Bezpieczeństwo, antywirusy, zabezpieczenia » antywirusy

Fałszywe antywirusy

bezpieczenstwo — Wed, 08 Oct 2008 16:56:45 +0000

Przez ostatnich kilka miesięcy nowa generacja fałszywego oprogramowania zabezpieczającego (rogue security) trafia na nagłówki artykułów dotyczących zabezpieczeń.

Zagrożenia w takiej postaci zwykle posługują się taktyką, której celem jest wzbudzenie strachu, i która skłania nieświadomych użytkowników do kliknięcia na adres URL prowadzący do szkodliwej witryny lub powodujący pobranie szkodliwego oprogramowania. Może też zachęcić do zakupu oprogramowania, które wydaje się pożyteczne i potrzebne, a w istocie jest szkodliwe.

Kupujemy ze strachu, niepotrzebnie

Tego typu zagrożenia powodują, że użytkownicy kupują niepotrzebne oprogramowanie w celu uniknięcia infekcji. Jak na ironię, tak zwane oprogramowanie zabezpieczające, które użytkownik pobiera, jest w rzeczywistości szkodliwe. Nie zawiera ono prawidłowego kodu programu antywirusowego lub zabezpieczającego przed programami szpiegującymi.

Powrót Nuwara

Część fałszywego oprogramowania zabezpieczającego była aktywna w pierwszej połowie 2008 roku, jednak na większą skalę cyberprzestępcy powrócili do tego rodzaju działalności w lipcu 2008 r. Za jednym z ataków krył się przodek wszystkich botnetów — Storm Worm NUWAR. NUWAR to największy botnet — sieć komputerów (działająca w większości przypadków poza wiedzą ich właścicieli), w której każda maszyna jest kontrolowana przez osobę zarządzającą botnetem z użyciem kodu pobieranego na dane urządzenie. Jednym z głównych zastosowań sieci botnet jest wysyłanie spamu oraz innych zagrożeń za pomocą wiadomości e-mail (firma Trend Micro szacuje, że botnety są obecnie odpowiedzialne za około 90% wysyłanego spamu).

Strach dobrym narzędziem cyberprzestępców

Przestępcy internetowi wykorzystują strach przed infekcją wirusami i oprogramowaniem szpiegującym, wmawiając użytkownikom (niezgodnie z prawdą), że ich komputery zostały zainfekowane, i oferując oprogramowanie zabezpieczające, które umożliwia rozwiązanie tego problemu. Jednakże takie oprogramowanie jest w rzeczywistości szkodliwe! W lipcu w spamie rozsyłanym przez NUWAR znalazło się łącze do darmowego filmu, w którym główną rolę grała Liv Tyler. Po kliknięciu tego łącza było wyświetlane okno informujące użytkownika o wystąpieniu „błędów w zabezpieczeniach” i sugerujące, że komputer został zainfekowany oprogramowaniem szpiegującym.

Znajdowała się tam także informacja o możliwości pobrania pliku o niewinnej nazwie (INSTALL_EN.EXE), który w rzeczywistości był wariantem robaka NUWAR. Pobranie tego pliku powodowało instalację kolejnych rodzajów NUWAR. Pod koniec lipca zanotowano podobne działania, zachęcające do pobrania fałszywego programu antywirusowego (np. kuszące użytkowników filmem z udziałem Angeliny Jolie).

Email, komunikatory, banery i …serwisy społecznościowe

W sierpniu, krótko po opublikowaniu poprawki przez firmę Microsoft, pojawił się spam pochodzący rzekomo od tej firmy, w którym zalecano użytkownikom instalację kolejnej, bardzo ważnej aktualizacji. Jednakże „poprawka” zawierała szkodliwe oprogramowanie — EXPL_ANICMOO.GEN. Był to exploit obecny w sieci już wcześniej.

Nowy rodzaj fałszywego oprogramowania zabezpieczającego rozprzestrzenia się nie tylko poprzez pocztę elektroniczną. W połowie sierpnia firma Trend Micro wykryła łącza do takich programów w aplikacjach komunikatorów oraz w prywatnych wiadomościach w serwisach społecznościowych.

Jak wygląda fałszywka

Jeden z alertów zawierał wyglądający na oficjalny komunikat, który ostrzegał użytkowników, że „w komputerze wykryto wirusy” i informował o dostępności nowej aktualizacji bazy wirusów. Użytkownicy mieli do wyboru opcję „Aktualizuj teraz” lub „Przypomnij później”. Program „Antivirus 2008” wyświetlał przekonującą listę wirusów wykrytych po „przeskanowaniu systemu” użytkownika i zawierał ostrzeżenie „UWAGA! Liczba zainfekowanych plików: 34!!! (WARNING! 34 infections found!!!)”.

Jak działa fałszywka

Program stawiał użytkowników przed trudnym wyborem: „Wyeliminuj teraz wszystkie zagrożenia” czy „Kontynuuj pracę bez ochrony”. Następnie oprogramowanie doradzało wybór „wersji próbnej” jako wystarczającej do usunięcia zagrożeń oraz informowało o konieczności dokonania rejestracji w celu uzyskania pełnej wersji. W rzeczywistości oprogramowanie zawierało różne rodzaje koni trojańskich, z których jeden był wyposażony w zaawansowane funkcje graficzne umożliwiające wprowadzanie kolejnych alarmujących symptomów (np. modyfikację tapety tak, aby wyświetlany był obraz „Niebieskiego ekranu śmierci”).

Więcej o bezpieczeństwie w firmie

fałszywe antywirusy kradną

bezpieczenstwo — Thu, 02 Oct 2008 19:23:19 +0000

Od kilku tygodni cyberprzestępcy prowadzą kampanię o światowym zasięgu, której celem jest wyłudzenie pieniędzy od użytkowników Internetu oraz włączenie ich komputerów do bonetu. Przestępcy wykorzystują do tego fałszywe oprogramowanie antyszpiegowskie. Laboratoria G DATA Security Labs monitorują to zjawisko i ostrzegają użytkowników przed instalowaniem takich programów w swoich komputerach.

Laboratoria G DATA Security Labs odnotowały prawdziwą eksplozję spamu, oferującego darmowe programy antyszpiegowskie. Wielu użytkowników korzysta z „okazji”, instalując oprogramowanie w systemie.

Antywirus „z wkładką”
Atak zawsze przebiega według następującego schematu: za każdym razem, gdy internauta odwiedza stronę kontrolowaną przez przestępcę, widzi komunikat z zainstalowanego uprzednio programu o tym, że jego system jest zainfekowany. W rzeczywistości komputer jest zainfekowany od momentu zainstalowania w komputerze fałszywego oprogramowania antyszpiegowskigo.

Następnie oprogramowanie przeprowadza „kompletne skanowanie systemu” , co zwykle kończy się wykryciem licznych „infekcji”. Program znajduje szkodliwe programy, ponieważ… sam wcześniej tworzy na dysku pliki, które oznacza jako wirusy. Dzięki temu fałszywy program ochronny znajduje zagrożenia nawet w czystych systemach.

Po wykryciu zagrożenia program proponuje rejestrację lub zakup pełnej wersji, która umożliwia usunięcie „zagrożeń”. Zakupu można dokonać na profesjonalnie przygotowanej stronie internetowej. W rzeczywistości „kupując” program, użytkownik przekazuje przestępcom szczegóły swojej karty kredytowej.

Dotychczas zidentyfikowano ponad 1000 różnych odmian konia trojańskiego Trojan-Downloader.FraudLoad, który instalowany jest w systemie wraz z fałszywym programem zabezpieczającym. Jego działanie polega na ściąganiu do systemu innych wirusów oraz włączeniu komputera do sieci bonetu, umożliwiającej przestępcom wysyłanie z komputera użytkownika spamu oraz przeprowadzanie ataków na inne systemy.

Przestępcy rejestrują wiele domen internetowych pod profesjonalnie brzmiącymi nazwami, na których sprzedawane są ich „programy antywirusowe”. Używają przy tym różnych – podobnych – pisowni, dzięki czemu w przypadku zamknięcia strony przez władze po prostu zastępują domenę inną, podobnie brzmiącą – w ten sposób gra toczy się w zasadzie bez końca. Proceder ten może wskazywać także na to, iż w proceder mogą być zamieszane firmy dostarczające Internet oraz rejestrujące domeny.

Ralf Benzmüller, menadżer G DATA Security Labs:

“Cyberprzestępcy inwestują dużo czasu i energii w najbardziej obiecujące przedsięwzięcia. Obserwowana obecnie kampania jest nastawiona na osiągnięcie maksymalnego zysku – pomysły, które nie przynoszą efektu są natychmiast porzucane. Gwałtowny jej rozwój wskazuje na to, że idea fałszywych programów ochronnych dobrze sprawdza się w praktyce – ofiarami są najczęściej użytkownicy, którzy z jednej strony mają świadomość zagrożeń, jakie czyhają w Internecie, a z drugiej – chcą zaoszczędzić na profesjonalnych rozwiązaniach. Żerując na tej dość powszechnej motywacji cyberprzestępcy skutecznie atakują niezabezpieczonych użytkowników.”

Cztery porady od ekspertów G DATA

1. Aktualizuj programy ochronne do komputera. Przedawnione wersje próbne programów antywirusowych nie chronią komputera przed tego typu atakami
2. Korzystaj z filtrów http, które są zintegrowane w pakietach ochronnych. Zabezpieczają one przed infekcjami bezpośrednio ze strony internetowej. Nigdy nie wyłączaj tych modułów
3. Aktualizuj system operacyjny i przeglądarkę
4. Zalecamy zablokowanie w przeglądarce uruchamiania skryptów Java, Active-X i innych aktywnych komponentów, często wykorzystywanych do ataków ze strony internetowej.

Fałszywe programy antywirusowe cz 1

bezpieczenstwo — Fri, 12 Sep 2008 19:59:24 +0000

Cyberprzestępcy coraz częściej do kradzieży wykorzystują fałszywe systemy antywirusowe.

Aplikacje te uznawane są przez Laboratorium Panda Security za oprogramowanie adware i do złudzenia przypominają narzędzia antywirusowe. W internecie można je znaleźć jako programy bezpłatne lub mogą być one ukryte w innych plikach pobieranych przez użytkowników – w tym w plikach muzycznych lub wideo.

Fałszywe antywirusy – działanie

Adware podszywający się pod narzędzia antywirusowe najpierw informuje nieświadomego użytkownika, że wykryty został na jego komputerze wirus. Następnie proponuje zakup pełnej wersji narzędzia antywirusowego w celu zneutralizowania zagrożenia. Jeżeli użytkownik tego nie zrobi, na jego komputerze w dalszym ciągu wyświetlane będą informacje o nieistniejących infekcjach, a także okna pop-up zachęcające do kupienia narzędzia, które w rzeczywistości nie wykrywa ani nie usuwa żadnych zagrożeń. Jeśli użytkownik zdecyduje się na zakup, otrzyma bezużyteczną aplikację, a cyberprzestępca osiągnie swój cel: uzyska korzyści finansowe za pomocą złośliwego oprogramowania.

Aby uniemożliwić użytkownikom sprawdzenie, czy rzeczywiście zostali zainfekowani, programy tego typu zwykle próbują zablokować dostęp do prawdziwych narzędzi antywirusowych online oraz witryn należących do firm zajmujących się tworzeniem zabezpieczeń. „Kiedyś fałszywe programy antywirusowe były całkiem proste. Z czasem jednak nastąpił ich rozwój, który miał sprawić, że nie będą one wykrywane przez systemy zabezpieczające. Wiele z nich zyskało charakter polimorficzny, dzięki czemu zmieniają one swoją postać podczas instalacji na kolejnych komputerach. Tego typu aplikacje przyniosły dotychczas cyberprzestępcom znaczne korzyści finansowe, ponieważ wielu użytkowników padło już ofiarą oszustwa” – wyjaśnia Maciej Sobianek, specjalista ds. bezpieczeństwa Panda Security w Polsce.

Jak się bronić przed fałszywym antywirusem? cz 2

bezpieczenstwo — Fri, 12 Sep 2008 19:57:54 +0000

* Zachowaj ostrożność podczas instalacji nowych programów : W wielu przypadkach fałszywe programy antywirusowe są powiązane z innymi pobieranymi aplikacjami (np. użytkownik może pobrać pakiet oprogramowania, w skład którego oprócz prawidłowych aplikacji wchodzi fałszywy system antywirusowy). Zwykle istnieje możliwość rezygnacji z instalacji.
* Ignoruj wiadomości email z sensacyjnymi tematami lub intrygującą zawartością : Wiele spośród fałszywych programów antywirusowych rozpowszechniono w ostatnich tygodniach przy użyciu technik inżynierii społecznej, czyli przesyłając wiadomości email z ciekawymi tematami. Wiadomości zachęcały użytkowników do kliknięcia odsyłacza w celu obejrzenia filmu lub zdjęcia. Kliknięcie powodowało tymczasem instalację na komputerze złośliwego oprogramowania (np. fałszywego programu antywirusowego).
* Zwracaj uwagę na wszelkie niepokojące sygnały związane z działaniem komputera: Jeżeli program, który nie został zainstalowany, zaczyna prezentować fałszywe informacje o infekcjach lub wyświetla okna pop-up zachęcające do porównania różnych rozwiązań antywirusowych, należy zachować szczególną ostrożność. Najprawdopodobniej na komputerze znajduje się jeden ze złośliwych programów.
* Aktualizuj regularnie wszystkie programy : Niezaktualizowany program może być podatny na ataki. Tym bardziej, że wiele złośliwych kodów wykorzystuje istniejące luki w zabezpieczeniach do przeprowadzania infekcji.
* Skanuj swój komputer przy użyciu sprawdzonego produktu zabezpieczającego : Zaleca się cykliczne przeprowadzanie skanowania komputera przy pomocy systemu zabezpieczającego, którego skuteczność została sprawdzona. W ten sposób można wykryć i wyeliminować zainstalowane złośliwe programy. Panda Security udostępnia na witrynie Infected or Not ( http://www.infectedornot.com ) bezpłatne narzędzie skanujące online Panda ActiveScan przeznaczone dla użytkowników domowych oraz firm.

Biznes botnetowy

bezpieczenstwo — Sat, 26 Jul 2008 20:16:09 +0000

Kaspersky Lab, producent rozwiązań do ochrony danych, opublikował artykuł zatytułowany “Biznes botnetowy” autorstwa starszego analityka wirusów Witalija Kamluka. Artykuł opisuje, w jaki sposób tworzone są i obsługiwane botnety (znane również jako sieci zombie), które stanowią obecnie jedno z najpoważniejszych zagrożeń bezpieczeństwa IT. Jest to pierwszy z serii artykułów dotyczących botnetów.

Botnety istnieją już od około 10 lat.

Mniej więcej od tego samego czasu eksperci ostrzegają o zagrożeniu z ich strony. Mimo to skala problemu, jaki stanowią botnety, nadal jest lekceważona.
Botnet to sieć komputerów zainfekowanych szkodliwym programem, która umożliwia cyberprzestępcom zdalną kontrolę nad zainfekowanymi komputerami. Botami nazywamy szkodliwe programy stworzone po to, aby mogły zostać użyte do budowania botnetów. Właściciel botnetu może kontrolować komputery tworzące sieć z dowolnego miejsca na świecie – z innego miasta, państwa, a nawet kontynentu. Internet jest skonstruowany w taki sposób, że możliwa jest anonimowa kontrola botnetu. Właściciel zainfekowanej maszyny zwykle nawet nie podejrzewa, że komputer jest wykorzystywany przez cyberprzestępców. Większość maszyn zombie to komputery PC użytkowników domowych.
Botnety mogą być wykorzystywane przez cyberprzestępców do przeprowadzania szeregu różnych działań przestępczych, od wysyłania spamu do atakowania sieci rządowych.

Obecnie aby zdobyć botnet, cyberprzestępcy nie potrzebują ani specjalistycznej wiedzy, ani dużych pieniędzy.

Każdy, kto chce wykorzystywać botnet, może po niskich cenach zaopatrzyć się na czarnym rynku botnetów we wszystko, czego potrzebuje, łącznie z oprogramowaniem, gotowymi sieciami zombie i anonimowymi usługami hostingowymi.
Obecnie botnety stanowią jedno z głównych źródeł nielegalnych dochodów uzyskiwanych za pośrednictwem Internetu i potężną broń w rękach cyberprzestępców. Zupełnie nierealistyczne jest oczekiwanie, że cyberprzestępcy zrezygnują z tak skutecznego narzędzia. Eksperci z zakresu bezpieczeństwa z niepokojem patrzą w przyszłość, przewidując dalszy rozwój technologii botnetowych.
Nie tylko cyberprzestępcy mogą być zainteresowani tworzeniem międzynarodowych botnetów. Botnety mogą wykorzystywać również rządy i osoby prywatne w celu wywierania presji politycznej na swych przeciwników.
Sieci łączące zasoby dziesiątek lub setek tysięcy, czy nawet milionów zainfekowanych komputerów mogą okazać się bardzo niebezpieczne. Na szczęście potencjał ten nie został jeszcze w pełni wykorzystany. Praktycznie cała ta moc cybernetyczna pochodzi z zainfekowanych komputerów domowych, które stanowią przeważającą większość maszyn zombie wykorzystywanych przez cyberprzestępców.

Aladdin o rynku zabezpieczeń

bezpieczenstwo — Wed, 20 Feb 2008 09:58:41 +0000

Wzrostom przestępczości zorganizowanej w sieci, towarzyszy coraz większa liczba groźnych ataków informatycznych wymierzonych w organizacje i przedsiębiorstwa. Z roku na rok rosną straty przedsiębiorstw spowodowane przez atakami cyber-przestępców i jednocześnie równolegle bardzo dynamicznie rozwija się rynek zabezpieczeń informatycznych.

Izraelskie firmy przodują w świecie w produkcji rozwiązań chroniących zasoby informatyczne, jak również urządzeń szyfrujących dane i uwierzytelniających użytkowników. Firma Aladdin Knowledge Systems zajmuje pierwsze miejsca w światowej produkcji rozwiązań chroniących prawa autorskie do zasobów cyfrowych i urządzeń do autoryzacji użytkowników oraz potwierdzania ich tożsamości. Specjalizuje się także w ochronie sieci przed wysublimowanymi atakami pochodzącymi z Internetu. Na przykład we wrześniu 2007 r. specjaliści Aladdina wykryli w serwisie e-Bay liczne przypadki groźnego phishingu.

Firma Aladdin działając na globalnym rynku, osiągnęła w 2007 r. przychody na poziomie blisko 106 mln dolarów, czyli aż o 19 proc. więcej niż w roku 2006 (89 mln dolarów). Obroty Aladdina na rynku polskim wzrosły w roku 2007 roku o ponad 100 proc.

Zdaniem przedstawicieli firmy Aladdin, w całej sieci będzie ciągle rosło ryzyko związane z atakami, będą one coraz groźniejsze, wymierzone w konkretne cele, a metody działania przestępców staną się coraz bardziej przebiegłe. Rosnąca popularność i dostępność Internetu sprawiają, że same przedsiębiorstwa i organizacje coraz więcej spraw załatwiają korzystając z sieci. Firmy chętnie przenoszą część strategicznych procesów biznesowych do środowiska Internetu, co z kolei sprawia, że w sieci krążą rosnące ilości informacji poufnych. I to właśnie informacje poufne przestępcy starają się zamienić na „żywą gotówkę”. Obecnie najgroźniejsze ataki sieciowe nie polegają już na rozsyłaniu złośliwego oprogramowania, takiego jak wirusy, konie trojańskie czy robaki. Zdaniem firmy Aladdin, o wiele większym zagrożeniem jest obecnie tzw. phishing, czyli kradzież tożsamości użytkowników Internetu. Atak ten polega na przejęciu od uprawnionego użytkownika serwisu internetowego jego loginu i hasła (np. uprawnienie do konta bankowego, funkcji osobistych w portalu aukcyjnym, społecznościowym lub wewnętrznym serwisie biznesowym) i to najczęściej bez wiedzy samej ofiary. Przestępca podszywa się pod użytkownika mając swobodę do dokonywania operacji w jego imieniu, np. transakcji lub kopiowania poufnych danych. Inne zagrożenia płynące z sieci to oprogramowanie szpiegujące komputery.

Aladdin widzi duży potencjał wzrostu sektora IT Security w Polsce. Firma jest przekonana, że w naszym kraju będą rosły inwestycje zarówno w budowę i utrzymanie systemów aktywnej ochrony użytkowników Internetu, jak również zwiększy się popyt na zabezpieczanie i autoryzację dostępu do zasobów informatycznych. Aladdin pewne nadzieje wiąże też z adaptacją przez polską administrację państwową infrastruktury klucza publicznego (PKI) i szerszego zastosowania podpisu elektronicznego w administracji i biznesie. Firma widzi tu wielką rolę dla całej rodziny swoich produktów eToken. Są to m.in. tokeny sprzętowe, w tym urządzenia uwierzytelniające na port USB, w produkcji których Aladdin zajmuje pierwsze miejsce na świecie. Firma liczy na utrzymanie dynamiki wzrostu w 2008 r. w Polsce.