Novi tandem: Nice Pack paket exploit-a i ZeroAccess rootkit
Opisi virusa, 14.10.2011.
Novi paket exploit-a koji se pojavio prošle nedelje već je prouzrokovao nevolje korisnicima koje hiljade kompromitovanih veb sajtova preusmeravaju na stranicu na kojoj se nalazi paket exploita koji iskorišćava ranjivosti na njihovim računarima a rezultat toga je instaliranje malware-a. Oni koji stoje iza ovog exploit paketa pod nazivom Nice Pack slede praksu kriminalnih grupa koje koriste poznatije pakete exploita kao što je, na primer, Black Hole. Dalje
Zagonetka zvana Duqu: Naslednik Stuxnet-a ili nešto sasvim drugo
Opisi virusa, 21.10.2011.
Novo sajber oružje zove se Duqu, a njegova pojava je ove nedelje bila praćena brojnim spekulacijama i raspravama u kojima je dominantna dilema - da li je novi malware direkntni naslednik Stuxnet-a dizajniran sa namerom da nanese štetu infrastrukturi razvijenim državama zapadne hemisfere. Neki od ključnih elemenata u sastavu i ponašanju malware-a Duqu kao i okolnosti pod kojima je otkriven, doveli su mnoge stručnjake do zaključka da su ova dva malware-a zaista nekako povezani. Dalje
Identifikovana nova opasnija verzija virusa Induc
Opisi virusa, 20.09.2011.
Istraživači kompanije BitDefender-a identifikovali su novu verziju poznatog virusa Win32.Induc.A koji je po mišljenju stručnjaka ove kompanije verovatno najinovativniji malware koji se pojavio ove godine sposoban da inficira bilo koji izvršni fajl na koji naiđe. Prvobitna verzija ovog fajl infektora je bila relativno bezopasna izuzev toga što je bio sposoban da doda svoj kod svakoj aplikaciji koju programer kompajlira, dok je nova varijanta malware-a mnogo opasnija. Dalje
Još jedna promena rootkit-a Alureon: dodatak steganografije i backup adresa C&C servera
Opisi virusa, 28.09.2011.
Rootkit Alureon ne samo da zadaje glavobolju svojim žrtvama, korisnicima računara koje zarazi, zbog veoma podmuklih vektora infekcije i istrajnosti kojom opstaje na zaraženom računaru. On isto tako predstavlja izazov istraživačima angažovanim na poslovima identifikacije novih verzija i otkrivanju njihovih novih taktika i tehnika. Dalje
Trojanac koji optužuje za dečiju pornografiju, zaključava računar i traži otkup
Opisi virusa, 15.09.2011.
Kompanija BitDefender upozorila je korisnike na novu prevaru čije su žrtve za sada isključivo internet korisnici u Rusiji, ali u BitDefender-u smatraju da bi prevara vrlo brzo mogla ticati i korisnika van Rusije. Naime, novi ransomware kojeg su uočili stručnjaci iz kompanije i označili ga kao Trojan.Agent.ARVP praktično zaključava kompjuter korisnika, pokušavajući da ga ubedi da je u računaru pronađena dečija pornografija i da iznudi 17 dolara za otkup i otključavanje računara. Dalje
Mebromi: Malware skriven u BIOS-u
Opisi virusa, 16.09.2011.
Istraživači kompanije Webroot identifikovali su novi malware koji menja softver na matičnoj ploči zaraženog računara zbog čega je uklanjanje infekcije veoma teško. To je prvi malware čija je meta BIOS. Malware nosi naziv Mebromi i mešavina je nekoliko malicioznih komponenti: BIOS rootikt-a koji pogađa Award BIOS, MBR rootkit-a, kernel mod rootkit-a, PE fajl infektora i Trojanca downloader-a. Dalje
Downloader Trojanci su maliciozi programi koji su dizajnirani tako da korenito inficiraju sistem preuzimajući dodatne maliciozne programe koji se potom intaliraju na zaraženom sistemu. Trojan.Badlib je primer takvog malware-a koji služi kao distributivna mreža drugih maliciozniih programa. 
Kompanija Avast upozorila je korisnike na novi način na koji hakeri maskiraju maliciozne fajlove u Windows ekstenzije kako bi one izgledale korisnicima kao bezbedne za preuzimanje. Novi exploit kojeg je Avast nazvao Unitrix, zloupotrebljava Unicode za jezike koji se pišu s desna na levo, kao što su arapski ili jevrejski, maskirajući tako Windows-ove izvršne fajlove (.exe) u naizgled bezopasne .jpg i .doc fajlove. 
Ozloglašeni hakerski alat SpyEye dugo vremena je prokletstvo žrtava napada i istovremeno unosan biznis za sajber kriminalce. Sada bi situacija mogla biti i gora, procena je stručnjaka za kompjutersku bezbednost. Naime, istraživač i član tima “Reverse Engineers Dream Crew” Xyliton objavio je zakrpu za kod SpyEye Builder-a, za verziju 1.3.45, nakon što je nedavno uspeo da pronađe kopiju SpyEye Builder-a i objavio uputstvo za krekovanje identifikacije hardvera. 
Istraživači kompanije Trusteer upozorili su na otkriće mutantske verzije kompjuterskog crva Ramnit za koju sumnjaju da je kombinacija koda dva malware-a - ozloglašenog Trojanca koji krade podatke potrebne za prijavljivanje na online bankovne naloge Zeus i poznatog crva Ramnit. Win32.Ramnit, kompjuterski crv koji je stručnjacima za kompjutersku bezbednost poznat najmanje godinu i po dana... 
Proizvođač antivirusnog softvera BitDefender upozorio je korisnike Facebook-a na pojavu novog malicioznog programa kojeg su stručnjaci kompanije identifikovali kao Trojan.FakeAV.LVT. Trojanac za svoje širenje koristi tehniku društvenog inženjeringa čiji scenario izgleda otrpilike ovako: prijatelj potencijalne žrtve započinje razgovor preko Facebook chat-a na engleskom jeziku a poruke obično izgledaju ovako: “Hi. How are you?”, “It is yu on the video?” ili “Want to see?”, a potom se žrtvi nudi link ka kompromitujućem video snimku na kome se na navodno ona/on nalazi. 
Izgleda da su maliciozni programi koji napadaju MBR sektor hard diska ponovo u modi. Bar tako tvrdi istraživač kompanije Symantec Hon Lau u tekstu na kompanijskom blogu potkrepljujući to podacima o udvostručenju broja MBR malware-a u periodu između 2009 i 2010. godine, i ponovnom udvostručenju tokom 2011. godine. 
Modifikacija delova hard diska odgovornih za početno učitavanje sistema sve više postaje omiljeni metod napada sajber kriminalaca. Do sada su oni uglavnom koristili taktiku izmene MBR sektora (master boot record) ali sada njihove taktike uključuju i infekciju NTFS koda. 
Pre dvadesetak dana Micosoft je upozorio korisnike na maliciozni program Popureb predlažući korisnicima čiji su sistemi zaraženi ovim Trojancem drastično rešenje - reinstalaciju Windows-a. U međuvremenu je kompanija Prevx objavila besplatnu alatku za uklanjanje ovog malware-a tako da sada takva radikalno rešenje nije neophodno. 
Korisnici Windows-a čiji je sistem zaražen novim malicioznim programom iz grupe rootkit-ova koji je sakiven u boot sektoru (MBR - master boot record) moraju primeniti postupak reinstalacije Windows-a. Ukoliko je vaš sistem zaražen malware-om Trojan:Win32/Popureb.E... 
Kako tvrde istraživači, bot mreža poznata pod nazivom TDL, koja uključuje preko 4,5 miliona računara zaražena tokom poslednja tri meseca istoimenim Trojancem, TDL-4, praktično je neuništiva. TDL-4, poznat i pod nazivima Tidserv, TDSS i Alureon, je četvrta verzija Trojanca koji inficira Master Boot Record (MBR) sektor računara rootkit-om... 
Poslednji u nizu malicioznih programa iz grupe rootkit-ova dizajniranih za 64-bitne sisteme je ZeroAccess rootkit koji cirkuliše već izvesno vreme i koji ima brojne zanimljive kapacitete, uključujući i anti-forenzični mehanizam i monitoring na nivou kernela. 
Nove tehnike kodiranja zlonamernih kodova na veb sajtovima su dobar način za obmanu i korisnika i zaštitnog softvera. Nedavni napad na osCommerce, veb sajt za internet kupovinu, izveden je ubacivanjem skripte u PHP fajlove i to tako što je iskorišćena ranjivost u osCommerce softveru. 
Kaspersky Lab otkrila je novi višenamenski rootkit koji ugrožava i 32-bitne i 64-bitne Windows sisteme. Glavna karakteristika 64-bitnog rootkita je da on ne pokušava da zaobiđe PatchGuard zaštitu za kernel sistema, već umesto toga koristi poseban digitalni potpis za programere softvera. Rootkit se distribuira pomoću downloader-a, koji pored toga pokuašava da instalira druge štetne programe. 
Samo nekoliko nedelje nakon što se kod hakerskog alata Zeus pojavio na internetu još jedan sličan alat osvanuo je na internetu dostupan za besplatno preuzimanje. Black Hole, koji je jedan od najmoćnijih alata za hakerske napade se inače prodaje po ceni od 1500 dolara za godišnju licencu. 
Kompanija F-Secure upozorila je juče korisnike na pojavu novog Trojanca koji pokušava da iznudi novac od korisnika za navodnu reaktivaciju Windows-a pozivanjem određenog telefonskog broja pri čemu se poziv tarifira kao međunarodni. Kada zarazi računar, Trojanac objavljuje poruku u kojoj se tvrdi da je Windows “zaključan” i da se mora reaktivirati. 
Proizvođač antivirusne zaštite upozorio je na pojavu novog Java Trojanca nazvanog IncognitoRAT koji pogađa i Mac i Windows korisnike. On ima karakteristike slične onima koje imaju i drugi štetni programi pisani za Windows, ali koristi izvorni kod i biblioteke koje mogu funkcionisati i na drugim platformama. 
Istraživači su otkrili novu verziju veoma virulentnog ransomware programa GPCode koji inficira kompjutere korisnika i potom šifrira podatke sa hard diskova. Nova verzija programa koristi ACE enkripciju a od korisnika se zahteva plaćanje preko Ukash servisa u zamenu za ključ kojim će dešifrovati i povratiti podatke sa hard diska. 
Kaspersky Laboratorija identifikovala je novi štetni program - bootkit, kernel mod rootkit-a koji za sada pogađa samo kineske internet korisnike. Bootkit nazvan Rootkit.Win32.Fisp.a se distribuira pomoću downloader Trojanca (Trojan-Downloader.NSIS.Agent.jd) koji kompjutere korisnika inficira kada pokušaju da preuzmu video snimak sa kineskog pornografskog sajta. 
Istraživači kompanije Sophos identifikovali su novog Trojanca napisanog za Mac. Trojanac je nazvan BlackHole RAT (RAT - remote access Trojan) i a relativno lako se može pronaći na hakerskim forumima. Na veb sajtu YouTube može se pronaći i video prezentacija koja pokazuje šta se sve može da uradi ovaj Trojanac. 
Kompanija Trend Micro objavila je upozorenje nakon što je došla do prve kopije malicioznog programa pisanog za Linux koji inficira rutere. Malware nazvan ELF_TSUNAMI.R, koristi kombinovani napad za širenje sopstvenog koda. 
Kompanija Symantec upozorila je na BlackHole toolkit, moćni paket exploita, koji je trenutno najpopularniji hakerski alat koji se, prema broju pogođenih korisnika može uporediti sa kompletima kao što su Neopsloit i Phoenix. Nedavni izveštaj kompanije ukazao je da sajber-kriminalci sve češće koriste sofisticirane hakerske alate ovog tipa koje ne zahtevaju odlično poznavanje tehničke strane izvođenja sajber-napada. 
Novi Trojanac nazvan “OddJob” krade novac sa računa bankarskih korisnika preuzimanjem sesija onda kada korisnici misle da su se odjavili dok ustvari Trojanac ostaje ulogovan. Ovo otkriće istraživača kompanije Trusteer je potpuna novina u svetu zlonamernih programa... 
Kompjuterski crv Conficker je možda poražen, ali se ovaj maliciozni program i dalje nalazi unutar sistema milona korisničkih kompjutera širom sveta. To su zaključci Radne grupe za Conficker, koja okuplja proizvođače antivirusa i nekoliko drugih zainteresovanih strana... 
Exploit kits su paketi zlonamernih programa koji se uglavnom koriste za izvođenje “drive-by” napada sa ciljem širenja malicioznih programa. Ovi kompleti se prodaju na crnom tržištu gde se njihova cena kreće od nekoliko stotina do preko hiljadu dolara. Danas je uobičajeno i iznajmljivanje hostovanih exploit kompleta. Reč je, dakle, o konkurentnom tržištu sa mnogo igrača i mnogo autora zlonamernih programa. 
Istraživači kompanije Avira otkrili su novog Trojanca, maliciozni program koji krade podatke korisnika a koji je izgleda poreklom iz Kine. Trojanac je označen kao TR/Spy.Clickpal.A. Trojanac je napravljen tako da krade korisnička imena i lozinke sa popularnih veb-sajtova kao što su YouTube, Google, Yahoo, MSN, PayPal... 
Baš kao i programeri legitimnih programa, tako i autori zlonamernih programa žele da im se njihov rad isplati. Tako su kreatori Trojanca “Carberp” koji krade podatke korisnika sa računara korisnika unapredili ovaj maliciozni program dodavanjem nove funkcije koja otkriva i identifikuje antivirusni program... 
Proizvođač antivirusnog softvera, kompanija F-Secure, objavila je da nova verzija Trojanca Zeus ne inficira sisteme sa procesorima koji rade na manje od 2GHz. Kako bi izbegli rano otkrivanje i otežali posao analitičarima virusa, mnogi maliciozni programi prilikom pokretanja pokušavaju da utvrde da li se nalaze u kontrolisanom okruženju. 
Stručnjaci su upozorili korisnike Windowsa na iznenadan povratak na scenu jedne od najopasnijih porodica malicioznog softvera, takozvanom ransomware malicioznom programu (ransom, engl. - otkup, ucena), koji kodira fajlove na zaraženom računaru pre nego zatraži otkup za ključ kojim žrtva može da dekodira fajlove. 
U novijim verzijama Windows-a, posebno u Vista i Windows 7, Microsoft je predstavio brojne nove zaštitne funkcije dizajnirane da spreče pokretanje malicioznog koda. Međutim, napadači i dalje iznalaze nove načine da zaobiđu ove zaštitne funkcije, a poslednji primer je rootkit koji zaobilazi Windows-ovu zaštitnu sertifikaciju drajvera. 
ZeroAccess rootkit nije među najpoznatijim malicioznim programima u novijoj istoriji, ali nova, veoma detaljna analiza ovog programa pokazuje da je reč o savršenom primeru sofisticiranog malicioznog softvera kojeg napadači koriste za stalan, tihi upad u kompromitovane računare. ZeroAccess se koristi kao platforma za instalaciju drugih malicioznih programa na zaraženom računaru... 
Kompanija Trend Micro upozorila je korisnike na novi plug-in, PE_LICAT.A-O, koji omogućava Trojancu Zeus da kontinuirano iznova inficira računar novim verzijama malicioznog programa. PE_LICAT.A-O, kojeg je Trend Micros otkrio početkom oktobra, ubacuje se u izvršni proces i na taj način inficira memoriju pa svaki fajl koji posle toga bude pokrenut biva zaražen ovim malicioznim kodom. 
Ovaj rootkit je napravljen da prikrije maliciozne programske fajlove. Reč je o NT kernel drajveru. Njegova veličina je 17400 bajtova. Ukoliko vaš računar nema ažuriran antivirusni program, ili nema instaliran antivirusni program uopšte, sledite uputstva za brisanje malicioznog programa... 
Kaspersky Lab je upozorio korisnike na novu porodicu kompjuterskih crva koja se širi putem mnogih instant messaging klijenata. Ono što ove crve čini posebnim i veoma neobičnim u odnosu na slične maliciozne programe je višejezičnost i sposobnost infekcije korisničkih kompjutera putem nekoliko IM klijenata istovremeno, uključujući tu Yahoo! Messenger, Skype, Paltalk Messenger, ICQ, Windows Live Messenger, Google Talk i Xfire klijent za gejmere. 
Pozicija ozloglašenog Trojanca Zeus mogla bi biti ozbiljno uzdrmana novom “zvezdom” u usponu, malicioznim programom koji je nepoznanica za četiri od šest proizvođača antivirusnog softvera ali je zato već omiljen među kriminalnim grupama koje prazne bankovne račune širom Evrope i Amerike. 
Tehnički detalji - Trojan.Win32.Oficla.w je štetan program namenjen nevlašćenom pristupu i pokretanju drugih štetnih programa na računaru. Kada se pokrene, Trojan.Win32.Oficla.w se sam ekstrahuje i kreira windows fajl (.dll fajl -dynamic-link library) u sistemskom folderu koji sadrži sledeće štetne funkcije... 
Stuxnet je čudan slučaj. Širi se preko inficiranih USB memorijskih uređaja, koji sadrže rootkit kod, zajedno sa dva drajvera (nazvanim mrxcls.sys i mrxnet.sys) koja prema mišljenju stručnjaka služe da prikriju prisustvo malicioznog programa kako na USB uređaju tako i na kompjuteru, onda kada je on zaražen. Drajveri su potpisani validnim digitalnim sertifikatom koji pripada Realtek-u... 
Virut.ce je jedan od najrasprostranjenijih štetnih programa pronađenih na kompjuterima korisnika. On inficira izvršne fajlove koristeći najnovije metode i to je razlog zbog kojeg je otkrivanje i postupanje sa ovakvih fajlovima naročito otežano. Trenutno se većina štetnih fajlova širi zahvaljujući polimorfizmu sa strane servera. 
Trojan.Win32.Vilsel.ato je dizajniran tako da instalira i pokreće druge maliciozne programe na zaraženom računaru bez korisnikovog znanja ili dozvole. Reč je o Windows PE EXE fajlu, veličine 1083904 bajta. Kompresovan je nepoznatim pakerom, a veličina nekompresovanog fajla iznosi 2600 KB. 
