Firma Panda Security opublikowała listę najciekawszych wirusów, które pojawiły się w drugiej połowie 2008 roku.
1. P2PShared.U – robak w hamburgerze
Robak rozprzestrzeniał się poprzez pocztę email. W temacie wiadomości zapisane było"McDonalds wishes you Merry Christmas!/McDonalds życzy Wesołych Świąt". W wiadomości oferowano kupon na darmowy posiłek w sieci McDonalds, jednak w rzeczywistości pobrany kupon zawierał zwykłego robaka.
2. Agent.JEN– fałszywy posłaniec
Podobnie tutaj, otrzymywaliśmy mail z informacją pochodzącą od firmy UPC. Jednak ten posłaniec, w załączniku zawierał trojana, który natychmiastowo rozpoczynał kopiowanie innych szkodników.
3. Banbra.FXT - nakaz sądowy
Tutaj z kolei można było otrzymać wiadomość typu "Czy kierowca Formuły 1 Fernando Alonso miał wypadek?" Odsyłacz miał prowadzić do materiału wideo, jednak jak to zazwyczaj bywa, prowadził on do trojana, który zajmował się kradzieżą danych bankowych.
4. Sinowal.VTJ - wirus, który skarży się na wirusy
Tutaj z kolei, użytkownik otrzymywał wiadomość, że to on przesłał komuś wirusy, a cała sprawa może zostać doniesiona na policję. W załączniku miał się natomiast znajdować dowód na poparcie tych słów. Jednak znajdował się w nim nie dowód, trojan Sinowal VTJ.
5. BatGen.D - hiszpański szef kuchni
Kod specjalizujący się w tworzeniu najróżniejszego złośliwego oprogramowania był rozpowszechniany za pośrednictwem pliku o nazwie "personalcake.bat". Użytkownik miał za zadanie nadać własną nazwę ciastku. Otrzymywał on wiadomość "selecciona el nombre del pastel", czyli "Wybierz nazwę ciastka".
6. Aidreden.A - makabryczny wróżbita
Szkodnik po zainfekowaniu komputera wyświetlał komunikat "Umrzesz w przyszłym miesiącu". Wyświetlane okno zawierało także przycisk z przyciskiem OK i jak donosi Panda Security, wielu wybrało właśnie tą opcję.
7. Banker.LLN - prezydent elekt
Robak był rozprzestrzeniany w pliku o nazwie barackobama.exe z ikonką flagi USA. Zawierał on trojana wyłudzającego dane bankowe.
8. Banbra.GDB - brazylijska policja
Tutaj nadawcą wiadomości miała być brazylijska policja. W treści można było się dowiedzieć, że dany komputer służy do nielegalnej działalności. Znajdowało się tu zaproszenie do pobrania raportu zawierającego odpowiednie dowody. Uruchomienie załącznika powodowało infekcję komputera trojanem kradnącym dane bankowe.
9. Spammer.AKE - niebezpieczny przyjaciel
Przenoszony drogą poczty elektronicznej robak. Wiadomość zawierała stwierdzenia o miłości i przyjaźni. Zainfekowany komputer był dalej wykorzystywany do rozsyłania spamu.

Źródło: www.pspolska.pl [Kliknij, aby przeczytać całość]

Organizacja Gnome w ramach akcji "Zostań przyjaciele Gnome" przygotowała nową akcję o nazwie "Adopt a hacker". W ramach niej można wspomóc twórców tego środowiska wpłacając systemem PayPal 10 dolarów miesięcznie. Pieniądze te będą przeznaczane dla programistów Gnome między innymi na wyjazdy na konferencje hakerskie. W ramach podziękowań, darczyńca otrzyma kartkę pocztową od jednego z twórców środowiska Gnome, którego sam sobie wybierze.

Źródło: www.heise-online.pl [Kliknij, aby przeczytać całość]

Firma Microsoft wydała nowe aktualizacje dla swoich dodatków do systemu:

Service Pack 2 do programu Microsoft .NET Framework 2.0 - Zbiorcza aktualizacja dla programu .NET Framework 2.0.

ZoomIt v3.0 - aktualizacja ta wprowadza nową konfigurację interfejsu, dodaje możliwość kopiowania do schowka powiększonego ekranu, dodaje LiveZoom w systemie Windows Vista i wyższych, umożliwia zmianę kroju czcionki.

Autoruns v9.38 - usuwa błąd wyświetlania w systemie profilu konta w 32 bitowym systemie Windows.

Poprawiono także błędy w programie Process Explorer v11.32.

Źródło: blogs.technet.com
www.microsoft.com [Kliknij, aby przeczytać całość]

Firma Seagate potwierdziła występujące podczas użytkowania dysków twardych z rodziny 7200.11, problemy ze wstrzymaniem dostępu do danych. Dyski te oferowane są w pojemnościach od 1.5TB do 160GB i pojemnościach pamięci cache 16 i 32MB. Problemem mogą być także dotknięte niektóre inne modele takie, jak DiamondMax 22, czy Barracuda SATA SV35.
Obecnie producent zapewnia bezpłatne uaktualnienie firmware'u dla tych dysków. Szybsza pomoc jest zapewniania przez telefon lub poprzez wysłanie maila do producenta z numerem dyski, numerem seryjnym oraz wersją obecnego firmware'u.

Sprawdzenia, czy wymagana jest aktualizacja, możesz dokonać na tej stronie firmy Seagate.

Źródło: www.neowin.net [Kliknij, aby przeczytać całość]

Wydano zaktualizowaną wersję programu antywirusowego Avira, w którym wykryto dwie luki. Pierwsza z nich umożliwiała podczas przetwarzania odpowiednio spreparowanych plików RAR powodować zawieszenie pracy modułu Unpacker. Przyczyną był zwykły błąd dzielenia przez zero. Druga luka wykorzystywała błąd w procesie planisty sched.exe, który umożliwiał uzyskanie uprawnień systemowych na atakowanym komputerze.
Pierwsza luka została wyeliminowana poprzez dostępną aktualizację. Niestety co do drugiej luki, sytuacja nie jest do końca jasna, ze względu na docierające sprzeczne informacje.

Źródło: www.heise-online.pl [Kliknij, aby przeczytać całość]

W sieci pojawił się nowy szkodnik o nazwie Win32.HLLW.Shadow.based. Wykorzystuje on luki systemowe pochodzące jeszcze z czasów Windows 2000, a które istnieją nawet w najnowszej Beta wersji systemu Windows 7. Na jego przykładzie można zobaczyć jak działa taki szkodnik.
Win32.HLLW.Shadow.based wykorzystuje kilka dróg rozprzestrzeniania, przez co jest szczególnie trudny do analizy.
Na początek przenosi się w ostatnio modny sposób, a zatem za pomocą mechanizmu autostartu, czyli w plikach autorun.inf. Przy zarażeniu tą metodą, w folderze Recycler tworzy plik o losowej nazwie w postaci \ Sxx-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Można tutaj zauważyć, że podobną strukturę plików stosuje system dla plików w koszu.
Kolejną drogą zakażenia jest sieć. Tutaj robak rozprzestrzenia się dzięki mechanizmowi protokołu SMB. W tym momencie kopiuje się on do folderu systemowego i uruchamia się po zadanym okresie czasu.
Stosuje on jeszcze mechanizm, który został naprawiony przez ostatni biuletyn zabezpieczeń. Tutaj ładuje złośliwe pliki poprzez HTTP.

Jeżeli robak znajdzie się już w systemie, sprawdza w jakim procesie on się znajduje. Jeżeli jest to proces rundll32.exe, to wstrzykuje on swój kod do plików svchost.exe oraz exlorer.exe. Następnie otwiera bieżący folder w Eksploratorze Windows i kończy pracę.
Jeżeli natomiast stwierdzi, że nie znajduje się w procesie rundll32.exe, tworzy on swoją kopię w pliku o losowej nazwie i dodaje go do usług systemowych. Dodaje go także do autostartu systemu. Ponadto zatrzymuje on usługę aktualizacji systemu oraz wdraża serwer HTTP, dzięki czemu rozprzestrzenia się w sieci.
W momencie, gdy wirus stwierdzi, że znajduje się w procesie svchost.exe, zaczyna działać jako klient DNS i wstrzykuje swój kod w funkcje DNS komputera. Blokuje on tym samym dostęp do witryn firm antywirusowych.
Na koniec wprowadza funkcjonalne zmiany w pliku Tcpip.sys, aby zwiększyć ograniczenia w liczbie jednoczesnych połączeń sieciowych.

Ochrona przed lub walka z tym szkodnikiem polega głównie na uaktualnieniu systemu, stosowaniu złożonych haseł, aby robak nie mógł użyć gotowego słownika, a w przypadku zarażenia, odłączeniu go od sieci i przeskanowaniu systemu programem antywirusowy, np Dr.Web.

Źródło: www.anti-malware.ru [Kliknij, aby przeczytać całość]

Pojawiła się nowa forma phishingu wykorzystująca wrażliwość funkcji JavaScript. Atak ten, wykryty przez specjalistów Trusteer, jest szczególnie niebezpieczny, ze względu na fakt używania JavyScript na stronach internetowych wielu banków, przedsiębiorstw finansowych i wielu innych aplikacji sieciowych. Okazuje się, że mając otwarte dwie karty w przeglądarce, można rozpoznać z jednej karty, na jakiej innej stronie, w drugiej karcie użytkownik jest aktualnie zalogowany.
Scenariusz ataku jest tutaj następujący. Jeżeli użytkownik zalogował się na bezpiecznej stronie, ale w drugiej karcie ma otwartą zakażoną stronę, może pojawić się spreparowane okno pop-up podobne do okna logowania na bezpiecznej stronie. Ponowne wprowadzenie danych logowania ujawnia je atakującemu. Taki sposób ataku, jest niezwykle ciężki do wykrycia nawet dla zaawansowanych użytkowników, co czyni atak szczególnie niebezpiecznym.
Należy zwrócić uwagę, że atakujący musi zarazić wiele popularnych witryn tak, aby prawdopodobieństwo pozostawienia otwartej karty, było duże. Atakujący musi mieć także możliwość określenia czy użytkownik jest zalogowany na wybranej witrynie.
Aby się zabezpieczyć, wystarczy nie reagować na nowe okna logowania i nie korzystać z kart podczas sesji na stronach zaufanych. Wprawdzie atak jest mało realny, ale ponownie pokazuje to, że należy być szczególnie wrażliwym na nietypowe zachowania potencjalnie bezpiecznych stron.

Źródło: www.anti-malware.ru [Kliknij, aby przeczytać całość]