara genom att en PDF-fil öppnas. Detta säkerhetshål gör att man naturligtvis kan köra skadlig kod lika gärna som en ”snäll” jailbreak. Likaså kan telefoner, iPads och iPod-touch smittas genom att användaren besöker en webbplats där det finns en smittad PDF. På så vis kan kriminella komma åt allt på telefonen, iPaden eller iPoden. Man kan lätt se ett scenario där de kan få åtkomst till lösenord, foton, sms, kalendrar, e-postmeddelanden och till och med avlyssna telefonsamtal. Helt utan att användaren märker något.

Säkerhetsbristen finns på alla maskinvaror med iOS 4.3.3. Det innebär att många är i farozonen eftersom operativsystemet används i iPhone 3GS, iPhone 4, båda versionerna av iPad och iPod Touch. Det kan heller inte uteslutas att andra versioner av iOS har samma luckor i säkerheten. Apple har kommenterat säkerhetsproblemet och sagt att de kommer att släppa en patch, men man vet inte hur lång tid det tar innan den kommer, och innan alla har uppdaterat sina telefoner.

Tills dess att problemet har åtgärdats är det som vanligt bäst att vara försiktig med vilka sidor man besöker från sin i-enhet, och avstå från att öppna okända PDF:er, både i e-post och på webbplatser.

Ny trojan infekterar NTFS-loader, använder ”väldigt snygga” trick för att lura användaren att betala

Kaspersky Lab rapporterar om en ny trojan som hittats, ”Cidox”. Istället för att ”bara” infektera MBR som några andra välspridda rootkits så infekterar den NTFS IPL (Initial Program Loader). Den koden den byter ut är den som startar upp resten av systemet (”bootmgr” i Vista och nyare operativsystem, och ”ntldr” i tidigare versioner). Trojanen infekterar endast partitioner som har NTFS som filsystem.

Detta innebär att det kan vara svårare, i alla fall för tillfället, för antivirusprogram att rensa ett infekterat system.

När datorn sedan bootar om så startar den sina egna drivrutiner för att utföra resten av sin skadliga kod. Det den här versionen av trojanen gör är att den söker efter webbläsarna Firefox, Chrome och Opera. Om användaren startar webbläsaren så ser trojanens drivrutin till att den laddar in ytterligare skadlig kod i webbläsaren i form av en DLL-fil.

Användaren får sedan upp en väldigt ”snygg” varning i sin webbläsare om att den behöver säkerhetsuppdateringar:

Cidox-trojan

Cidox-trojanens varning i Firefox

Detta exempel är på ryska, men jag kan lätt tänka mig att användare kan luras av detta (så länge som språket är samma som i deras webbläsare). Man märker att de har lagt ner tid på att få varningen att se verklig ut. I Opera och Chrome så ser varningarna annorlunda ut.

Det som händer när man väljer att ”uppdatera” sin webbläsare från varningen är att trojanen uppmanar användaren att skicka ett SMS med en kod till ett betalnummer, och på så sätt tjänar skaparen av trojanen pengar.

Detta visar på ett nytt sätt att få sin skadliga kod att starta automatiskt, och även att de har lagt ner tid på att få det att se äkta ut.

Förhoppningsvis så vet personerna som har installerat sina webbläsare att de inte behöver betala eller skicka SMS för att få hem uppdateringar till dem..

Angående Mastercard: DDOS-attacker växer som problem

Nyheterna om nya hackerangrepp och olika stora hackergruppers förehavanden har rasat in på sistone. Igår kom nyheten om att Mastercards webbsida utsattes för en DDOS-attack för att man bidrog till de ekonomiska blockaden av Wikileaks. Attackerna är en upprepning av de som hackergruppen Anonymous utförde tidigare i år med samma motiv (en podcast om Anonymous finns här).

Att utföra attacker som den här är ganska okomplicerat idag, de botnät som används kan hyras eller köpas för ganska lite pengar med rätt kontakter och marknadspriset stiger än så länge inte. Det är alltså möjligt att utföra sådana här ganska storskaliga påtryckningar (jag kan tänka mig att vissa skulle kalla det terror) för helt vanliga personer som läser på lite och skaffar sig rätt kontakter.

Ett litet men viktigt steg i kampen mot DDOS-attacker är att skydda datorer mot skadlig kod för att hindra botnäten från att sprida sig. Det handlar självklart om att använda antivirusprogram, men även om ett säkrare beteende. Det är dessutom viktigt att mjukvaruföretag lagar brister och säkerhetshål i program och operativsystem, det betyder mycket. Titta bara på hur mängden infektioner som utnyttjar Autorun sjönk när Microsoft skickade ut en push-uppdatering som låste funktionen.

Hotrapport maj: Skadlig kod sprids via webbsidor

Efter en paus är det dags att börja ta upp de månatliga hotrapporterna från ESET. Diagrammet nedan visar de fem hot, virus och infektioner som var vanligast i Sverige under maj månad. Statistiken kommer från ThreatSense, det system som ESET använder för att kontinuerligt samla in information om angrepp och infektioner världen över.


Tre av topp 5-hoten i maj handlar om skadlig kod som sprids via infekterade legitima sidor eller försök att göra detta. Det är ett problem som varit ganska omfattande under en period och med stor sannolikhet kommer det att förvärras. Tråkigt nog är det alltså så att det går att få pålitliga sidor att sprida skadlig kod. Det sker antingen genom att de hackas eller med hjälp av infekterade annonser. En sådan dyker ofta upp på sajter genom annonsnätverk och kan vara programmerad att skicka webbläsaren vidare till sidor som innehåller skadlig kod till exempel var hundrade gång den visas.

  1. JS/Redirector.NID är en trojan som skickar webbläsaren till en URL som innehåller skadlig kod. Koden är oftast inbakad i manipulerad HTML på legitima webbsidor som hackats. Som namnet antyder använder JS/Redirector JavaScript, oftast obfuskerad, för att för att skapa hänvisningen till den infekterade sidan. Det här gör den för att ladda upp och köra skadlig programvara på klientdatorn, ett mycket vanligt sätt att sprida skadlig kod.
  2. HTML/Iframe.B.Gen är det allmänna namnet för Iframe-taggar med skadlig kod som bäddas in i HTML-sidor. Koden som bäddats in kan exempelvis utnyttja säkerhetshål för att köra skadlig kod automatiskt när användaren besöker sidan.
  3. Win32/Patched består av en rad olika infektioner som ändrar i systemfiler. Vissa standardprogram i Windows kan också påverkas, till exempel Anteckningar och Kalkylatorn. En tidigare frisk fil får ett tillskott av skadlig kod och filer som har patchats på det här sättet ändrar sitt beteende, antingen för att kunna underlätta spridningen av skadlig kod, eller också för att det ska vara ännu svårare att upptäcka den skadliga koden.En del piratversioner av Windows XP har en patchad version av drivrutinen tcpip.sys för att göra det möjligt att ha fler än 10 nätverksuppkopplingar som standard – användbart till exempel för den som använder torrentklienter, men det kan också missbrukas för att ställa till med ofog.
  4. Win32/RegistryBooster är egentligen inte skadlig kod, utan det vi brukar kalla ett potentiellt oönskat program.
  5. HTML/ScrInject.B.Gen är samlingsnamn för detektioner av infekterade HTML-sidor som innehåller dolda skript eller Iframe-taggar som skickar webbläsaren till skadlig kod.

 

Betaversion av ESET Smart Security 5 och NOD32 Antivirus 5

Nu är de äntligen här, de första betaversionerna av ESET Smart Security 5 och ESET NOD32 Antivirus 5. Under sin tid har version 4 uppdaterats kontinuerligt, men när vi nu får en helt ny version tar ESET ett rejält kliv framåt på flera områden.

Något som är värt att lägga märke till med version 5 är den enligt mig briljanta avvägningen mellan molnkopplade säkerhetsfunktioner och heuristisk kontroll och traditionella signaturfiler. Att helt förlita sig på en enda teknik kan alltid bli en svaghet, men ESET kombinerar det bästa av en rad tekniker. Självklart har även version 5 produkterna samma låga systempåverkan som alla ESET:s produkter.

Det här är en produkt som det ska bli mycket roligt att arbeta med. Om du vill testa betaversionen kan du ladda ned den här:

ESET Smart Security 5 (BETA)
ESET NOD32 Antivirus (BETA)

 

 

Nya funktioner i ESET Smart Security 5 BETA och ESET NOD32 Antivirus 5 BETA

  • Förbättrad kontroll av externa enheter – Blockerar hot som försöker ta sig in i systemet via externa enheter. ESET Smart Security 5 och ESET NOD32 Antivirus 5 uppmanar automatiskt användaren att genomsöka alla USB-minnen, CD-skivor eller Dvd:er som matas in i datorn. Användaren kan blockera specifika enheter genom en rad urvalsparametrar, till exempel typ av enhet och serienummer.
  • Ryktesbaserad kontroll med molnteknik – Förbättrad detektering och genomsökningshastighet med hjälp av avancerad ryktesbaserad kontroll i molnet och ESET:s analys och insamling av skadlig kod.
  • Optimerad uppstart – ESET Smart Security 5 och ESET NOD32 Antivirus 5 gör att datoranvändaren kan börja arbeta direkt efter uppstarten utan att äventyra säkerheten.
  • Spelläge – I helskärmsläge byter ESET Smart Security 5 och ESET NOD32 Antivirus 5 automatiskt till tyst läge för att minska belastningen på systemresurserna. Användaren kan spela spel eller fokusera arbetet utan distraktioner från popup-meddelanden.
  • Förbättrat grafiskt användargränssnitt – Den grafiska miljön har modifierats med förbättringar av både funktionalitet och design för att höja användarupplevelsen.
  • Föräldrafilter – Blockerar sajter med potentiellt stötande innehåll. Dessutom kan föräldrar hindra åtkomst till upp till 20 fördefinierade webbplatskategorier.
  • Förbättrat spamfilter – Den integrerade antispammodulen i ESET Smart Security har fått ännu bättre prision i detektionen.
  • Intelligent brandvägg – Hindrar obehöriga användare från att få tillgång till datorn utifrån och från att bevaka datatrafik.