Tag Archives: trojan

Ny trojan infekterar NTFS-loader, använder ”väldigt snygga” trick för att lura användaren att betala

Kaspersky Lab rapporterar om en ny trojan som hittats, ”Cidox”. Istället för att ”bara” infektera MBR som några andra välspridda rootkits så infekterar den NTFS IPL (Initial Program Loader). Den koden den byter ut är den som startar upp resten av systemet (”bootmgr” i Vista och nyare operativsystem, och ”ntldr” i tidigare versioner). Trojanen infekterar endast partitioner som har NTFS som filsystem.

Detta innebär att det kan vara svårare, i alla fall för tillfället, för antivirusprogram att rensa ett infekterat system.

När datorn sedan bootar om så startar den sina egna drivrutiner för att utföra resten av sin skadliga kod. Det den här versionen av trojanen gör är att den söker efter webbläsarna Firefox, Chrome och Opera. Om användaren startar webbläsaren så ser trojanens drivrutin till att den laddar in ytterligare skadlig kod i webbläsaren i form av en DLL-fil.

Användaren får sedan upp en väldigt ”snygg” varning i sin webbläsare om att den behöver säkerhetsuppdateringar:

Cidox-trojan

Cidox-trojanens varning i Firefox

Detta exempel är på ryska, men jag kan lätt tänka mig att användare kan luras av detta (så länge som språket är samma som i deras webbläsare). Man märker att de har lagt ner tid på att få varningen att se verklig ut. I Opera och Chrome så ser varningarna annorlunda ut.

Det som händer när man väljer att ”uppdatera” sin webbläsare från varningen är att trojanen uppmanar användaren att skicka ett SMS med en kod till ett betalnummer, och på så sätt tjänar skaparen av trojanen pengar.

Detta visar på ett nytt sätt att få sin skadliga kod att starta automatiskt, och även att de har lagt ner tid på att få det att se äkta ut.

Förhoppningsvis så vet personerna som har installerat sina webbläsare att de inte behöver betala eller skicka SMS för att få hem uppdateringar till dem..

Cyberskurkar tjänade miljoner på falskt antivirus

Svenska Dagbladet och Dagens Nyheter rapporterar båda om ett stort tillslag där datorer och servrar i flera olika länder beslagtagits efter att man uppdagat en härva med falska antivirusprogram. Nära en miljon personer ska vara drabbade och det visar tydligt att personer som råkar ut för falska antivirusprogram väldigt ofta faktiskt betalar för att bli av med dem. Enligt TT ska bedragarna ha lyckats få in  460 miljoner kronor – cyberbrott har blivit mycket lukrativt.

Falska antivirusprogram är väldigt vanliga. Nästan alltid handlar de om att lura användaren att datorn är infekterad av virus eller trojaner som inte finns i verkligheten. På så sätt får man användaren att betala för att bli av med skadlig kod som inte finns med hjälp av programvara som inte fungerar. Det finns även värre varianter, så kallad ransomware, som låser datorn tills användaren betalar en summa för ett lösenord som låser upp den.

Här kan du lyssna  på en podcast vi gjorde förra våren som tar upp mycket matnyttigt om falska antivirusprogram.

Säkerhetsradion: Cyberskurkarna är ute efter dina pengar

Just nu går det att läsa överallt om hur illvilliga hackers angriper banker och inloggningssystem till Internetbanker för att komma åt dina pengar. I vår senaste podcast pratar vi om detta fenomen, som ännu inte är lika utbrett i Sverige som i t.ex. Polen, där en ny banktrojan härjar, genom att lura till sig bankinformation via mobiltelefonen.

Denna nyhet har bland annat tagits upp av Expressen, Net-Security, TechWorld och Computer Sweden.

Virus i Sverige, november 2010

Hotrapport Sverige, november 2010

Överst på den svenska hotlistan i november fanns Win32/Patched (4,33 %), vilket innebär att skadlig kod har patchat en existerande systemfil, i syfte att gömma sig själv i systemet. Detta gör att det ibland kan vara svårt att rensa filen, eftersom systemet blir instabilt, eller inte startar alls om man bara tar bort den (ändrade) systemfilen.

På andraplatsen finner vi Java/TrojanDownloader (3,63 %) som är en trojan med en förkärlek för att installera skadliga filer eller program. Trojan-Downloader.Java.Agent.au kan komma från misstänkta sidor på nätet och tar sig ofta i systemet genom säkerhetshål eller via webbläsaren.

Även trean på novembers hotlista var en trojan med intresse för att installera skadliga filer och program och ta sig in i systemet på samma sätt som vår andraplatshållare. HTML/TrojanDownloader stod för 2,01 % av de svenska cyberhoten i november.

Fyran är Javatrojanen JS/Redirector (0.83%) som smittar till exempel genom skadliga webbsajter och skickar användaren vidare till andra sajter än de planerat att besöka. JS/Redirector låter även smittspridaren att attackera HTML-baserade e-postmeddelanden.

Femteplatsen hölls av INF/Autorun (0.79%), som kan köras automatiskt när USB-stickor och andra externa enheter används i på ett Windows-system.

Virus i Sverige, november 2010

Största hoten i Sverige november 2010

Källa: ESET ThreatSense.Net® (november 2010)

Om standardkommentaren ”Höhö, skaffa en Mac”

Jag läste lite i kommentarfältet till Aftonbladets artikel om kaoset som uppstod när McAfee skickade ut en uppdatering som gick lite snett. Som på nästan alla platser där man diskuterar skadlig kod och virus stötte jag på uppmaningen om att man bör skaffa en Mac. Då får man tydligen inga virus.

Det är väl frestande på flera sätt att skaffa en Mac, men uppmaningen är tyvärr feltänkt. Orsaken till att Mac har varit relativt förskonade från skadlig kod är inte att plattformen är säkrare, utan helt enkelt att Windows länge har varit det mest spridda systemet. Det har lönat sig bättre för hackers att rikta sina krafter mot ett större system som fler använder; det ger ett större utbyte.

Apple växer dock bland vanliga konsumenter, så antalet attacker med hjälp av skadlig kod kommer troligtvis att öka på plattformen. Ironiskt nog innebär detta att om Macanvändarna vill behålla den låga virusfrekvensen, så bör de alltså försöka hålla antalet användare nere. Det finns redan riktiga virus till Mac, trojaner och botnät, även om det aldrig blivit någon större spridning.

För att tala allvar ett tag så bör man dock tänka på att skadlig kod bara är en av riskerna på nätet – är man inte försiktig med personuppgifter eller faller för nätfiskeförsök så räddas man inte ens om man programmerar sitt eget operativsystem.

Hotrapport Mars

I mars var det fullklottrat i cyberbrottslingarnas kalendrar. Win32/Conficker låg i toppen av varningslistan med 10,32 % – läs mer på hotcentret på Eset.eu. På andraplatsen hittar vi INF/Autorun (8,42 %) som är en hel uppsättning hot som använder autorun.inf för att kompromettera datorer i samband med användning av USB-utrustning. Trea på hotlistan är Win32/PSW.OnLineGames (5,15%), vilket är en trojanfamilj som attackerar online-spelare.

Ett antal andra cyberhot var i omlopp under mars månad. Däribland en hel del Blackhat SEO, som satte igång efter bombningarna i Ryssland då massiv exploatering av onlinebrottslingar ledde till en ökad spridning av falska antivirusprodukter. För Macanvändare kan en del av det som hände på CanSecWest-konferensen i Vancouver vara av intresse, då 20 zero-day-hål avslöjades i Apple-produkter. Exakt hur allvarligt det här hotet är vill inte säkerhetsanalytikern Charlie Miller (mannen som hittade hålen) dela med sig av, eftersom han menar att problemet då patchas och sedan sopas under mattan, istället för att produkternas grundläggande säkerhet förbättras.

På tal om CanSecWest i Vancouver så diskuterade vi för övrigt hackartävlingen Pwn2Own som sker i samband med konferensen i vår podcast från den 29 mars – lyssna här.

ESETs hotrapport januari 2010 – Win32/Patched största virushotet

  • Win32/Patched dominerade tydligt
  • Win32/Kryptik halkar ned till andraplatsen

Under januari har Win32/Patched blivit den mest spridda formen av skadlig kod i Sverige, enligt ESET:s statistikplattform ThreatSense.Net. Hela 13,7 procent av alla infekterade system förra månaden var påverkade av just Win32/Patched.

Win32/Patched består av ett brett spektrum av infektioner som modifierar systemfiler för att försäkra att de startas automatiskt, eller håller sig dolda. Även vissa basprogram i Windows, till exempel Anteckningar, kalkylatorn och defragmenteraren modifieras oftast även de. Skadlig kod blir alltså en del av en tidigare frisk fil och filer som har patchats på det här sättet liknar ett virus – med den skillnaden att den inte sprider sig själv.

En del piratversioner av Windows XP har en patchad version av drivrutinen tcpip.sys för att göra det möjligt att ha fler än 10 nätverksuppkopplingar som standard – användbart till exempel för den som använder torrentklienter, men det kan också missbrukas för att ställa till med ofog.

Decembers största hot, Win32/Kryptik, kröp ned till andra plats under Januari. Kryptik är en etikett som inbegriper en grupp skadliga program, bland annat falska antivirus- och antispionprogram, maskar och trojaner. Gemensamt för dem alla är liknande uppbyggnad och beteendemönster.

Win32/Agent hittar vi på tredje plats, vilket är en grupp program som stjäl känsliga användaruppgifter. Den lägger även till registernycklar för att kunna aktiveras när systemet startas om.

På fjärde plats hittar vi nykomlingen Win32/TrojanClicker.Delf, en trojan som fick ganska stor spridning under januari. Efterhängsna WMA/TrojanDownloader.GetCodec är nu femte vanligaste infektion. Läs mer om den i förra månadens hotrapport.

Skadlig kod i Sverige januari 2010

Skadlig kod i Sverige, januari 2010


Hotrapport: December – skrämselprogram och PDF-attacker

Ett nytt år på bloggen invigs, och vad passar inte bättre än att titta lite tillbaka på det år som gått – i alla fall slutet av det. Statistiken från by ThreatSense.Net®, ESET:s platform för analys av den skadliga kod som är under spridning i världen, visade att Win32/Kryptik dominerade i Sverige under december.

Det är tydligt att falska antivirusprogram är ett problem för tillfället, denna och andra former av scareware, alltså program som mer är ute efter att skrämma användaren till att installera skadlig kod, än att försöka göra det i hemlighet.

JS/Exploit.Pdfka är ett nytillskott på vår hotkarta. Precis som namnet antyder så angriper JS/Exploit.Pdfka sårbarheter i PDF-formatet.

På tredje plats hittar vi Win32/Agent, en virusgrupp som sprider sig i systemet och lägger till nycklar i registret för att startas automatiskt tillsammans med systemet. Därefter stjäl den känslig information från datorn.

Fjärdeplatsen är den månad efter månad återkommande WMA/TrojanDownloader.GetCodec, en trojan som söker igenom datorn efter mediafiler som den sedan konverterar till WMA-formatet. När användaren spelar upp filerna blir han eller hon uppmanad att ladda ned och installera en codec, ett insticksprogram för att hantera bild- och ljudformat, som visar sig innehålla ytterligare skadlig kod.

Det femte vanligaste hotet under december 2009 var INF/Autorun, som också funnits med i topp fem länge.

Virus i Sverige, December 2009

Virus i Sverige, December 2009

Varning för Internetspöken på Halloween!

Den här veckan är det många som firar Halloween, kanske främst på andra sidan Atlanten, men allt mer här i Sverige också. Det betyder att vi kan räkna med ökad Internetaktivitet i form av elektroniska vykort, meddelanden via MSN och ICQ samt mer en stor mängd besök på sociala nätverkssidor som Twitter och Facebook.

Halloween

Med ökad aktivitet följer ofta ökade säkerhetsrisker, så jag vill utfärda en liten varning till alla Internetanvändare och besökare av sociala nätverkssidor. När hälsningar som utväxlas online ökar på det här sättet finns det alltid de som försöker utnyttja det, som vanligt genom att försöka lura dig på pengar eller få dig att ladda ner virus. Så håll lite extra koll på vad ni klickar på under denna vecka, så att ni inte luras att installera en trojan eller lämna ut kreditkortinformation.
Nog för att vi gärna vill bli lite skrämda på Halloween, men inte på det här sättet.

Falska antivirusprodukter – på ett nät nära dig

En kollega till mig var kvick med skärmdumpsfingret och skickade mig en bild. Det är en popupsida som försöker få användaren att installera System Security, en falsk antivirusprodukt som kan ställa till med en hel del problem. På sista tiden har det dykt upp mängder av falska antivirusprodukter och jag tycker att det här är ett rätt bra exempel på hur det kan se ut.

System Security, Falskt antivirusprogram

System Security, Falskt antivirusprogram

Man har noga kopierat vyn i ”My computer” på ett sätt som säkert kan lura den datorovane eller den som är lite för snabb och inte tänker på att hela den här vyn visas inuti en webbläsare.

Över huvud taget har personerna bakom detta vinnlagt sig om att skapa en sida som ser väldigt ”Windowsk” ut, men för att lura användaren att klicka OK har man kompletterat bilden med några smärre detaljer. Under (C:) hittar vi till exempel Microsofts lilla röda säkerhetssköld och en upplysning om att datorn är infekterad med 4 trojaner. Lite längre ner ser vi hur skanningen av datorn påstås fortgå, och i resultatrutan kan vi läsa om en trojan vi inte har på knackig engelska. Självklart är sidan närmast omöjlig att stänga utan att använda aktivitetshanteraren, men så är det ju ofta när sådant här dyker upp.

Du kan även lyssna på vår podcast om falska antivirusprogram.