Kaspersky Lab descopera din nou o bombă cibernetică

Complexitatea şi funcţionalităţile noului malware le depăşesc cu mult pe cele ale ameninţărilor informatice cunoscute până în prezent.Kaspersky Lab a descoperit un program periculos extrem de sofisticat, care este folosit ca armă cibernetică împotriva mai multor ţări.

Acesta a fost descoperit de experţii Kaspersky Lab în timpul unei investigaţii iniţiate la cererea Uniunii Internaţionale a Telecomunicaţiilor (ITU), un organism specializat al ONU, cu sediul la Geneva. Programul periculos, identificat de produsele Kaspersky Lab cu numele Worm.Win32.Flame, a fost creat pentru spionaj cibernetic şi are capacitatea de a fura date confidenţiale, de a face capturi de ecran, a strânge informaţii despre sistemele atacate, fişierele stocate, datele de contact şi poate înregistra chiar conversaţii audio, dacă acel computer are ataşat un microfon (inclusiv de la camera web).

Cercetarea independentă a fost iniţiată de ITU şi Kaspersky Lab în urma unei serii de incidente provocate de un alt malware foarte periculos şi necunoscut până în prezent, numit Wiper. Acesta a şters informaţii de pe mai multe computere localizate în zona de vest a Asiei. Analiza Wiper este încă în desfăşurare, dar, în timpul procesului, experţii Kaspersky Lab, în colaborare cu ITU, l-au identificat pe Flame. Cercetările preliminare indică faptul că acest malware există „in the wild" (fără să fi fost detectat până acum) de mai bine de doi ani.

Cu toate că funcţionalităţile lui Flame diferă de cele ale deja celebrelor arme cibernetice Duqu şi Stuxnet, geografia atacurilor, exploatarea anumitor vulnerabilităţi software şi faptul că doar anumite computere sunt vizate de atacuri îl plasează în aceeaşi categorie a super-armelor cibernetice.

Citeste toata informatia aici...

Read More

Ai un telefon cu Android mare atentie la noul virus

Android-ul e in top ca fiind extrem de vulnerabil, cand vine vorba de securitate, iar in aceste zile a mai aparut un tip de probleme. Problema vine de la site-urile "rau voitoare" care, cu acordul sau fara acordul utilizatorului, ajung sa instaleze aplicatii si scripturi care ajung sa incetineasca sistemele utilizatorului.

In aceste aceste zile, un malware cu numele de "Not compatible" a fost sesizat de Lookout Security si confirmat apoi de Symantec. Not compatible vizeaza exclusiv dispozitivele cu Android si se mascheaza ca un update de securitate pentru utilizator in momentul in care accesati anumite site-uri infectate.

Retineti un lucru: un update pe care nu l-ai cerut sau nu stii de unde vine nu trebuie acceptat, indiferent daca apare pe smartphone, tableta sau pe computerul de la birou.

Din fericire, problemele de securitate pe Android nu sunt extrem de raspandite momentan, dar cel mai probabil nu va mai dura mult.

PS. Partea buna e ca momentan malware-ul nu este extrem de bine lucrat si inca necesita acordul utilizatorului pentru a fi instalat pe dispozitive.

Deci mare ATENTIE ! uita sa lasi un comentariu daca mai sti, si despre alte infectii aparute. Asa ne putem feri de ele.

---

Read More

Un nou troian - se cheama Flashback

Peste 600.000 de Mac-uri au fost infectate cu un virus informatic.

Un producător de anti-virus din Rusia a anunţat că mai bine de jumătate dintre calculatoarele care au fost infectate se află în Statele Unite.

Deşi sunt considerate a fi mai sigure ca PC-urile în ceea ce priveşte ameninţările virtuale, Mac-urile nu sunt 100% la adăpost de virusurile informatice. O demonstrează ultimul incident de acest gen, cărora i-au căzut victime peste 600.000 de Mac-uri din întreaga lume, dintre care peste jumătate dintre ele se află în SUA.

Virusul troian numit Flashback a fost descoperit de o companie producătoare de soluţii anti-virus din Rusia, Dr. Web. Scopul troianului Flashback este de a fura informaţii persoanale ale internauţilor.

Malware-ul a fost identificat iniţial în septembrie 2011, camuflat într-un kit de instalare a plug-in-ului Adobe Flash Player. Creatorii săi l-au îmbunătăţit însă în ultimele luni, iar acum a ajuns să se folosească de vulnerabilităţile Java pentru a ataca sistemele Mac.

Apple a lansat între timp un patch care rezolvă această vulnerabilitate.

Read More

Un nou VIRUS te poate lăsa fără INTERNET TEST-FULGER pentru al depista !

Un VIRUS te poate lăsa fără INTERNET din 8 Martie 2012. VEZI dacă ai computerul infectat

FBI ar putea recurge la o măsură extremă pentru a preveni efectele unui virus care a infectat computere din 100 de ţări. Poţi verifica dacă computerul tău este infectat cu ajutorul unui site.

Vorbim de un virus troian numit DNSChanger, creat, se pare, de un grup de rău-făcători din Estonia. Troianul DNSChanger îi face pe utilizatori să navigheze pe diferite website-uri false, create în scopul unor escrocherii, prin modificarea setărilor DNS ale calculatoarelor pe care le folosesc.

Utilizatorii de internet au la dispoziţie metoda explicată mai jos sau o variantă mult mai rapidă. Vorbim de site-ul dns-ok.us, care verifică dacă IP-ul tău este pe "lista neagră".

Dacă fundalul imaginii afişate pe acest site e verde (vezi imaginea de mai jos), computerul tău este în siguranţă, nefiind infectat cu troianul DNSChanger. În schimb, dacă fundalul este roşu, asta înseamnă că ai fost infectat cu DNSChanger.




CUM VĂ PUTEŢI VERIFICA SETĂRILE DNS
Metoda de verificare manuala.

a. Windows
i. Deschideți meniul de start
ii. Selectați Run
iii. Tipăriți: cmd.exe [si apasati ENTER]
iv. În fereastra nou deschisă scrieți urmatoarea comandă: ipconfig /all [și apăsați ENTER]
v. Cautați în informațiile furnizate liniile ce conțin “DNS Servers”. De obicei acestea sunt 2 sau 3 adrese IP. Notați aceste adrese IP.
b. Apple
i. Mergeți în System Preferences
ii. Selectați Network
iii. Selectați conexiunea folosită pentru acces la Internet (uzual AirPort sau Ethernet)
iv. Selectați Advanced
v. Selectați tab-ul DNS
vi. Notati adresele IP.
c. Router propriu
Malware-ul DNSChanger este de asemenea capabil să schimbe setările DNS a anumitor routere de tip SOHO (Small Office Home Office) cum ar fi: Linksys, D-Link, Netgear și Cisco, dacă numele de utilizator și parola sunt cele implicite. Pentru a depista dacă setările DNS ale routerului dvs au fost schimbate consultați manualul routerului, secțiunea “Servere DNS”. În cazul în care serverele DNS utilizate sunt în intervalul de adrese IP de mai jos, unul din calculatoarele conectate la routerul dvs este infectat cu DNSChanger.
Oricare dintre adresele de IP de mai jos reprezintă servere cu intenţii rele:
de la 85.255.112.0 la 85.255.127.255
de la 67.210.0.0 la 67.210.15.255
de la 93.188.160.0 la 93.188.167.255
de la 77.67.83.0 la 77.67.83.255
de la 213.109.64.0 la 213.109.79.255
de la 64.28.176.0 la 64.28.191.25

Dacă vedeţi oricare dintre aceste IP-uri, înseamnă că computerul (sau router-ul) vostru a fost infectat. Sfatul meu, cea mai bună soluţie este să apelaţi la un specialist pentru ajutor.

Asta pentru că, în afară de redirectarea traficului web al utilizatorilor către site-uri modificate, DNSChanger poate de asemenea afecta instalarea actualizărilor de securitate la nivelul sistemului de operare și al antivirusilor. Acest fapt ridică semnificativ riscul ca PC-urile sau Mac-urile să fie de asemenea vulnerabilă la infectarea cu un alt malware.

Read More

O nouă ameninţare informatică. Apar accidental şi sunt mai periculoşi decât viermii sau troienii

Viermii informatici se recombină accidental cu troienii care infectează computerele, la fel ca agenţii patogeni din natură, iar hibrizii rezultaţi au o putere mai mare de răspândire.

Aceşti hibrizii atacă haotic sistemele utilizatorilor, conturile bancare şi pun în pericol siguranţa datelor, într-un mod pe care nici cei care au creat aceste ameninţări nu l-au putut anticipa.

Un studiu realizat la începutul lunii ianuarie de către BitDefender a scos la iveală existenţa a peste 40.000 de astfel de hibrizi, dintr-un eşantion de 10 milioane de fişiere infectate.

Dacă un astfel de hibrid ajunge pe calculatorul utilizatorului, acesta se va confrunta cu grave probleme de ordin financiar, furt de identitate, sau cu valuri de spam trimise la întâmplare.

Descoperirea unui vierme informatic numit "Rimecud" ca fiind infectat de virusul Virtob, a cărui caracteristică este infectarea de fişiere ("file-infector"). Rimecud fură parolele asociate serviciilor de e-banking şi de cumpărături online, conturilor de reţelele de socializare sau de e-mail. Virtob, pe de altă parte, facilitează accesarea de la distanţă a calculatorului infectat, modifică privilegiile specificate în firewall şi îşi asigură prezenţa pe sistem injectându-şi codul într-un proces esenţial pentru sistemul de operare, şi anume Winlogon.

Acum, imaginaţi-vă aceste două ameninţări lucrând împreună pe acelaşi sistem infectat, acel PC se confruntă cu un malware de două ori mai puternic, cu mai multe centre de comandă şi control de la care primeşte instrucţiuni. Mai mult decât atât, avem de-a face cu două "backdooruri" funcţionale, două tehnici de atac diferite şi mult mai multe metode de răspândire la îndemână. Acolo unde una eşuează, cealaltă funcţionează.

Deci inca o data RECOMANDAREA mea este: mare atentie la ce email-uri deschide-ti, ce site-uri cu adresa url prescurtata vrei sa accesati, ce imagini de pe net vizualizati etc.

Read More

Analizeaza MRB in cautarea de Bootkits

---

MBR ( Master Boot Record), este primul sector aflat pe hard disk unui PC.

Bootkits sunt programe malware, care au capacitatea de a infecta sectorul de boot al hard disk (MBR) pentru a rula înainte de sistemul de operare si toate programele sale,inclusiv antivirus. Aceasta caracteristica le permite instalarea in PC foarte eficient si va fi mai greu de detectat.

Imaginea de mai jos prezinta un rezumat a ceea ce se intampla atunci cand porniti calculatorul:

Primul care se incaraca la pornire, este BIOS-ul un program care este stocat pe placa de baza a PC-ului. Dupa care se executa cod din primul sector de pe hard disk (MBR),care se ocupa de cautarea unui sistem de operare pentru a incepe, aici este zona unde se instaleaza bootkits modificand MBR-ul original si compromite tot ce se intampla după aceea.

Exista mai multe instrumente pentru analiza rapid a bootkits MBR cunoscute, mai jos veti gasi unul dintre aceste programe. Retine a eliminarea malware-ului depistat poate provoca o problema cu sistemul de boot si (posibil sa ai nevoie pentru a recupera MBR) , inainte de a elimina orice fisiere detectat studiazal cu atentie.

Tool Bootkit Bitdefender Removal este compatibil cu Windows 32 biti si 64 de biti, descarca si ruleaza pur si simplu programul pentru analiza MBR.



Descarca de aici: Bootkit Removal Tool 32 bits | pentru 64 bits

Read More

Alerta de Virus!!! - Malware !!!

Atenţie! Osama bin Laden răspândeşte viruşi prin linkuri cu presupuse fotografii ale morţii sale.

FBI avertizează oamenii să nu deschidă linkuri nesolicitate cu poze sau videoclipuri care ar înfăţisa moartea lui Osama bin Laden, întrucât acestea ar putea fi viruşi.

FBI atrage atenţia că aceste linkuri nu trebuie deschise nici dacă sunt primite de la oameni cunoscuţi, întrucât viruşii ar putea infecta computerele şi ar putea fura informaţii personale.

"Software-ul maliţios sau malware-ul poate intra în computere şi se poate trimite singur prietenilor din listele de contact", spune FBI într-un comunicat de presă.

Linkuri care susţin că îl arată pe bin Laden în timp ce este ucis au fost deja împrăştiate pe Facebook şi pe alte reţele de socializare. Unele linkuri susţine că au "filmări exclusive" sau informaţii de la WikiLeaks sau CNN. O dată ce utilizatorul apasă pe link, acesta apare automat pe paginile tuturor prietenilor săi de pe Facebook.

FBI cere ca utilizatorii de computere să se asigure că antivirusurile lor sunt actualizate, pentru a detecta orice software maliţios.



Kaspersky Lab avertizează că în ultimele două zile Internetul a fost luat cu asalt de ştiri, informaţii şi link-uri false legate de moartea lui Osama bin Laden, răspândite de infractorii cibernetici cu scopul de a infecta cu malware utilizatorii. Cele mai vizate par a fi reţelele sociale – de exemplu, pe Twitter, în ultimele 24 de ore s-au înregistrat în medie 4000 de tweet-uri pe secundă, multe dintre ele conţinând link-uri periculoase.

Metoda folosită de infractorii cibernetici este cunoscută sub numele de Blackhat SEO, prin care aceştia încearcă să influenţeze, prin metode ilegale, rezultatele afişate de motoarele de căutare atunci când un utilizator vrea să afle informaţii despre un anumit subiect, în acest caz uciderea lui Osama bin Laden. De exemplu, în cursul zilei de luni au fost identificate rezultate afişate de Google Images care, dacă erau accesate, redirecţionau vizitatorii către două site-uri periculoase: ***-antivirus.cz.cc/fast-scan/ şi ***pe-antivirus.cz.cc/fast-scan/. Principalul scop al acestora era de a răspândi un program antivirus fals – „Best Antivirus 2011”. Nici utilizatorii de sisteme Apple Macintosh nu au fost ocoliţi, aceştia având şi ei un domeniu „dedicat” - ***-antivirus.cz.cc/fast-scan2/ - de unde puteau instala două programe false – “Best Mac Antivirus” şi “MACDefender”.

„Totul a luat amploare pe reţelele sociale, Facebook şi Twitter devenind canale principale de răspândire a link-urilor periculoase şi a informaţiilor false”, spune Ştefan Tănase, Senior Regional Reasercher Kaspersky Lab. „Oamenii sunt foarte curioşi în această perioadă să vadă primele imagini sau înregistrări video cu Osama bin Laden, de aceea infractorii cibernetici răspândesc informaţii false pentru a-i determina pe utilizatorii neştiutori să dea click pe anumite link-uri periculoase. Chiar şi în România am asistat unei astfel de epidemii pe Facebook, unde foarte multă lume ajungea să răspândească automat link-uri periculoase pe wall-urile prietenilor fără a şti acest lucru”, completează Tănase.

Utilizatorii trebuie să reţină faptul că există un risc foarte ridicat de a se infecta cu malware în această perioadă, iar Kaspersky Lab recomandă accesarea doar a surselor de informare cunoscute şi evitarea celor care nu prezintă foarte mare încredere. De asemenea, pe reţelele sociale propagarea de link-uri false se face cu rapiditate, de aceea este preferabil ca utilizatorii să nu dea click pe link-uri ce promit dezvăluirea de fotografii şi filme cu Osama bin Laden mort, chiar dacă acestea vin de la prieteni care, la rândul lor, nu ştiu că au conturile infectate.

Nu în ultimul rând, utilizatorilor le este recomandat să folosească o suită de securitate avansată, cu toate actualizările la zi şi să se asigure că software-ul de pe computer, inclusiv sistemul de operare, se află la zi cu toate update-urile de securitate.

Deci mare ATENTIE!!!

Read More

Aplicaţii pentru Android au fost infectate cu malware

---

Lookout, o companie care monitorizează securitatea aplicaţiilor pentru Android, Blackberry şi Windows Mobile, anunţă că există peste 50 de aplicaţii periculoase pe piaţă.

Un nou troian care afectează dispozitive Android a apărut recent în China numit "Geinimi", acest troian poate compromite o cantitate semnificativă de date cu caracter personal pe telefonul unui utilizator şi trimiterea acestora la serverele de la distanţă.

Odată ce malware-ul este instalat pe telefonul unui utilizator, aceasta are potenţialul de a primi comenzi de la un server de la distanţă, care permite proprietarului acestui server controlul telefonul infectat.

DroiDream un program malware cu o aplicaţie, care, odată instalat în telefon, trimite mesaje scrise către numere de telefon premium, care taxează utilizatorii şi le aduc profit hackerilor.

Deci mare atentie! Spre deosebire de App Store-ul de la Apple, care scanează toate aplicaţiile înainte de a le aproba pentru produsele Apple, Google permite dezvoltatorilor să încarce aplicaţiile pe Android Market fără să treacă prin procesul sinuos de la App Store.

Pentru a vedea restul aplicatiilo ce iti poate infecta telefonul cu Android mergi la pagina oficiala The Official Lookout

Read More

Un nou trojan - infecteaza sistemele MAC OS X

Pe Internet a aparut un nou trojan "BlakHole RAT - Remote Access Trojan" ce infecteaza sistemele de operare MAC.

Acest trojan pe numele sau RAT creat de MusMinim si este o varianta a unui trojan cu functii de control la distanta de pe Windows cunoscut sub numele de darkComet.

Conform Sophos gradul de infectie este scazut si acest malware poate fi eliminat la o scanare cu un program antivirus bun.Infectarea cu acest malware se face prin download direct de moment, dar in viitor poate intra in sistem prin diverse vulnerabilitati din Safari sau alte aplicatii.

Se manifesta prin aparitia a diverse texte pe Desktop,pc intra in stand by,o sa primeasca comenzi de restart sau inchidere, comenzi arbitrare executate in shell. De asemenea afiseaza ferestre false in care cere utilizatorului parola de administrator. Trimiterea de adrese URL la client pentru a deschide un site Web fara accept etc.

Mai multe informatii gasiti pe Sophos

Read More

Programe antivirus false !!!

In ultimele zile au aparut mai multe programe antivirus false care au un lucru in comun, fondul de culoare portocaliu.

<<<--- Vezi imaginea din stanga. Deci mare ATENTIE! Interfaţa aceste aplicaţii malware este deja cunoscute si am mai vorbit despre ea recent si recomandam mare atentie cu ori ce program care are acest design, dincolo de numele său, culoare şi logo. Asa arata interfata unuia dintre aceste false programe antivirus.
Odată instalat infectaza sistemul şi generaaza multe probleme, în plus afiseaza avertismente false că, victimele sa cumpere o licenţă online cu datele de pe cardurile de credit.

Dacă PC-ul tau este infectat cu oricare dintre aceste programe, aminteste-ti că poti sa il desinstalezi si sa il cureti cu un antivirus bun (Avast , Norton , Panda , BitDefender , AVG 9 etc)

Read More

Un nou tip de vierme, răspândit prin intermediul mail-urilor

Noul vierme Email-Worm.Win32.Hlux ocupă o poziţie fruntaşă în topul celor mai răspândite ameninţări informatice din luna ianuarie 2011, anunţă experţii Kaspersky Lab, cei care au redactat aceste top. Ei atrag atenţia asupra acestui vierme, răspândit prin intermediul e-mail-urilor care conţin un link infectat ce recomandă utilizatorilor să instaleze o versiune falsă de Flash Player pentru a viziona o presupusă felicitare electronică.

Imediat ce link-ul din mesaj este accesat, o fereastră de dialog întreabă utilizatorul dacă este de acord să descarce fişierul. Indiferent de răspunsul acestuia, viermele încearcă să pătrundă în sistem. Pe lângă faptul că se transmite prin e-mail, Hlux are şi funcţionalitate de „bot”, inserând computerele infectate într-o reţea de tip botnet, înainte de a se conecta la serverele sale de comandă şi control pentru a executa operaţiunile cerute de infractorii cibernetici. Scopul principal al acestui vierme este trimiterea de spam farmaceutic de pe computerele infectate.

În ianuarie a fost observată o creştere semnificativă a link-urilor scurte infectate trimise prin intermediul Twitter. După un număr de redirecţionări, acestea aduceau utilizatorul pe o pagină web care promova un program antivirus fals. De asemenea, o altă tendinţă o reprezintă răspândirea cu rapiditate a adware-ului. AdWare.Win32.WhiteSmoke.a, clasat pe locul 12 adaugă un shortcut numit „Improve your PC” pe desktop fără a cere acordul utilizatorului. Dacă se execută click pe acel shortcut, este descărcat automat un program care cere plata unei sume de bani pentru repararea unor presupuse erori de sistem.

"Fraudele informatice se realizează numai prin participarea utilizatorilor"
Deci mare ATENTIE! la email-uri primite.

Alt tip de virus aparut la sfarsitul anului 2010 - citeste aici

Read More

Un virus care iti testeaza inteligenta !!!

Win32.Worm.Zimuse.A este un virus foarte periculos si potrivit experţilor BitDefender,Avast si AVG noul malware combină compartamentul distructiv al unui virus cu mecanismul de răspândire al unui vierme.Deghizat sub forma unui test de inteligenţă, Win32.Worm.Zimuse.A reprezintă o ameninţare periculoasă , deoarece provoacă pierderi de date majore prin rescrierea primilor 50 KB din MBR (Master Boot Record), o zonă vitală a hard disk-ului. Imediat ce acesta este executat, viermele va crea între 7 şi 11 fişiere-copii (în funcţie de variantă) în zonele critice ale sistemului Windows,infectarea sectorului de boot duce la imposibilitatea rulării sistemului de operare.Ce este mai grav,după 40 de zile de la infectare, utilizatorul computerului primeşte un mesaj de eroare similar cu cel din imagine.

După afişarea mesajului, la următorul restart sistemul nu va mai putea porni , deoarece sectorul de boot al hard disk-ului a fost compromis definitiv,singura solutie fiind formatar PC-ul si reinstalar Windows-ul.

Dupa acelesi surse Win32.Worm.Zimuse.A nu poate infecta sistemele de operare pe 64 de biţi.

Deci intr-un cuvant mare ATENTIE! la "teste de inteligenta pe Internet".

Read More