Nineball – przekierowania i infekcja stron

Pojawiło się nowe, poważne zagrożenie w Internecie, przed którym na razie trudno się bronić. Nineball przekierowuje użytkowników wpisujących w wyszukiwarkach słowa kluczowe do witryn zawierających złośliwy kod. Nawet 40 tysięcy stron WWW.

Kod Nineballa umożliwia wykonywanie wielopoziomowych ataków, polegających na przekierowaniu użytkownika i załadowaniu końcowej podstrony zawierającej gotowego do instalacji konia trojańskiego. Rejestrowany jest także adres IP ofiary. Wśród serwisów wykorzystywanych do przekierowania jest między innymi wyszukiwarka Ask.com.

Na początku cyberprzestępcy nie szkodzili komputerom. Ich celem było tylko zainfekowanie jak największej liczby stron. Aby uniknąć wykrycia atakujący wykorzystywali polimorficzny kod. W krótkim czasie zaczęli dystrybucję złośliwego oprogramowania przez serwis ninetoraq.

Schemat działania Nineballa (powiększ):

Kolejny etap polegał na sprawdzeniu komputera ofiary pod kątem luk istniejących w takich programach jak MDAC, AOL SuperBuddy, Acrobat Reader czy QuickTime. Znalezienie furtki skutkowało skopiowaniem zarażonego pliku PDF lub zainstalowaniem trojana wykradającego prywatne dane.

Aktualnie niestety żaden program antywirusowy nie jest w stanie wykryć wszystkich elementów Nineballa. Tylko trzy z 41 najpopularniejszych aplikacji usuwają jeden z exploitów.

Trojan Remover 6.7.9.2582

W dniu wczorajszym Simply Super Software wydał najnowszą wersję płatnego narzędzia przeznaczonego do zwalczania popularnych trojanów.

Trojan Remover potrafi również rozpoznać malware, robaki, komponenty spyware i adware. Program oprócz opcji skanowania posiada tez obszerną bazę danych dotyczącą szkodliwego oprogramowania, w której można znaleźć szereg informacji na temat zachowań konkretnych programów malware.

Trojan Remover jest przydantnym dodatkowym narzędziem oprócz posiadanego programu antywirusowego, gdyż nawet najlepszy płatny antywirus nie potrafi na bierząco śledzić i rozponawać wszelkie szkodliwe oprogramowanie oprócz wirusów.

Robak Worm.Conficker

robakKolejna niestety zła wiadomość dla wszystkich osób zajmujących się bezpieczeństwem w Sieci. W Internecie grasuje robak Worm.Conficker, który nadal stwarza zagrożenie. Każdego dnia szkodliwy kod chce zainfekować nawet 50 tys. komputerów. Łączna liczba zarażonych komputerów może sięgać już 10 milionów.
Od lutego do największej liczby infekcji doszło w Stanach Zjednoczonych, Brazylii i Indiach. W każdym z tych krajów przybyło po ponad 340000 zarażonych komputerów.

Wśród wielu wariantów Worm.Confickera najbardziej aktywne są odmiany B++ i C. Z kolei najnowsza mutacja robaka, Worm.Conficker.E kontaktuje się z domenami wykorzystywanymi przez robaka Worm.Waledac i korzysta z jego kodu umożliwiającego rozsyłanie spamu.

W tej chwili wiadomo, że robak internetowy stworzył potężny botnet czekający na polecenia. Specjaliści twierdzą, że robak Worm.Conficker będzie botnetem.

Gumblar – uwaga na wyniki wyszukiwania

cyber

W dalszym ciągu użytkownicy przeglądarki Internet Explorer powinni bardzo uważać na wyniki wyszukiwania Google.  Robak Gumblar niestety jest ciągle aktywny i przybiera coraz groźniejsze mutacje. O Gumlarze pisaliśmy również kilka dni temu.

CERT zaalarmował – nowa wersja robaka zaraziła w ostatnich dniach kilka tysięcy stron, do których odnośniki można znaleźć na pierwszych stronach wyników wyszukiwań Google.

Gumblar wykorzystuje luk w Adobe Flash i PDF,  instaluje na komputerach programy ułatwiające właściwy atak przez hakera. To niestety nie wszystko co oferuje Gumblar. Robak kradnie i przekazuje loginy i hasła do zasobów FTP. Aplikacja podmienia wyniki wyszukiwań w Googlu z domyślnej przeglądarki. Poprzednia wersja robaka Gumblar została zdiagnozowana w marcu. Google zaczęło natychmiast usuwać zarażone strony ze swoich wyników wyszukiwań.

Robak Gumblar

CyberUwaga na wyniki wyszukiwania w najpopularniejszej wyszukiwarce! Gumbar to szkodnik (robak), który przekierowuje klikających linki w wynikach wyszukiwania Google’a na zainfekowane strony WWW. Na szczęście aktualnie dzieje się tak tylko w Internet Explorerze (czyli większość polskich internautów nie jest narażona na atak). Wirus kradnie loginy i hasła FTP i instaluje w systemie furtkę dla hakerów.

Tak więc mamy kolejny bardzo ważny porzucenia tej przeglądarki!

Szkodnik pochodzi ze strony gumblar.cn