It-säkerhet

It-säkerhet

iWorm infected tusentals Mac

Aktuella virus varningSkapad av J. Halex tis, oktober 07, 2014 05:53:12
iWorm infected tusentals Mac

Antivirus experter har upptäckt en som består av mer än 18.000 Mac botnet. Den underliggande hotet döptes Mac.BackDoor.iWorm och distribueras via BitTorrent. Apple har redan svarat.

AV-leverantörer Dr Web har upptäckt en malware som kallas Mac.BackDoor.iWorm som har den i för Mac-användare. Är skadegöraren på Mac aktiva, ställer den sig till listan med automatisk öppning när datorn startar program och försökte IP-adressen för ett kommando-och-kontrollserver (C & C-server) ut.

Adress sökning till Reddit

Gör detta genom att skicka de första åtta byte av hash värdet av det aktuella datumet i sökfunktionen på reddit.com. Resultatet visade på post / r / minecraft server listor, i sina synpunkter, de kriminella bakom botnätet lagras de aktuella IP-adresser tills nyligen. Reddit har rätt underforum (subreddit) har inaktiverats.

Kommunikationen mellan C & C-server och bot krypteras med AES 256. Boten accepterar kommandon, bland annat i programmeringsspråket Lua, så att han kan få i uppdrag av ett skript, till exempel för att läsa in andra filer som laddas ner. Således kunde funktionaliteten av skadedjur förlängas.

18.000 infekterade Mac

Enligt Dr Web 18.000 Macs infekterades med iWorm en vecka sedan redan, varav de flesta finns i USA, Kanada och Storbritannien. Skadliga program är tydligen vanligt åtminstone via BitTorrent, piggyback med piratkopior av populära kommersiella program som Adobe Photoshop, Adobe Illustrator, Microsoft Office och Parallels.

Apple har tydligen reagerar i helgen och introduceras med Snow Leopard fil filter funktionen signaturer för tre iWorm varianter. Om systemet är uppdaterat, så installationen av dessa tre är blockerad. Hur många versioner är i omlopp i sin helhet, är inte känt.



  • Kommentarer(0)//itsakerhetsinformation.it-losningar-och-it-sakerhet.se/#post111

Facebook -virus håva in dolda krypto mynt

Aktuella virus varningSkapad av J. Halex tor, maj 15, 2014 19:29:15

Den första dök upp i Norge skadlig kod sprids via Facebook -meddelanden och smittar sina offer när de öppnar en bifogad fil. Om skadlig kod på systemet, är det mycket långsammare och går varm.

Den norska Centrum för informationssäkerhet (NorSIS ) varnar för ett virus som sprider sig via Facebook chatten , och datorn för användaren missbrukas för att gruv Bitcoins och andra krypto valutor . Det skadliga programmet observerades först i Norge, men enligt forskare säkerhets från NorSIS förväntas att den skadliga koden sprids snabbt över gränserna eller redan har spridit sig. Forskarna råder användare att inte öppna misstänkta bilagor.

Spridning till Facebook-kontakter offer

Enligt NorSIS berörda användare får ett chattmeddelande som säger sig vilja offret att skicka en bild. I verkligheten finns det ett dataarkiv, som tar över datorn efter uppackning och missbrukas för att gräva av krypto valutor. Viruset sprider sig sedan genom Facebook till kontakterna på offret. Drabbade datorer kör varmt och betydligt långsammare på grund av att processorn (eller i många fall, grafikkortet) för att köras i bakgrunden.

Viruset använder Java för att infektera systemet och upptäcktes först av den norska telejätten Telenor . Programvaran laddar själva prospektering skadlig kod från nätet i infektionen. Denna komponent är inte ny, och är vanligen från filer som används också i andra krypto Mynttrojaner.

Enligt en analys av denna skadliga kod från ett vaktbolag, skapar viruset en DLL som heter YQJHBJX.PWY på datorn och kan upptäckas . Dock kan namnet på filen ändras med nyare versioner av virus eller ens ges ut slumpmässigt.



  • Kommentarer(0)//itsakerhetsinformation.it-losningar-och-it-sakerhet.se/#post72

Ny variant av Zeus Trojan attackerar Salesforce.com konton

Aktuella virus varningSkapad av J. Halex lör, februari 22, 2014 08:22:27

Säkerhetsföretaget Adallom Labs har varnat för en ny variant av Zeus bank Trojan. Den fokuserar på applikationer software-as - a-Service (SaaS ) . Enligt ett blogginlägg hon upptäckte för några veckor sedan. Hon kunde stjäla inloggningsuppgifter för Salesforce.com -konton.

Den nya varianten använder en högljudd Adallom Labs som ett ”landmina” utsedda skadliga program som aktiveras av viss dator aktiviteter. Vid en kontroll hade märkt att en anställd i ett företag har kallat flera hundra filer på nolltid. På hans dator med Windows XP och ett unpatched version av Internet Explorer installerades. En undersökning av den dator som den anställde också har använt hemma, har avslöjat en variant av Zeus Trojan, säkerhetsföretaget vidare . Det skadliga programmet var gång de anställda har i samband med " my.salesforce.com " , extraherade data från den pågående Salesforce -session . Hon kunde också i realtid för att söka i hela Salesforce.com konto och stjäla alla data från företagets konto.

”Det här är första gången som denna kraftfulla, om än föråldrade vapen användes mot SaaS redovisning för ett bolag som brister upptäcktes i den nuvarande säkerhetskontrollen om attacker sker utanför företaget, " skriver forskarna säkerhets i blogginlägget. "Även om detta angrepp riktat mot Force användare är det viktigt att notera att varje SaaS - baserad applikation kan angripas på detta enkla sätt, är alla säkerhetskontroller kringgås. "

Adallom Labs betonar att detta inte är en sårbarhet i Salesforce.com. Än så länge är inte heller känt hur skadlig kod hade kommit till datorn för den anställde. Men genom attacken mot den anställda hackern skulle undvika alla kontroller på företagets nätverk. De har utnyttjat det faktum att det var vanligt i SaaS världen, åtkomst från var som helst, med alla enheter till företagets applikationer.

" Jag kan bara komma till slutsatsen att företagen att med SaaS också kommer BYOD , antingen ignorera eller inte uppfattar , " citerar Mörk Läsa Ami Luttwak , grundare och CTO på Adallom Labs . SaaS-applikationer för att vara säker. Men detta gäller inte för de privata enheterna för de anställda. Dessutom gjorde många säkerhetsteaminte känner ansvar för SaaS-applikationer i företag. ”Modell Det gemensamma ansvaret för SaaS/moln innebär att leverantören säkra infrastrukturen tar över, samtidigt som bolaget ansvarar för säkerheten för ditt konto aktivitet . "



  • Kommentarer(0)//itsakerhetsinformation.it-losningar-och-it-sakerhet.se/#post40

Paul Walker’s Death Used to Spread Personalized Trojan Horses

Aktuella virus varningSkapad av J. Halex lör, februari 08, 2014 11:30:51

Paul Walker’s Death Used to Spread Personalized Trojan Horses

Paul Walker’s Death Used to Spread Personalized Trojan Horses

It was only a few months ago that Paul Walker that left us in a fiery car accident. These days it is common for spammers and malware writers to use a celebrity’s death to spread malware. In this case, it started with emails with links to a video of Paul Walker’s car on fire, but instead contained a link to a malicious file.

In the latest slew of emails, the sender makes a plea to the victim to find a Dodge Viper GT that was supposedly racing with Paul Walker’s car. The email asks that anyone with information call a number in the email or open the attached file to view a picture of the Viper GT’s driver. In every sample we have dealt with there is always a promise of reimbursement or compensation for helping capture the Viper GT’s driver.

These attacks are unique because of the regular change of subject lines and body text to bypass spam filters. The attacker tries to personalize the email with the recipient’s name in the body, subject, or attached file name.

Each executable file is made specifically for the email address it is sent to and is compiled just before the email is sent. The sender’s email address is always an aol.com email account that has most likely been hacked or otherwise compromised. Whenever a user is compromised, their address book is harvested to continue the chain of personalized emails.

Figure 2. Email about Paul Walker’s death with malicious attachment from January 31, 2014

Once the malicious file has been executed an error notification is sent indicating that a 32-bit or 64-bit computer is needed to run the file. It may also indicate that the user does not have sufficient permissions to run the file even though the malware continues to run in the background. The Trojan will start to perform DNS queries through a list of domains with similar names until the malware gets a DNS query return and then it will connect to that URL to download a file into the following directory:

"%UserProfile%\Application Data\amhldfbyjmg\kskzjmtypb.exe”

Once the file (kskzjmtypb.exe) is downloaded, it runs and connects to p9p-i.geo.vip.bf1.yahoo.com to download qr1aon1tn.exe. When this runs, it drops the following file:

"%UserProfile%\Application Data\amhldfbyjmg\fdxeuzv.exe”

Symantec detects this malware as Trojan Horse.

Symantec advises users to be on their guard and to adhere to the following security best practices:

  • Exercise caution when receiving unsolicited, unexpected, or suspicious emails
  • Avoid clicking on links in unsolicited, unexpected, or suspicious emails
  • Avoid opening attachments in unsolicited, unexpected, or suspicious emails
  • Keep security software up-to-date
  • Update antispam signatures regularly

Symantec constantly monitors spam attacks to ensure that users are kept up-to-date with information on the latest threats.

Källa:http://www.symantec.com/connect/blogs/paul-walker-s-death-used-spread-personalized-trojan-horses



  • Kommentarer(0)//itsakerhetsinformation.it-losningar-och-it-sakerhet.se/#post24