Mailem opět chodí faktury obsahující ransomware. Stačí otevřít ZIP a spustit v něm uložený JavaScript

Osvědčený systém posledních týdnů se včera a dnes vrátil s masivními mailovou kampaní šířící stále totéž – ZIP obsahující JavaScript. Ten se při spuštění postará o stažení a spuštění ransomware. Aktuální kampaň má předmět „New Invoice“ a tváří se jako faktura. Windows Defender to velmi rychle zachytává jako Locky.A, což je poměrně známá varianta ransomware (viz například Look Into Locky Ransomware)

2016-05-28 19_17_42-Spam (550) - daniel@justit.cz - JustIT.cz Mail

2016-05-28 19_18_05-Start

Nezapomeňte, že pokud by se někomu podařilo .js (JavaScript) soubor spustit a nezasáhl by antivirový program (nebo antimalware program), má poměrně dost zásadní problém. Ransomware napadne systém, zašifruje soubory a neumožní je získat zpět bez zaplacení.

2016-05-28 19_19_49-Start

Pokud netušíte o co v případě ransomware jde, tak viz Co je to ransomware?

E-mailem opět chodí falešné faktury obsahující, jak jinak, virus

Nová vlna „faktur“  v angličtině, majících řadu náhodných odesilatelů obsahuje přílohu v podobě dokumentu vypadajícího jako z Wordu, ale ve skutečnosti obsahující virus. Microsoft Defender ve Windows 10 klasicky o škodlivém obsahu nemá nejmenší ponětí, ale pokud zkusíte soubor předložíte některé z dostupných služeb na kontrolu na viry, tak velmi rychle zjistíte, že otevírat to by byl opravdu špatný nápad. Jedna z detekcí přitom ukazuje na W97M/Adnel, tedy škodlivé makro ve Wordu či Excelu.

2016-02-19 18_44_43-Spam (327) - daniel@justit.cz - JustIT.cz Mail

To se ve skutečnosti postará (za předpokladu že po otevření povolíte spuštění makra) o stažení samotného viru, což odpovídá i další detekci na Trojan-Downloader:W97M/Dridex.S – tradičně tento virus patří k těm, které jdou po přihlašovacích údajů do bankovnictví.

2016-02-19 18_46_31-Antivirus scan for 637026f5eddf5ccda31b3b88485d7e3dd8558d8c4e8b94b8be6cdd7b6d827

2016-02-19 18_54_28-view invoice_feb-12401412.doc - Far 3.0.3367 x64

Dodatek 12 hodin po vydání. Windows Defender už virus detekuje, označuje jako ho jako W97M/Bartallex.

2016-02-20 07_56_08-Windows Defender

 

Kaspersky: Spammeři v Q3 zneužívali prázdninová témata

Spam ve třetím čtvrtletí letošního roku tvořil 54,2 % e-mailové komunikace. Objevil se také nový phishingový trik, jak obejít spamové filtry. Podvodné odkazy a text zprávy byly namísto v těle e-mailu umístěny v přiloženém PDF dokumentu. Ukázala to čtvrtletní zpráva společnosti Kaspersky Lab „Spam and Phishing in Q3 2015“. Pokračovat ve čtení „Kaspersky: Spammeři v Q3 zneužívali prázdninová témata“

Aktualizace Mac OS X proti Mac Defender malware je nefunkční

Mac Defender malware se velmi rychle přizpůsobilo nové verzi Mac OS X – ta měla zabránit nekontrolovatelnému šíření malware. Zhruba osm hodin po uvolnění aktualizace se objevila nová verze Mac Defender malware

Apple vstoupilo v květnu do nového světa – světa, který uživatelé Windows důvěrně znají dlouhé roky. A pro řadu uživatelů Mac OS X bude nový svět velmi překvapivý – bez kvalitního antivirového software se neobejdou. Uzavřenost Apple světa se neukázala jako dostatečná ochrana proti malware – Mac Defender našel cestu do operačního systému klasicky bez nutnosti interakce s uživatelem. Apple nejprve celý problém ignorovalo, Apple Store dostalo nařízeno se zákazníky problém vůbec neřešit, ale nakonec Apple rezignovalo.

Nová verze Mac OS X měla problém s Mac Defender malware odstranit – podařilo se jí to na několik hodin. Nový Mac Defender v podobě „mdinstall.pg“ se opět úspěšné šíří. Apple sice pro Mac OS X nabízí „antivirové“ řešení, ale v porovnání s klasickými antiviry na Windows nejde ani tak o antivirus – sleduje pouze stahované soubory, porovnává je s databází nebezpečných souborů a stažení případně zablokuje.

S novou verzí Mac OS X Apple přešlo na denní automatickou aktualizaci databáze škodlivých souborů – chybí ale jakákoliv heuristika a další pokročilé metody detekce virů a malware.

Tvůrci virů a malware se naučili využívat Google Images

V More on Google image poisoning najdete detailní informace o způsobu využití Google Images, tedy vyhledávání obrázků, pro malware a viry. Nejčastější zneužití spočívá v přesměrování příchodů z Google Images na falešné antiviry.

Útočníci přitom využívají ve velké míře kompromitované (hacknuté) weby – na tyto weby umisťují PHP skripty, které generují obsah pro Google indexovací roboty podle toho, jaká klíčová slova zrovna chtějí využívat. Zajímavé je i to, že útok probíhá přímo na Google Images – není ani nutné, aby došlo k návštěvě webu – využívá se přitom toho, že Google zobrazuje „náhled“ na obrázek i web.

A právě web je zobrazen přímo v „pozadí“ – škodlivý skript tak snadno zjistí, že je zobrazen z Google a pokusí se o útok na počítač uživatele.

Útočníci už tímto způsobem využívají Google Docs více jak měsíc – Google bohužel zatím s žádným řešením nepřišel a jediné co občas udělá je odstranění informací z indexu vyhledávače.

Nejčastější využití je v podobě falešných antivirových programů (FakeAV) – uživateli je zobrazeno „varování“ falešného antivirového programu, včetně falešných výsledků o nalezených virech. Následně je mu nabídnut „antivirus“, který je ve skutečnosti malware.

Pokud vás zajímá konkrétní příklad, najdete jej například v Google Image Searches Leading To FakeAV Sites

Kaspersky TDSSKiller – detekce a odstranění rootkitů

TDSSKiller určitě neodhalí všechny rootkity, ale za vyzkoušení stojí – zkontroluje služby, ovladače a boot sektor a měl by stačit tam, kde se v systému uchytí některý z nejčastěji se vyskytujících rootkitů (TDSS, Sinowal, Whistler, Phanta, Trup, Stoned).

TDSSKiller (How to detect and remove unknown rootkits) je malý program bez nutnosti instalace. Po stažení TDSSKiller.zip postačí archiv rozbalit a spustit TDSSKiller.exe. Ten můžete spouštět v klasicky spuštěných Windows i v případě, že jste spustili „Safe Mode“ a řešíte problémy se systémem.