Kaspersky Lab: szkodliwe programy IX 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy VIII 2011

W momencie wyłączenia botnetu Hlux liczba jego komputerów przekraczała 40 000, co umożliwiało wysyłanie dziesiątek milionów wiadomości spamowych każdego dnia, wykonywanie ataków DDoS oraz pobieranie szkodliwych programów na maszyny ofiar. Eksperci z Kaspersky Lab śledzili botnet od początku 2011 r. Kontynuując analizę wszystkich jego komponentów, złamaliśmy protokół komunikacyjny Hluxa i stworzyliśmy odpowiednie narzędzia do przejęcia kontroli nad jego siecią. Firma Microsoft wystąpiła na drogę sądową z powództwem cywilnym przeciwko kilku osobom, które mogą mieć związek z utworzeniem botnetu.

Kaspersky Lab aktualnie kontroluje botnet i cały czas jest w kontakcie z dostawcami usługi mającej na celu pomóc w czyszczeniu zainfekowanych systemów osobom, którzy tego potrzebują. Informacje o Hluxie zostały dodane do narzędzia Malicious Software Removal Tool firmy Microsoft, co pomoże w znacznym stopniu zredukować liczbę zainfekowanych maszyn. Więcej informacji o botnecie Hlux i jego zamknięciu można znaleźć na blogu naszego eksperta Tillmana Wernera.

Wojna z botnetami nie słabnie i aktualnie mamy na oku kilka niebezpiecznych sieci zombie. Spodziewajcie się więc kolejnych informacji dotyczących zamykania następnych sieci.

DigiNotar zhakowany

Do listy zagrożeń, których celem są indywidualni użytkownicy, dodaliśmy atak na holenderski urząd certyfikacji DigiNotar. Pomimo tego, że zaatakowane zostały komputery firmy, to jednym z głównych celów hakerów było utworzenie fałszywych certyfikatów SSL dla kilku popularnych zasobów, w tym sieci społecznościowych i usług pocztowych, z których korzystają użytkownicy indywidualni.

Atak miał miejsce pod koniec lipca i pozostał niezauważony przez sierpień, umożliwiając cyberprzestępcom manipulowanie systemem DigiNotar w celu utworzenia kilku tuzinów certyfikatów dla zasobów sieciowych, takich jak Gmail, Facebook i Twitter. Ich użycie zostało później zarejestrowane w Internecie jako część ataku na użytkowników z Iranu. Fałszywe certyfikaty umożliwiają przeprowadzenie ataków „man-in-the-middle” (czyli z użyciem pośrednika) i dzięki temu, że są instalowane z poziomu dostawcy, pozwalają na przechwytywanie wszystkich informacji przesyłanych między użytkownikami a serwerem.

Anonimowy cyberprzestępca z Iranu w końcu przyznał się do ataku i dostarczył dowód swojego zaangażowania w tę sprawę. Był to ten sam człowiek, który utworzył kilka podrobionych certyfikatów po podobnym ataku na Comodo inny urząd certyfikujący.

Historia DigiNotar ponownie każe zadać sobie pytanie, na ile bezpieczny jest istniejący system setek urzędów certyfikujących, a także dyskredytuje samą ideę certyfikatów cyfrowych. Istnieje małe prawdopodobieństwo, że błędy w bezpieczeństwie, jakie zostały ujawnione przez te ataki, są na tyle poważne, aby traktować je priorytetowo i tworzyć dodatkowe narzędzia autoryzacyjne angażujące firmy zajmujące się bezpieczeństwem IT, dostawców przeglądarek oraz urzędy certyfikujące, których liczba najprawdopodobniej powinna zostać zredukowana.

Promowanie fałszywego programu antywirusowego poprzez Skype’a

W marcu Skype był wykorzystywany do nakłaniania niczego niepodejrzewających użytkowników do pobierania fałszywych programów antywirusowych. Jeżeli użytkownicy nie zaznaczyli w ustawieniach Skype’a opcji ograniczającej przychodzenie połączeń od ludzi nieznajdujących się na liście kontaktów, wówczas mogli oni otrzymywać telefony ze specjalnie utworzonych kont o nazwach, takich jak ONLINE REPORT NOTICE lub System Service. Jeżeli połączenie zostało odebrane, głos z automatu informował użytkowników, że ich system operacyjny jest zagrożony i że muszą wejść na konkretną stronę. Strona wykonywała fałszywe skanowanie systemu i oczywiście “wykrywała” luki w ochronie lub szkodliwe oprogramowanie. Aby usunąć te zagrożenia, użytkownicy musieli kupić “oprogramowanie antywirusowe”, które tylko imitowało leczenie.

Taktyka ta nie była wcześniej wykorzystywana, jednak jak widać spodobała się cyberprzestępcom, ponieważ we wrześniu otrzymaliśmy kolejne zgłoszenia od użytkowników skarżących się na połączenia przychodzące z konta URGENT NOTICE. Po odebraniu połączenia użytkownicy byli informowani, że system bezpieczeństwa na ich komputerach jest nieaktywny, w związku z czym należy wejść na stronę, na której za 19,95 dolarów można aktywować „ochronę” na komputerze. Adres strony sugeruje, że za atakiem stali ci sami ludzie, którzy podobnie wykorzystali Skype’a już wiosną.

Aby zablokować spam w Skypie, należy skonfigurować ustawienia tak, aby połączenia, filmy i wiadomości mogły być odbierane wyłącznie od użytkowników znajdujących się na liście kontaktów.