Novi APT malver čeka klikove mišem da bi izbegao detekciju antivirusa
Opisi virusa, 03.04.2013.
Istraživači firme FireEye otkrili su novi APT (advanced persistent threat) malver koji koristi nekoliko tehnika kako bi izbegao otkrivanje, a između ostalog vrši monitoring nad klikovima mišem, kako bi pratio interakciju korisnika sa zaraženim računarom. Reč je o malveru Trojan.APT.BaneChant, koji se distribuira putem emailova u Word dokumentu koji je opremljen exploit-om. Naziv dokumenta je „Islamski džihad.doc“ (prevod). U FireEye veruju da se exploit-om „naoružani“ dokument koristi u napadima na vlasti Bliskog istoka i Centralne Azije. Dalje
Šta se dešava sa bankarskim Trojancem Shylock
Opisi virusa, 08.04.2013.
Bankarski Trojanac Shylock je jedan od najsofisticiranijih malvera koji se trenutno koriste u finansijskim prevarama. Malver se pojavio u julu 2011. godine i do maja prošle godine njegove mete, banke i druge finansijske institucije uglavnom su bile ograničene na one u Velikoj Britaniji. Od tada, Skylock je doživeo ekspanziju, delujući globalno i nanoseći štetu i bankama u SAD i Italiji. Za taj pohod Trojanca izvan granica Velike Britanije zaslužni su autori malvera koji dodaju nove module i funkcionalnosti ovom „man-in-the-browser“ malveru. Dalje
Trojanac makiran u lažno ažuriranje za Flash
Opisi virusa, 01.04.2013.
Microsoft je upozorio korisnike na novog Trojanca koji je maskiran u ažuriranje za Adobe Flash i koji menja home page browser-a i presumerava korisnika na stranicu koja je pod kontrolom napadača. U lažnom ažuriranju za Flash, postoji nekoliko indicija da nešto nije u redu, kao na primer to što je deo GUI na turskom i nema klizne trake (scroll bar) u EULA. Fajl koga Microsoft detektuje kao Trojan:Win32/Preflayer.A širi se emailovima. Dalje
Ransomware Kovter: malver koji koristi istoriju browsera da bi bio uverljiviji
Opisi virusa, 02.04.2013.
Autori ransomware počeli su da koriste istoriju browser-a zaraženih računara kako bi svoje prevare učinili uverljivijim. Ransomware su maliciozni programi dizajnirani sa idejom da iznude novac od korisnika tako što onemogućavaju funkcionisanje sistema ili šifriraju fajlove. Pojedini iz ove grupe malvera prikazuju poruke koje su navodno obaveštenja od policije ili agencija za sprovođenje zakona. Jezik u ovakvim obaveštenjima se razlikuje u zavisnosti od lokacije na kojoj se nalazi žrtva... Dalje
Kradljivac lozinki Ramnit se vratio, nova verzija malvera se bolje sakriva od antivirusa
Opisi virusa, 18.03.2013.
Malver Ramnit se vratio na scenu, ojačan novim mehanizmima koji ometaju detekciju od strane antivirusa, poboljšanom enkripcijom i malicioznim payload-ovima. U Microsoft-ovom centru za zaštitu od malvera kažu da autori Ramnit-a skoro svakodnevno ažuriraju ovaj malver. Ramnit koji je prvi put otkriven 2010. godine veoma je vešt u krađi korisničkih akreditiva, pre svega onih za online bankovne naloge, FTP akreditiva i lozinki za Facebook naloge. Dalje
Novi OS X Trojanac ubacuje reklame u web stranice korisnicima browsera Chrome, Firefox i Safari
Opisi virusa, 21.03.2013.
Ruska firma Doctor Web otkrila je novog Trojanca za Mac računare koji instalira adware plugin. Malver pokušava da profitira ubacujući reklame u Chrome, Firefox i Safari, a autori Trojanca očekuju zaradu od pregleda i klikova na te reklame. Doctor Web detektuje malver kao “Trojan.Yontoo.1”. U Doctor Web-u su trend porasta broja adware-a za različite platform uočili još početkom ove godine. Kriminalci zarađuju od partnerskih programa oglasnih mreža... Dalje
Stručnjaci ruske kompanije Kaspersky Lab i mađarske Laboratorije za kriptografju i bezbednost sistema CrySys Univerziteta za tehnologiju i ekonomiju u Budimpešti, otkrili su novi malver nazvan MiniDuke koji je tokom prošle nedelje korišćen u napadima na institucije, organizacije i privatne kompanije širom sveta. Pažljivo birane mete među kojima se nalaze državne institucije Ukrajine, Belgije, Rumunije, Češke, Irske i drugih zemalja, instituti za istraživanja i jedna neimenovana američka zdravstvena organizacija... 
Ruski proizvođač antivirusa Doctor Web upozorio je korisnike na ransomware kampanju koja je u toku, i u kojoj se koristi Trojanac ArchiveLock koji koristi WinRAR za enkripciju fajlova na zaraženom računaru, da bi oni potom postali nedostupni korisniku. Brute force napadom preko RDP protokola, sajber kriminalci se povezuju sa računarom i tada pokreću Trojanca ArchiveLock. Verzija ovog Trojanca (Trojan.ArchiveLock.20) kreira listu fajlova za enkripciju, prazni Recycle Bin... 
Pokušavajući da izbegnu nove zaštitne sisteme banaka pojedini autori takozvanih „bankarskih“ Trojanaca se okreću tradicionalnim tehnikama krađe akreditiva uz pomoć fišinga, kažu istraživači firme Trusteer. Mnogi savremeni bankarski Trojanci koje koriste sajber kriminalci sposobni su da se “umešaju” u online bankarske sesije korisnika zaraženih računara i to u realnom vremenu. To im omogućava obavljanje finansijskih transakcija u pozadini za račun kriminalaca... 
Kompjuterski crv Dorkbot (Rodpicom) koji za širenje koristi programe za chat i zaraženi računar „snabdeva“ dodatnim malverima, trenutno se širi Skype-om i MSN Messenger-om, upozoravaju stručnjaci firme Fortinet. Začarani krug započinje kada potencijalna žrtva dobije poruku od nekog sa liste svojih kontakata, sa mnogo puta viđenim tekstom „LOL is this your new profile pic? [link]“. Ako korisnik klikne na link, završiće na malicioznom sajtu i sa infekcijom računara crvom Dorkbot. 
Stručnjaci firme AVG, proizvođača antivirusa, upozoravaju na novi malver iz grupe takozvanih „policijskih Trojanaca“ koji radi sve ono što i drugi ranije viđeni malveri ovog tipa, ali je po nečemu ipak jedinstven - on onemogućava pokušaje da se ukloni blokada sa fajlova kojima korisnik računara ne može da pristupi zbog infekcije. Trojanac prikazuje uobičajeno, dobro poznato upozorenje da je korisnik počinio neko krivično delo... 
Stručnjaci Kaspersky Lab-a otkrili su bankarskog Trojanca koji se distribuira maskiran kao besplatni i veoma popularni antivirusni program Avast. Trojanac je otkriven na zaraženim računarima brazilskih korisnika. Malver se širi putem emailova, a kada pronađe žrtvu on zloupotrebljava ikonicu Avasta u system tray. Kada korisnik računara klikne na ikonicu pojavljuje se sledeće obaveštenje: „Your Avast! Antivirus is being updated, wait“... 
Trojanac Shylock koji se širi preko Skype-a nije jedini malver koji bi trebalo da brine korisnike ovog servisa. Stručnjaci firme Trend Micro otkrili su još jedan malver koji koristi Skype za distribuciju. Reč je o crvu WORM_BUBLIK.GX koji preuzima i učitava dodatne plugin-ove, uključujući i {C&C}/files/010-update-vl0d3/msg.gsm koji je ustvari još jedan crv (WORM_KEPSY.A). Kada se pokrene, ovaj maliciozni plugin može da obriše istoriju Skype poruka. 
Stručnjaci firme Trend Micro otkrili su nove Trojance koji prikrivaju svoju komunikaciju imitirajući protokole Windows Live Messenger-a ili Yahoo Messenger-a. Prirodna je težnja autora malvera a posebno onih koji stoje iza ciljanih napada da prisustvo njihovih malvera u mreži ostane što duže neotkriveno. Da bi to postigli, malveri često koriste HTTP i HTTPS da bi prikrili svoj saobraćaj. Prirodna je težnja autora malvera a posebno onih koji stoje iza ciljanih napada... 
Nekada popularne i poprilično nesnosne lažne antiviruse zamenili su ransomware programi, koji u napadima na korisnike računara širom sveta koriste manje-više isti pristupe: napadnuti računar se blokira kako bi se korisnik naterao da plati kaznu za navodno kršenje zakona tokom boravka na internetu ili se od korisnika traži novac kako bi mogao da dekodira preotete i kodirane fajlove na računaru. 
Malveru koji je dobio ime po jednom od likova Šekspirove komada „Mletački trgovac“, Trojancu Shylock, dodata je nova funkcionalnost koja mu omogućava automatsko širenje preko Skype-a. Trojanac koji je otkriven 2011. godine poznat je po tome što krade podatke korisnika za prijavljivanje na naloge za e-banking, kao i druge podatke sa zaraženih računara. Stručnjaci danske firme CSIS Security Group kažu da je nova funkcionalnost dodata malveru u formi plugina... 
Prema podacima Microsoft-ovog Centra za zaštitu od malvera (Microsoft Malware Protection Center), samo u novembru otkriveno je 83427 računara zaraženih rootkit-om "Necurs", višenamenskim malverom koji ugrožava računare sa 32-bitnim i 64-bitnim Windows sistemima. Malver se distribuira u drive-by download napadima sa sajtova koji hostuju ozloglašeni BlackHole exploit kit. 
Pronalaženje novih načina da malveri izbegnu otkrivanje od strane antivirusa, a posebno antivirusnih skenera, čini se, postaje primarni cilj autora malvera. Istraživači firme FireEye otkrili su jedan takav ingeniozan primerak malvera, Trojanca nazvanog Upclicker koji uspeva da izbegne automatizovanu sandbox detekciju vezivanjem za klik miša. Upclicker je backdoor koji postaje aktivan nakon što korisnik klikne i pusti levi taster miša. 
Istraživači Dell SecureWorks upozorili su na novu kampanju distribucije malvera „Gameover“, jedinog bankarskog Trojanca iz familije Zeus Trojanaca koji koristi peer-to-peer (P2P) kako bi prikrio svoje aktivnosti. Malver je još opasniji, upozorili su istraživači, sada kada kriminalci koji stoje iza nove kampanje distribucije ovog Trojanca koriste najveću spam bot mrežu u svetu Cutwail... 
Vremena kada su ransomware malveri prikazivali poruke sa obaveštenjem da je sistem blokiran i da korisnik mora da plati „otkup“ za deblokadu sistema, su izgleda prošlost. Najnoviji malveri ovog tipa i govore a u zavisnosti od zemlje u kojoj se nalazite, progovoriće i vaš maternji jezik. Najnoviji ransomware programi predstavljaju se kao lokalne policije pa se zato nazivaju „policijski Trojanci“. 
Symantec je nedavno otkrio malver nazvan W32.Narilam koji može kompromitovati SQL baze podataka. Malver „govori“ persijski i arapski jezik i kako izgleda, cilj malvera su pre svih kompanije u Iranu zbog čega su ga stručnjaci kompanije uporedili sa ozloglašenim malverom Stuxnet čija je meta bio iranski nuklearni program i koji je remetio rad centrifuga u postrojenjima za obogaćivanje uranijuma napadom na softver SCADA koji kontroliše rad centrifuga. 
Proizvođači antivirusa, kompanije Sophos i Trend Micro, upozorile su na dramatičan porast broja infekcija kompjuterskim crvom WORM_VOBFUS (W32/VNA-X) koji za svoje širenje koristi AutoRun/AutoPlay funkciju Windows-a i tehnike društvenog inženjeringa. Ako ste mislili da je Microsoft rešio problem AutoRun funkcije, niste jedini. Microsoft je pokušao da reši problem AutoRun opcije... 
Istraživači su otkrili maliciozni kod koji izgleda kao eksperimentalni rootkit za Linux čija je svrha infekcija računara odabranih korisnika u klasičnim drive-by napadima sa veb sajtova. Otkriće novog virusa objavio je anonimni vlasnik sajta na Full Disclosure 13. novembra a postojanje rootkit-a koji se distribuira odabranim žrtvama putem neuobičajene forme napada ubacivanjem iFrame-a, potvrdili su do sada CrowdStrike i Kaspersky Lab. 
Još jedan razlog za oprez kada preuzimate fajlove sa fajl šering sajtova je malver PASSTEAL koji se može naći prerušen u generatore ključeva za komericijalne programe ili popularne e-knjige, upozoravaju stručnjaci TrendMicro. Kako samo ime kaže, PASSTEAL je malver koji koristi različite alate za oporavak lozinki sačuvanih u brauzerima napadnutih računara. 
Nova verzija Trojanca za Mac OS X Imuler koju su otkrili istraživači firme Intego učestvuje u napadima na tibetanske borce za ljudska prava. Originalna verzija malvera pojavila se u septembru prošle godine a autori malvera koristili su taktiku sakrivanja malvera u PDF dokumentima koja se sa velikim uspehom koristila u napadima na Windows. 
Stručnjaci Symantec-a otkrili su malver koji koristi Google Docs, koji je sada deo Google Drive servisa, kao proxy server za komunikaciju sa svojim C&C serverom za komandu i kontrolu umesto da se direktno povezuje sa C&C serverom i to sa ciljem da prikrije saobraćaj tokom komunikacije sa napadačima. Malver koji je nova verzija Trojanca iz Backdoor.Makadocs familije koristi „Viewer“ funkciju kao proksi... 
Sredinom oktobra istraživači firme Intego otkrili su malver kojeg su svrstali u Java backdoor Trojance i nazvali Java/Jacksbot.A. Kada je Trojanac otkriven, početne procene su bile takve da se nije činilo da on uopšte predstavlja pretnju s obzirom na njegovu „sirovu prirodu“ i nepotpuno programiranje. U vreme kada je otkriven, Trojanac je bio potpuno funkcionalan na Windowsu i samo delimično funkcionalan na OS X i Linuxu... 
Istraživači kompanije Trend Micro otkrili su novi malver koji krade slike sa zaraženog računara izlažući tako korisnika riziku od krađe identiteta, prevare i ucene. Trojanac nazvan PixSteal traga za slikama na zaraženim sistemima i prebacuje kopije takvih fajlova na FTP server. Formati fajlova za kojima na zaraženom računaru traga PixSteal su .jpg, .jpeg i .dmp. Ovo nije prvi malver koji traga za određenim formatima fajlova. 
Kaspersky Lab je objavio otkiće malog i veoma fleksibilnog malicioznog programa, koji je razvijen sa ciljem krađe podataka i kontrole zaraženih sistema za potrebe sajber špijunaže. miniFlame koji je poznat i pod nazivom SPE, stručnjaci Kaspersky Lab-a otkrili su u julu ove godine, a malver je najpre identifikovan kao modul poznatog malvera Flame koji je otkriven u maju. 
Autori koda najnovije verzije Trojanca Citadel, nazvane “Rain Edition” dodali su ovom malveru nove funkcije i tako značajno uvećali njegovu cenu. Nova verzija Trojanca donosi funkciju nazvanu “Dynamic Config”, koja olakšava bot masterima pristup zaraženim računarima ažuriranjem konfiguracijskog fajla malvera u realnom vremenu. 
Pokušavajući da ubede korisnike da plate otkup za blokirane računare, sajber kriminalci koriste različite taktike. Već viđena upozorenja američkog Federalnog istražnog biroa (FBI) i lokalnih policija izgleda da više nisu dovoljna pa su se oni koji stoje iza jedne ovakve kampanje distribucije ransomware-a dosetili još jednog načina pritiska na korisnike zaraženih računara. 
Hiljade korisnika koji su se prijavili da koriste navodno legitiman i veoma jeftin proksi servis i čiji su računari zbog toga zaraženi malverom i regrutovani u bot mrežu, još jedan su dokaz da ako nešto izgleda suviše dobro teško da može biti istinito. Pre tri meseca istraživači Symantec-a započeli su istragu o malveru nazvanom Backdoor.Proxybox koji je poznat od 2010. godine, ali je u poslednje vreme iznenada postao veoma aktivan. 
Ako Windows na vašem računaru ne može da se podigne, to može biti posledica aktivnosti malvera koji briše celokupan sadržaj na vašem računaru - dokumente, fotografije, video snimke i druge fajlove, ali i Master Boot Record (MBR) i sprečava podizanje sistema. Malver poznat pod nazivima Disttrack i Shamoon je zanimljiv zbog toga što dugo vremena nije viđen zlonamerni program koji ostavlja takve posledice svog delovanja kao što je brisanje svih personalnih fajlova sa zaraženih računara, kažu istraživači. 
Trojanac Crisis, poznat i pod nazivom Morcut, koji je otkriven u julu kao malver koji je namenjen Mac računarima sa različitim verzijama OS X, dobio je i svoju verziju za Windows, objavili su istraživači Symantec-a. Verzija malvera za Windows može da inficira VMware virtulenu mašinu, Windows Mobile uređaje i prenosive USB diskove. 
Silon, malver koga su otkrili istraživači kompanije Trusteer pre dve godine i koji je osposobljen da krade novac sa računa korisnika online bankovnih naloga zaštićenih sistemima dvostepene autorizacije, posle objavljivanja još dve verzije počeo je da se povlači sa scene tako da se činilo da su autori malvera odustali od njega. 
Microsoft-ov centar za zaštitu od malvera upozorio je na pojavu novog malvera koji isključuje antivirusnu zaštitu na računaru i presreće komunikaciju korisnika na društvenim mrežama. Reč je o malveru Bafruz (Win32/Bafruz). Bafruz je backdoor Trojanac koji uklanja antivirusne i druge zaštitne programe sa računara, presreće komunikaciju korisnika na sajtovima društvenih mreža kao što su Facebook i Vkontakte, instalira Bitcoin softver i izvodi DoS napade. 
Stručnjaci godinama savetuju korisnike da sumnjive poruke ili zahteve koje dobiju kada su prijavljeni na online bankovne naloge obavezno povere i to tako što će telefonirati banci. Nova verzija malvera Shylock takav savet dovodi u pitanje. Prema analizi istraživača Symantec-a, nova verzija malvera Shylock ubacuje telefonske brojeve koje kontrolišu napadači u kontakt stranice veb sajtova banaka. 
Kompanija Kaspersky Lab objavila je da je otkriven virus Gaus, nova sajber pretnja koja pogađa korisnike Bliskog istoka. Gaus je kompleksni alat za sajber špijunažu i kreiran je da krade poverljive podatke, sa posebnim fokusom na veb lozinke, podatke sa onlajn bankovnih računa, kukis (cookies) i konfiguracije sa zaraženih mašina. 
Malver nazvan Mahdi ili Madi koristi se za špijuniranje korisnika u Iranu, Izraelu i nekolicini drugih država Bliskog istoka i to unazad nekoliko mesecci, tvrde istraživači Seculert i Kaspersky Lab-a. Mahdi je sposoban da beleži aktivnosti tastature, snima ekran u naznačenim vremenskim intervalima, snima zvuk i krade različita dokumenta, slike i druge fajlove. 
Istraživač Džonatan Brosard autor je proof-of-concept backdoor malvera nazvanog Rakshasa koji zamenjuje BIOS (Basic Input Output System) i koji može kompromitovati operativni sistem odmah po uključivanju računara ne ostavljajući tragove svog prisustva na hard disku. Brosard, koji je izvršni direktor i istraživač u francuskoj kompaniji Toucan System, demonstrirao je kako funkcioniše malver čiji je on autor na hakerskoj konferenciji Defcon u subotu. 
Zamislite da mesecima radite na novom projektu i kad je najzad sve završeno i vi rešite da patentirate novi dizajn, otrkivate da ga je neko u Kini već patentirao. Ovaj scenario je veoma realan zahvaljujući AutoCAD crvu nazvanom ACAD/Medre.A koji je razvijen sa ciljem krađe AutoCAD dizajna koje potom šalje u Kinu onima koji kontrolišu ovaj malver. 
Posle nedavnog otkrića Trojanca nazvanog Milicenso, istraživači Symantec-a otkrili su još jedan zlonamerni program koji prouzrokuje slične probleme kao i pomenuti Trojanac - iznenadno aktiviranje štampača bez dozvole korisnika i štampanje besmislica. Kompjuterski crv koga su otkrili istraživači Symantec-a nazvan je W32.Printlove. Crv inficira računare u lokalnoj mreži koristeći ranjivost daljinskog izvršenja koda u Microsoft Windows Print Spooler servisu koja je zakrpljena još u septembru 2010. godine. 
SophosLabs, centar za analizu malvera, konstantno nadzire famozni ZeroAccess rootkit, koji pogađa internet poslednjih par nedelja. ZeroAccess je sofisticirani kernel-mode rootkit koji svoje žrtve ubacuje u peer-to-peer botnet iz koje dobijaju komande za preuzimanje drugog malvera. Rootkit se svaki dan menja, tako da je otkriven veliki broj njegovih varijacija, ali ova poslednja pokazuje veliku promenu u strategiji napada. Sve prethodne verzije rade u kernel komponenti 32-bitnog Windows-a, međutim u 64-bitnom Windows-u ZeroAccess radi isključivo u korisničkoj memoriji. 
Ukoliko vaš štampač iznenada “poludi” i počne da štampa besmislice sve dok ne ostane bez papira, to je siguran znak infekcije Trojancem nazvanim Milicenso. Štampanje besmislica nije samo po sebi cilj, kažu u Symantec-u čiji su istraživači otkrili malver, već je sporedni efekat infekcije ovim Trojancem. Ipak, baš zahvaljujući tom efektu, vlasnici zaraženih računara mogu da primete infekciju jer je stopa detekcije Trojanca veoma niska pa ga u ovom trenutku svega 4 od 42 antivirusa koje koristi Virus Total detektuju. 
Iako se čini da su autori poznatog bankarskog Trojanca SpyEye jednostavno nestali i da razvoj bazične verzije Trojanca stagnira, ovaj malver je još uvek popularan među sajber kriminalcima koji ga koriste širom sveta. S obzirom da SpyEye ima plugin sistem, operateri bot mreža su još uvek u mogućnosti da proširuju njegove funkcionalnosti. Stručnjaci proizvođača antivirusa nemačke kompanije G Data analizirali su zanimljiv uzorak ovog malvera. 
Prošle godine istraživači kineske kompanije Qihoo 360 otkrili su prvi rootkit čija je meta BIOS koji je sposoban da iznova i iznova inficira računare, čak i ako se hard disk fizički ukloni i zameni drugim. Rootkit nazvan Mebromi ili MyBios pogađa samo korisnike Awared BIOS-a koji koriste matične ploče proizvođača Phoenix Technologies. Sada su istraživači proizvođača antivirusa kompanije McAfee otkrili novi BIOS rootkit nazvan Niwa!mem koji je prvobitno inficirao MBR ali čija najnovija verzija inficira BIOS. 
Istraživači proizvođača antivirusnog softvera kompanije Trend Micro upozorili su na kompjuterskog crva koji se pojavljuje u obliku JPG fajla šireći se preko Facebook-a i različitih IM (instant messaging) programa. “Nedavno smo obavešteni o privatnim porukama na Facebook-u i deljenju linka koji je skraćena URL adrese koja vodi ka arhiviranom fajlu May09-Picture18.JPG_www.facebook.com.zip," kažu u Trend Micro. “Ovaj fajl sadrži zlonamerni fajl May09-Picture18.JPG_www.facebook.com i koristi ekstenziju .COM.” 
Teška nedelja za Facebook. Neslavni izlazak kompanije na berzu i kolektivne tužbe investitora nisu jedini problemi koji su se sručili na kompaniju. Društvena mreža pogođena je i epidemijom malvera, crva koji je svojim autorima za samo dve nedelje doneo zaradu od reklama koja se procenjuje na oko 250 000 dolara. Reč je o plugin-u nazvanom LilyJade koji se širi društvenom mrežom kao crv zamenjujući reklame na sajtu reklamama koje autorima malvera donose zaradu. 
Istraživači firme Trusteer otkrili su novi način upotrebe malvera Citadel, Trojanca koji je nastao na kodu poznatijeg Trojanca Zeus. Reč je o ransomware programu pod nazivom Reveton koji, kao i svi slični programi, blokira operativni sistem zaraženog računara, tražeći otkup za njegov dalji rad u iznosu od 100 dolara. Reveton je uočen pre nekoliko nedelja kao zlonamerni program koji samostalno deluje, ali sada se pojavljuje udružen sa Citadel malverom. 
“Zamislite program koji skenira vaš računar, otkriva neke greške i nudi vam da ih ispravi. Mnogi legitimni programi to čine (na primer, virusi), ali postoji i i mnogo lažnih programa koji ne rade bilo šta korisno, osim što se pretvaraju da skeniraju vaš računar, ispravljaju nepostojeće greške ali u stvarnosti nema grešaka i ničega što bi trebalo ispraviti. Vi niste instalirali takav program, čak i ne znate kako je taj program instaliran na vašem računaru. Jednostavno je tu i pokušava da vas prevari da kupite licencu. 
Istraživači kompanije Trend Micro otkrili su novu verziju ransomware malvera koji sprečava učitavanje Windowsa zamenjujući MBR (master boot record) zaraženog računara svojim kodom i prikazujući poruku u kojoj se od korisnika zaraženog računara zahteva novac za otkup. Ovaj malver “otmičar” zamenjuje originalni MBR svojim zlonamernim kodom, nakon čega automatski restartuje sistem da bi proces infekcije računara bio uspešno okončan. 
Francuska firma Intego otkrila je novu verziju malvera Flashback koja koristi istu ranjivost u Java kao i ranija verzija koja je odgovorna za infekciju preko pola miliona Mac računara. Za razliku od Flashback.K, verzije malvera koja je prošlog meseca napravila pravu pometnju među Mac korisnicima koja zahteva od korisnika unos lozinke ali joj ustvari nije neophodna za instalaciju, Flashback.S se isključivo oslanja na ranjivost u Java prilikom infekcije sistema. Flashback.S koristi istu ranjivost u Java kao i Flashback.K koja nosi oznaku CVE-2012-0507. 
Nova verzija Trojanca Zeus koju su nedavno otkrili istraživači Symantec-a izmenjena je u odnosu na prethodnu tako da više ne zavisi od C&C servera za komandu i kontrolu. Prethodna verzija ovog Trojanca još uvek se oslanjala na C&C servere na kojima je ostavljala ukradene podatke i sa kojih je dobijala instrukcije, ali je koristila P2P (peer-to-peer) sistem kao rezervni za slučaj obaranja servera. 
Ukoliko na hard disku čuvate važne podatke, fotografije sa letovanja, video snimke sa poslednje proslave rođendana ili važna dokumenta, verovatno ste sebi obećali da ćete jednom, uskoro ili već sutra napraviti back up podataka. Skoro je izvesno da to niste uradili. Zamislte sada da svi vaši podaci odjednom nestanu. Očajni ste, zar ne? ![Trojanac uhvaćen na video snimku kako razbija CAPTCHA zaštitu [VIDEO]](/thumbs/v1_7951_captcha.jpg)
Kompanija Websense objavila je na svom Security Labs blogu zanimljiv video snimak u kome je zabeležena aktivnost nove verzije bankarskog Trojanca poznatog pod nazivom Cridex. Na snimku se vidi kako Trojanac savladava prepreku CAPTCHA testova koje koriste neki online servisi iz bezbednosnih razloga. 
Novi moćni bot nazvan Ainslot.L je malver osposobljen za beleženje korisničkih aktivnosti, preuzimanje drugih dodatnih malvera na zaraženi računar i preuzimanje kontrole nad korisničkim sistemom, upozorila je PandaLabs. Ainslot.L ima karakteristike tipičnog Trojanca. On krade podatke potrebne za prijavu na korisničke naloge, što je posebno opasno po naloge korisnika koji omogućavaju bankarske i druge novčane transakcije. Ali Trojanac krade i lozinke za prijavljivanje na Facebook, Gmail i sve druge naloge korisnika i potom ih šalje kriminalcima. 
Ramnit, kompjuterski crv poznat po infekciji fajlova i krađi bankovnih podataka korisnika, koji se pojavio u aprilu 2010. godine ponovo je izmenjen a nova verzija crva odgovorna je za krađu lozinki 45000 korisnika Facebooka. Istraživači izraelske kompanije Seculert otkrili su komandni i kontrolni server za novu verziju kompjuterskog crva Ramnit, koja je obogaćena novim funkcijama tako da aktuelna verzija malvera krade podatke potrebne za identifikaciju korisnika prilikom prijavljivanja na Facebook nalog koje šalje C&C serveru. 
Da se podsetimo onoga šta se do sada događalo: Uspešno izvedena operacija “Operation Ghost Click” koju je predvodio FBI a u kojoj su učestvovale i policijske snage drugih država, bila je hvaljena u medijima - vođe operacije stavljene su iza rešetaka a FBI je stavio pod kontrolu DNS servere kriminalaca. FBI kontroliše DNS servere ali nije u mogućnosti da dezinfikuje računare koji su pogođeni malverom DNSChanger. Zbog toga je veoma važno da se svi računari zaraženi DNSChanger malverom kod kojih su zbog toga izmenjena DNS podešavanja koja korisnici nisu odobrili oslobode prisustva ovog zlonamernog programa kako bi se osiguralo normalno funkcionisanje internet konekcije nakon 8. marta 2012. godine. 
Programi koje nazivamo ransomware su zlonamerni programi koji, pošto dospeju u računar, pretvaraju kompjuter u svojevrsnog taoca za čije oslobođenje odnosno deblokadu zahtevaju od korisnika da plati određenu sumu novca kao otkup. Pošto uđu u računar koristeći neku ranjivost u programima ili kao email atačment oni isključuju neki esencijalni sistemski servis, zaključavaju ekran odmah pošto se sistem pokrene ili vrše enkripciju podataka koji potom postaju nedostupni korisniku. 
Ova godina se bliži kraju i većina stručnjaka za kompjutersku bezbednost ovih dana bavi se analizom godine koja je iza nas kao i prognozama za predstojeću godinu. Istovremeno, božićni i novogodišnji praznici su svake godine prilika i za autore zlonamernih programa da svoje kampanje prilagode aktuelnom trenutku i prazničnoj euforiji. 
Danska kompanija CSIS upozorila je korisnike Facebook-a na pojavu novog crva koji cirkuliše društvenom mrežom koristeći ukradene podatke za prijavljivanje na hakovane naloge i sa njih šalje maliciozne linkove prijateljima inficiranih korisnika. Pored toga, crv preuzima i instalira različite maliciozne programe na zaraženim računarima korisnika, uključujući i jednu verziju ozloglašenog malware-a ZeuS. 
Istraživači proizvođača antivirusnog softvera, kompanije BitDefender, otkrili su novog Trojanca koji pošto kodira sve podatke na zaraženom računaru nudi žrtvi probnu verziju softvera koji treba da otključa šifrovane fajlove. U najvećoj meri, Trojan.Crypt.VB.U i njegove različite verzije pokazuju karakteristike koje odlikuju i ostale maliciozne programe iz grupe ransomware. 
Od pojave kompjuterskog crva Stuxnet a naročito posle niza hakerskih napada na organizacije koje izdaju digitalne sertifikate, napadači sve češće praktikuju korišćenje digitalnih sertifikata za maliciozne programe i imitaciju popularnih veb sajtova. Bez obzira da li je reč o ukradenim sertifikatima ili onim koji su izdati na prevaru ishod je isti - napadnuti sistem je obmanut da je malware legitimni program ili da je maliciozni sajt bezopasan. 
TDSS rootkit je malware koji se do sada pokazao da je veoma prilagodljiv te je kao takav u prethodne tri ili četiri godine korišćen u različitim vrstama napada. Pojavljivao se u drive-by download napadima, ciljanim napadima ali i drugim vrstama napada a njegova nova uloga je dostavljanje DNS Changer Trojanca. 
Kompanija ESET upozorila je na novi stari malware, maliciozni kod pisan za Linux koji je sada izmenjen tako da je prilagođen Mac OS X platformi. Malware za OS X je nazvan Tsunami po originalnom backdoor malware-u koji je otkriven još 2002. godine i poznat je pod nazivom Linux/Tsunami. Računar zaražen ovim malware-om postaje deo bot mreže i služi za izvođenje DDoS napada. 
Trojanac Duqu koji je pronađen u zaraženim računarima širom sveta pre otprilike dva meseca mogao bi biti opasniji i sofistciraniji nego što se to na prvi pogled činilo. Šta više, oni koji stoje iza Duqu-a razvijali su kod ovog malware-a više od četiri godine. Prema analizi uzoraka Trojanca Duqu koje su istraživačima Kaspersky Laboratorije dostavili stručnjaci iz Sudana, jedan od drajvera koji je bio deo napada je iz avgusta 2007. godine. 
Novo sajber oružje zove se Duqu, a njegova pojava je ove nedelje bila praćena brojnim spekulacijama i raspravama u kojima je dominantna dilema - da li je novi malware direkntni naslednik Stuxnet-a dizajniran sa namerom da nanese štetu infrastrukturi razvijenim državama zapadne hemisfere. Neki od ključnih elemenata u sastavu i ponašanju malware-a Duqu kao i okolnosti pod kojima je otkriven, doveli su mnoge stručnjake do zaključka da su ova dva malware-a zaista nekako povezani. 
Stručnjaci kompanije ESET upozorili su da se jedan od trenutno najkompleksnijih i najopasnijih malware-a, TDL4 rootkit, poznat i pod nazivima TDSS i Alureon, sada pojavio izmenjen i unapređen što njegovu detekciju od strane antivirusnih programa dodatno otežava a njega čini još otpornijim na pokušaje da bude uklonjen sa zaraženog računara. 
Rootkit Alureon ne samo da zadaje glavobolju svojim žrtvama, korisnicima računara koje zarazi, zbog veoma podmuklih vektora infekcije i istrajnosti kojom opstaje na zaraženom računaru. On isto tako predstavlja izazov istraživačima angažovanim na poslovima identifikacije novih verzija i otkrivanju njihovih novih taktika i tehnika. 
Novi paket exploit-a koji se pojavio prošle nedelje već je prouzrokovao nevolje korisnicima koje hiljade kompromitovanih veb sajtova preusmeravaju na stranicu na kojoj se nalazi paket exploita koji iskorišćava ranjivosti na njihovim računarima a rezultat toga je instaliranje malware-a. Oni koji stoje iza ovog exploit paketa pod nazivom Nice Pack slede praksu kriminalnih grupa koje koriste poznatije pakete exploita kao što je, na primer, Black Hole. 
Istraživači kompanije Webroot identifikovali su novi malware koji menja softver na matičnoj ploči zaraženog računara zbog čega je uklanjanje infekcije veoma teško. To je prvi malware čija je meta BIOS. Malware nosi naziv Mebromi i mešavina je nekoliko malicioznih komponenti: BIOS rootikt-a koji pogađa Award BIOS, MBR rootkit-a, kernel mod rootkit-a, PE fajl infektora i Trojanca downloader-a. 
Istraživači kompanije BitDefender-a identifikovali su novu verziju poznatog virusa Win32.Induc.A koji je po mišljenju stručnjaka ove kompanije verovatno najinovativniji malware koji se pojavio ove godine sposoban da inficira bilo koji izvršni fajl na koji naiđe. Prvobitna verzija ovog fajl infektora je bila relativno bezopasna izuzev toga što je bio sposoban da doda svoj kod svakoj aplikaciji koju programer kompajlira, dok je nova varijanta malware-a mnogo opasnija. 
Kompanija Avast upozorila je korisnike na novi način na koji hakeri maskiraju maliciozne fajlove u Windows ekstenzije kako bi one izgledale korisnicima kao bezbedne za preuzimanje. Novi exploit kojeg je Avast nazvao Unitrix, zloupotrebljava Unicode za jezike koji se pišu s desna na levo, kao što su arapski ili jevrejski, maskirajući tako Windows-ove izvršne fajlove (.exe) u naizgled bezopasne .jpg i .doc fajlove. 
Kompanija BitDefender upozorila je korisnike na novu prevaru čije su žrtve za sada isključivo internet korisnici u Rusiji, ali u BitDefender-u smatraju da bi prevara vrlo brzo mogla ticati i korisnika van Rusije. Naime, novi ransomware kojeg su uočili stručnjaci iz kompanije i označili ga kao Trojan.Agent.ARVP praktično zaključava kompjuter korisnika, pokušavajući da ga ubedi da je u računaru pronađena dečija pornografija i da iznudi 17 dolara za otkup i otključavanje računara. 
Istraživači kompanije Trusteer upozorili su na otkriće mutantske verzije kompjuterskog crva Ramnit za koju sumnjaju da je kombinacija koda dva malware-a - ozloglašenog Trojanca koji krade podatke potrebne za prijavljivanje na online bankovne naloge Zeus i poznatog crva Ramnit. Win32.Ramnit, kompjuterski crv koji je stručnjacima za kompjutersku bezbednost poznat najmanje godinu i po dana... 
Downloader Trojanci su maliciozi programi koji su dizajnirani tako da korenito inficiraju sistem preuzimajući dodatne maliciozne programe koji se potom intaliraju na zaraženom sistemu. Trojan.Badlib je primer takvog malware-a koji služi kao distributivna mreža drugih maliciozniih programa. 
Izgleda da su maliciozni programi koji napadaju MBR sektor hard diska ponovo u modi. Bar tako tvrdi istraživač kompanije Symantec Hon Lau u tekstu na kompanijskom blogu potkrepljujući to podacima o udvostručenju broja MBR malware-a u periodu između 2009 i 2010. godine, i ponovnom udvostručenju tokom 2011. godine. 
Ozloglašeni hakerski alat SpyEye dugo vremena je prokletstvo žrtava napada i istovremeno unosan biznis za sajber kriminalce. Sada bi situacija mogla biti i gora, procena je stručnjaka za kompjutersku bezbednost. Naime, istraživač i član tima “Reverse Engineers Dream Crew” Xyliton objavio je zakrpu za kod SpyEye Builder-a, za verziju 1.3.45, nakon što je nedavno uspeo da pronađe kopiju SpyEye Builder-a i objavio uputstvo za krekovanje identifikacije hardvera. 
Pre dvadesetak dana Micosoft je upozorio korisnike na maliciozni program Popureb predlažući korisnicima čiji su sistemi zaraženi ovim Trojancem drastično rešenje - reinstalaciju Windows-a. U međuvremenu je kompanija Prevx objavila besplatnu alatku za uklanjanje ovog malware-a tako da sada takva radikalno rešenje nije neophodno. 
Proizvođač antivirusnog softvera BitDefender upozorio je korisnike Facebook-a na pojavu novog malicioznog programa kojeg su stručnjaci kompanije identifikovali kao Trojan.FakeAV.LVT. Trojanac za svoje širenje koristi tehniku društvenog inženjeringa čiji scenario izgleda otrpilike ovako: prijatelj potencijalne žrtve započinje razgovor preko Facebook chat-a na engleskom jeziku a poruke obično izgledaju ovako: “Hi. How are you?”, “It is yu on the video?” ili “Want to see?”, a potom se žrtvi nudi link ka kompromitujućem video snimku na kome se na navodno ona/on nalazi. 
Kako tvrde istraživači, bot mreža poznata pod nazivom TDL, koja uključuje preko 4,5 miliona računara zaražena tokom poslednja tri meseca istoimenim Trojancem, TDL-4, praktično je neuništiva. TDL-4, poznat i pod nazivima Tidserv, TDSS i Alureon, je četvrta verzija Trojanca koji inficira Master Boot Record (MBR) sektor računara rootkit-om... 
Modifikacija delova hard diska odgovornih za početno učitavanje sistema sve više postaje omiljeni metod napada sajber kriminalaca. Do sada su oni uglavnom koristili taktiku izmene MBR sektora (master boot record) ali sada njihove taktike uključuju i infekciju NTFS koda. 
Nove tehnike kodiranja zlonamernih kodova na veb sajtovima su dobar način za obmanu i korisnika i zaštitnog softvera. Nedavni napad na osCommerce, veb sajt za internet kupovinu, izveden je ubacivanjem skripte u PHP fajlove i to tako što je iskorišćena ranjivost u osCommerce softveru. 
Korisnici Windows-a čiji je sistem zaražen novim malicioznim programom iz grupe rootkit-ova koji je sakiven u boot sektoru (MBR - master boot record) moraju primeniti postupak reinstalacije Windows-a. Ukoliko je vaš sistem zaražen malware-om Trojan:Win32/Popureb.E... 
Samo nekoliko nedelje nakon što se kod hakerskog alata Zeus pojavio na internetu još jedan sličan alat osvanuo je na internetu dostupan za besplatno preuzimanje. Black Hole, koji je jedan od najmoćnijih alata za hakerske napade se inače prodaje po ceni od 1500 dolara za godišnju licencu. 
Poslednji u nizu malicioznih programa iz grupe rootkit-ova dizajniranih za 64-bitne sisteme je ZeroAccess rootkit koji cirkuliše već izvesno vreme i koji ima brojne zanimljive kapacitete, uključujući i anti-forenzični mehanizam i monitoring na nivou kernela. 
Proizvođač antivirusne zaštite upozorio je na pojavu novog Java Trojanca nazvanog IncognitoRAT koji pogađa i Mac i Windows korisnike. On ima karakteristike slične onima koje imaju i drugi štetni programi pisani za Windows, ali koristi izvorni kod i biblioteke koje mogu funkcionisati i na drugim platformama. 
Kaspersky Lab otkrila je novi višenamenski rootkit koji ugrožava i 32-bitne i 64-bitne Windows sisteme. Glavna karakteristika 64-bitnog rootkita je da on ne pokušava da zaobiđe PatchGuard zaštitu za kernel sistema, već umesto toga koristi poseban digitalni potpis za programere softvera. Rootkit se distribuira pomoću downloader-a, koji pored toga pokuašava da instalira druge štetne programe. 
Kaspersky Laboratorija identifikovala je novi štetni program - bootkit, kernel mod rootkit-a koji za sada pogađa samo kineske internet korisnike. Bootkit nazvan Rootkit.Win32.Fisp.a se distribuira pomoću downloader Trojanca (Trojan-Downloader.NSIS.Agent.jd) koji kompjutere korisnika inficira kada pokušaju da preuzmu video snimak sa kineskog pornografskog sajta. 
Kompanija F-Secure upozorila je juče korisnike na pojavu novog Trojanca koji pokušava da iznudi novac od korisnika za navodnu reaktivaciju Windows-a pozivanjem određenog telefonskog broja pri čemu se poziv tarifira kao međunarodni. Kada zarazi računar, Trojanac objavljuje poruku u kojoj se tvrdi da je Windows “zaključan” i da se mora reaktivirati. 
Kompanija Trend Micro objavila je upozorenje nakon što je došla do prve kopije malicioznog programa pisanog za Linux koji inficira rutere. Malware nazvan ELF_TSUNAMI.R, koristi kombinovani napad za širenje sopstvenog koda. 
Istraživači su otkrili novu verziju veoma virulentnog ransomware programa GPCode koji inficira kompjutere korisnika i potom šifrira podatke sa hard diskova. Nova verzija programa koristi ACE enkripciju a od korisnika se zahteva plaćanje preko Ukash servisa u zamenu za ključ kojim će dešifrovati i povratiti podatke sa hard diska. 
Novi Trojanac nazvan “OddJob” krade novac sa računa bankarskih korisnika preuzimanjem sesija onda kada korisnici misle da su se odjavili dok ustvari Trojanac ostaje ulogovan. Ovo otkriće istraživača kompanije Trusteer je potpuna novina u svetu zlonamernih programa... 
Istraživači kompanije Sophos identifikovali su novog Trojanca napisanog za Mac. Trojanac je nazvan BlackHole RAT (RAT - remote access Trojan) i a relativno lako se može pronaći na hakerskim forumima. Na veb sajtu YouTube može se pronaći i video prezentacija koja pokazuje šta se sve može da uradi ovaj Trojanac. 
Exploit kits su paketi zlonamernih programa koji se uglavnom koriste za izvođenje “drive-by” napada sa ciljem širenja malicioznih programa. Ovi kompleti se prodaju na crnom tržištu gde se njihova cena kreće od nekoliko stotina do preko hiljadu dolara. Danas je uobičajeno i iznajmljivanje hostovanih exploit kompleta. Reč je, dakle, o konkurentnom tržištu sa mnogo igrača i mnogo autora zlonamernih programa. 
Kompanija Symantec upozorila je na BlackHole toolkit, moćni paket exploita, koji je trenutno najpopularniji hakerski alat koji se, prema broju pogođenih korisnika može uporediti sa kompletima kao što su Neopsloit i Phoenix. Nedavni izveštaj kompanije ukazao je da sajber-kriminalci sve češće koriste sofisticirane hakerske alate ovog tipa koje ne zahtevaju odlično poznavanje tehničke strane izvođenja sajber-napada. 
Baš kao i programeri legitimnih programa, tako i autori zlonamernih programa žele da im se njihov rad isplati. Tako su kreatori Trojanca “Carberp” koji krade podatke korisnika sa računara korisnika unapredili ovaj maliciozni program dodavanjem nove funkcije koja otkriva i identifikuje antivirusni program... 
Kompjuterski crv Conficker je možda poražen, ali se ovaj maliciozni program i dalje nalazi unutar sistema milona korisničkih kompjutera širom sveta. To su zaključci Radne grupe za Conficker, koja okuplja proizvođače antivirusa i nekoliko drugih zainteresovanih strana... 
Stručnjaci su upozorili korisnike Windowsa na iznenadan povratak na scenu jedne od najopasnijih porodica malicioznog softvera, takozvanom ransomware malicioznom programu (ransom, engl. - otkup, ucena), koji kodira fajlove na zaraženom računaru pre nego zatraži otkup za ključ kojim žrtva može da dekodira fajlove. 
Istraživači kompanije Avira otkrili su novog Trojanca, maliciozni program koji krade podatke korisnika a koji je izgleda poreklom iz Kine. Trojanac je označen kao TR/Spy.Clickpal.A. Trojanac je napravljen tako da krade korisnička imena i lozinke sa popularnih veb-sajtova kao što su YouTube, Google, Yahoo, MSN, PayPal... 
