Tag Archives: virus

Forskare: ”Botnätet TDL-4 är omöjligt att förstöra”

Forskare inom IT-säkerhet har upptäckt ett nytt och förbättrat botnät som de efter ingående undersökning bedömer är näst intill omöjligt att bryta ner. Uppskattningsvis har 4,5 miljoner datorer smittats och botnätet fortsätter sakta men säkert att växa.

Nätverket kallas TDL-4, TDSS eller Olmarik, vilket även är namnet på den skadliga kod som infekterar datorerna. Trojanen installerar sig i datorns MBR (master boot record) där den startas innan Windows, bakar in sig i systemet, och skyddas av ett rootkit. Detta gör att den är svår att upptäcka för både användare och antivirusprogram samt svår att ta bort eller oskadliggöra.

Det finns en rad olika faktorer som gör det här botnätet så svårt att ta ner: det får  kommandon på ett effektivt sätt via peer-to-peer-nätverk och de smittade datorerna använder två olika kommunikationskanaler. Sist men inte minst, så tar TDL-4 bort andra virus från datorer den infekterar för att användarna inte ska ana oråd och göra en grundlig virussökning eller installera antivirusprogram. Det gör TDL-4 till ett av de mest sofistikerade botnäten idag. Den senaste versionen har bland annat även stöd för 64-bitars system.

Botnätet används sedan av upphovsmakarna för att sprida andra virus eller hyrs ut till cyberkriminella för virus- och DDoS-attacker, spamutskick och phishingkampanjer.

Det här låter skrämmande men det är möjligt att skydda sig även mot avancerade virusattacker som TDL-4. Förhoppningsvis ökar medvetenheten om vikten av att ha bra säkerhet på både hem- och jobbdatorn och att alla vi datoranvändare blir mer försiktiga med vad vi gör på Internet.


Bild: Wikipedia

Angående Mastercard: DDOS-attacker växer som problem

Nyheterna om nya hackerangrepp och olika stora hackergruppers förehavanden har rasat in på sistone. Igår kom nyheten om att Mastercards webbsida utsattes för en DDOS-attack för att man bidrog till de ekonomiska blockaden av Wikileaks. Attackerna är en upprepning av de som hackergruppen Anonymous utförde tidigare i år med samma motiv (en podcast om Anonymous finns här).

Att utföra attacker som den här är ganska okomplicerat idag, de botnät som används kan hyras eller köpas för ganska lite pengar med rätt kontakter och marknadspriset stiger än så länge inte. Det är alltså möjligt att utföra sådana här ganska storskaliga påtryckningar (jag kan tänka mig att vissa skulle kalla det terror) för helt vanliga personer som läser på lite och skaffar sig rätt kontakter.

Ett litet men viktigt steg i kampen mot DDOS-attacker är att skydda datorer mot skadlig kod för att hindra botnäten från att sprida sig. Det handlar självklart om att använda antivirusprogram, men även om ett säkrare beteende. Det är dessutom viktigt att mjukvaruföretag lagar brister och säkerhetshål i program och operativsystem, det betyder mycket. Titta bara på hur mängden infektioner som utnyttjar Autorun sjönk när Microsoft skickade ut en push-uppdatering som låste funktionen.

ESET fixar skumparty på Dreamhack 2011

Just nu är Dreamhack Summer 2011 i full gång i Jönköping och vi är med och sponsrar världens största digitala festival för tredje gången. Dreamhack samlar spel- och datorentusiaster från hela världen för tre dagar fyllda av allt som har med digital kultur att göra. Festivalen håller världsrekordet i stora lokala nätverk; under Dreamhack Winter 2010 var 12 754 datorer anslutna och eventet besöktes av 13 608 personer. På programmet finns förutom världens största lan även miniturneringar i Angry Birds och Tetris, WCG-finaler i bland annat  Quake, StarCraft II och Counter-Strike, föredrag och självklart dansgolv med spelningar av band och dj:s.

Bild: Dreamhack

När så många datorer kopplas samman är det viktigt att tänka på säkerheten, inte bara stöldskydd utan även virusskydd. Därför ser vi sponsringen av festivalen som ett viktigt partnerskap. Enligt en nyligen genomförd undersökning av Steam är ESET:s mjukvara den populäraste bland spelare. Detta bland annat för att virusskyddet är resurssnålt och belastar inte datorns prestanda, vilket innebär att spelen inte laggar.

Ikväll går den stora avslutningsfesten av stapeln och det kommer bli galet! I år fixar vi en storslagen avslutning med skumparty på utomhusområdet med dj:s, laser och skön musik. Missa inte årets fest!

Hotrapport maj: Skadlig kod sprids via webbsidor

Efter en paus är det dags att börja ta upp de månatliga hotrapporterna från ESET. Diagrammet nedan visar de fem hot, virus och infektioner som var vanligast i Sverige under maj månad. Statistiken kommer från ThreatSense, det system som ESET använder för att kontinuerligt samla in information om angrepp och infektioner världen över.


Tre av topp 5-hoten i maj handlar om skadlig kod som sprids via infekterade legitima sidor eller försök att göra detta. Det är ett problem som varit ganska omfattande under en period och med stor sannolikhet kommer det att förvärras. Tråkigt nog är det alltså så att det går att få pålitliga sidor att sprida skadlig kod. Det sker antingen genom att de hackas eller med hjälp av infekterade annonser. En sådan dyker ofta upp på sajter genom annonsnätverk och kan vara programmerad att skicka webbläsaren vidare till sidor som innehåller skadlig kod till exempel var hundrade gång den visas.

  1. JS/Redirector.NID är en trojan som skickar webbläsaren till en URL som innehåller skadlig kod. Koden är oftast inbakad i manipulerad HTML på legitima webbsidor som hackats. Som namnet antyder använder JS/Redirector JavaScript, oftast obfuskerad, för att för att skapa hänvisningen till den infekterade sidan. Det här gör den för att ladda upp och köra skadlig programvara på klientdatorn, ett mycket vanligt sätt att sprida skadlig kod.
  2. HTML/Iframe.B.Gen är det allmänna namnet för Iframe-taggar med skadlig kod som bäddas in i HTML-sidor. Koden som bäddats in kan exempelvis utnyttja säkerhetshål för att köra skadlig kod automatiskt när användaren besöker sidan.
  3. Win32/Patched består av en rad olika infektioner som ändrar i systemfiler. Vissa standardprogram i Windows kan också påverkas, till exempel Anteckningar och Kalkylatorn. En tidigare frisk fil får ett tillskott av skadlig kod och filer som har patchats på det här sättet ändrar sitt beteende, antingen för att kunna underlätta spridningen av skadlig kod, eller också för att det ska vara ännu svårare att upptäcka den skadliga koden.En del piratversioner av Windows XP har en patchad version av drivrutinen tcpip.sys för att göra det möjligt att ha fler än 10 nätverksuppkopplingar som standard – användbart till exempel för den som använder torrentklienter, men det kan också missbrukas för att ställa till med ofog.
  4. Win32/RegistryBooster är egentligen inte skadlig kod, utan det vi brukar kalla ett potentiellt oönskat program.
  5. HTML/ScrInject.B.Gen är samlingsnamn för detektioner av infekterade HTML-sidor som innehåller dolda skript eller Iframe-taggar som skickar webbläsaren till skadlig kod.

 

Creeper fyller 40 år!

Idag är det 40 år sedan det allra första datorviruset upptäcktes. Det döptes till Creeper eftersom meddelandet ”I’m the creeper, catch me if you can!” (efter en Scooby Doo-figur) visades på skrivare och faxar som havererade eller började uppföra sig märkligt efter att ha blivit smittade.
Creeper var startskottet för något som visade sig bli mycket stort, skadlig kod och cyberbrott omsätter idag rent ofantliga summor. (I ödmjukhetens namn kanske jag och mina kollegor och konkurrenter inte ska glömma att den försörjer även vår bransch.)

Mycket har hänt på virusfronten sedan Creeper, inte bara när det gäller koden. När det gäller Creeper var den ansvarige programmeraren så hygglig att han även släppte Reaper, ett program som tog bort Creeperviruset.

Ett fyrfaldigt leve för Creeper!

Berömda virus, inbyggt stöldskydd från Intel och bordlagd datalagring

Chilla i ESET Virus Free Zone på Dreamhack Summer 2010

Snart slår Dreamhack upp portarna igen. Vi ser väldigt mycket fram emot eventet och har varit där som sponsor nu i flera år. I år kommer vi bidra till event:et med ett stort utomhusområde, ESET Virus free zone där man kan ta det lugnt en stund, hänga med polarna och träffa andra LAN:are på ett avslappnat sätt.

När fingrarna är stela och ögonen svider rekommenderar vi att du kommer förbi ESET Virus free zone. Där kommer du bland annat att hitta:

  • 200 kvm stort partytält med DJ:s, lasrar, bar och bartenders som blandar somriga alkoholfria drinkar
  • Beachvolleyboll
  • Hoppborg
  • 21 meter lång hinderbana
  • Boxning i XL-format
  • Projektorduk som visar fotbolls-VM i tältet
  • Pool med 16 000 liter vatten
  • Tävlingar varje dag
  • Fest varje kväll med grymma DJ:s
  • Grillmat
  • Glassbar

Vi ser fram emot att träffa er där. Mer information om ESET Virus Free Zone hittas på Dreamhacks hemsida.

Ny podcast: När Robocop får virus

Antivirusvärlden gick som en man ut och avfärdade Mark Gasson vid University of Reading som lite larvig när han berättade att han hade satt in ett RFID-chip med datavirus i handen, vilket jag nämnde i torsdags.

Han pratar om att små chips inte längre bara kan lagra och sända information utan även manipulera och förändra den och föra den vidare till andra. Det öppnar för att skadlig kod ska kunna köras på dem. Vad Gasson diskuterar är alltså inte att chips idag ska börja föra virus vidare, utan att de teoretiskt kan göra det och att avancerad medicinsk utrustning ­- teoretiskt – i framtiden kan smittas av virus från chip i den egna kroppen eller i andras kroppar.

Självklart känns det här som ett sätt för forskarna att nå ut i media och det är ju inget konstigt med det. Jag ser inga akuta risker alls med detta och gemene man kommer förhoppningsvis inte ha värst många inopererade chips inom överskådlig framtid.

Det är dock viktigt att potentiella problem som detta och det hypotetiska problemet med tabnapping som också diskuterades förra veckan dras fram, dammas av och diskuteras. Inte bara för att vi i antivirusbranschen ska kunna bygga och sälja antiviruslösningar till pacemakers, utan för att konstruktörerna ska ta säkerhetsproblemen på allvar redan i designfasen.

Som jag lovade så har vi pratat om det här i veckans podcast, som du kan lyssna på här.