Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus

Archív

Archív pro ‘Virus Lab’ Kategorie
11.04.2014

Jede traktor, je to Zetor, veze s sebou redirektor…

Jeden z mých kolegů z Virus Labu je velkým fanouškem punkové skupiny Visací zámek. Řekl si, že by si o víkendu rád zapogoval a šel hledat termíny a místa koncertů. Místo toho se však dočkal pouze hlášení o infekci… Jaké bylo naše překvapení, když jsme zjistili, že se jedná o infekci kvůli zranitelnosti, kterou jsme začali detekovat již na konci minulého roku, 27. prosince, jako JS:Redirector-BJB.

visaci.cz_

Jedná se o zneužitou chybu OpenX serveru (v tomto případě hxxp://th.y-co.de), který se používá k distribuci reklamy. Přestože jsme očekávali, že po více než třech měsících bude většina serverů aktualizovaná, dle našich statistik se s těmi infikovanými denně setkává zhruba 30 tisíc našich uživatelů a jedná se tak o jednu z nejrozšířenějších hrozeb na internetu.

kod_puvodni

Na printscreenu škodlivého kódu si můžete všimnout enkryptované části, která využívá prakticky stejného mechanismu, o jakém jsme vás informovali již na začátku minulého roku. Po jejím přeložení do srozumitelného kódu dostáváme tento krátký javascript:

kod_deobfuskovany

Kód je snadno čitelný; pokud jste na stránce poprvé (kontrola cookie) a používáte jako prohlížeč Interner Explorer, načte obsah hxxp://seriz.biz. Tato doména je již dávno nefunkční, ale kdo ví, jestli ji autoři tohoto malwaru zase někdy nezapnou.

O tom, jak vyčistit váš infikovaný OpenX server, jsme radili na našem blogu na začátku roku. Již jsme také kontaktovali administrátory webových stránek Visacího zámku, aby výše uvedený škodlivý kód smazali. S avastem jste ale proti takovým útokům chráněni už nyní!

Děkujeme, že používáte avast! Antivirus a doporučujete nás svým přátelům a rodině. Pokud chcete zůstat v obraze, sledovat novinky a probíhající soutěže, sledujte nás také na Facebooku, Twitteru, Google+, Instagramu a Pinterestu. Podnikatelé – podívejte se na naše firemní produkty.

07.03.2014

AVAST varuje před nebezpečnou aplikací z Google Play!

Jakým největším hrozbám nyní čelíme na oficiálním trhu mobilních aplikací určených pro platformu Android, na Obchodě Google Play?

Oficiální obchody s mobilními aplikacemi jsou hlavními zdroji, ze kterých si aplikace do svých mobilních zařízení primárně stahujeme. Experti nám radí, abychom tyto oficiální obchody využívali, neboť jsou obecně uznávané za bezpečné. Ale jsou tyto zdroje opravdu důvěryhodné? Někteří odborníci nicméně tvrdí, že: “Žádný malware na Androidech neexistuje a bezpečnostní společnosti se nás snaží jen vystrašit. Buďte v klidu a nestrachujte se.” Jak to tedy je?

GP - Copy

Již dříve jsme vás informovali o škodlivém malwaru, který se snaží do vašich chytrých telefonů  a tabletů dostat. Nyní pro vás máme zcela čerstvé varování, které doposud nebylo jiným bezpečnostním poskytovatelem zaznamenáno. Náš Analytik mobilních virů a malwaru Filip Chytrý potvrdil, že:

Aplikace “Cámara Visión Nocturna”, která je momentálně na Obchodu Google Play dostupná, je určitě něco, co na svém Androidu mít nechcete.

S kolegou Chrysaidosem Nikolaosem se tak na aplikaci rozhodli podívat trochu z blízka. Již při spuštění si můžete všimnout neobvyklých požadavků, které vyžadují využívání pouze vašeho fotoaparátu. Aplikace se pokouší analyzovat telefonní čísla z komunikátorů jako jsou WhatsApp nebo ChatOn za účelem přihlášení k prémiové SMS službě. Jakmile telefonní čísla obdrží, odešle je a zapíše na seznam prémiových SMS.

A voilà! Byly vám odečteny cca 2 Eura (2,8 Dolarů)! A ptáte se za co? Za nic! Tímto snadným a rychlým trikem si zloději vydělají vaše peníze.

Bohužel to ještě není vše. Aplikace je schopná odeslat více těchto SMS, dokud nedosáhne hranice 36 Eur (50 Dolarů) za měsíc. Poté obdržíte zprávu z čísla “797080″, která odloží odesílání prémiových SMS. Ale nemusíte se obávat – AVAST  tyto hrozby detekuje, a proto s  naší bezplatnou aplikací avast! Mobile Security budete v bezpečí.

Děkujeme, že používáte avast! Antivirus a doporučujete nás svým přátelům a rodině. Pokud chcete zůstat v obraze, sledovat novinky a probíhající soutěže, sledujte nás také na  Facebooku,  Twitteru,  Google+,  Instagramu  a  PinterestuPodnikatelé – podívejte se na naše firemní produkty.

Comments off
05.03.2014

Několik otázek pro Filipa, našeho analytika mobilního malwaru

FCHFilip Chytrý se k AVASTu připojil v roce 2009 jako čerstvý absolvent aplikované kybernetiky z Hradce Králové a v té době pořádně ani netušil, co ho ve firmě bude čekat. Rozhodl se dát pracovní nabídce s názvem “Virus Analytik” šanci, neboť v té době pro něho zněla jako něco spojeného se Star Trekem. :-) Nevěřil, že ho nakonec na pozici přijmou, o to to bylo větší překvapení, když zakotvil ve Viruslabu, v týmu expertů přes viry a malware. Zprvu to pro něho byla trochu španělská vesnice, po pár měsících ale do tématiky pronikl a začal se pomalu cítit jako ryba ve vodě. Začínal na analýze PE souborů (klasických programů pro Windows) a postupně pokračoval přes exploity a malware na webech. Pár let nazpět, v době největšího boomu Androidu, se Filip začal zajímat o malware na této platformě, a to se stalo jeho hlavní pracovní náplní až dodnes. Filip tedy analyzuje malware pro zařízení Android a zároveň informuje širokou veřejnost o tom, co na ně v mobilních zařízeních může číhat. Jeho poslední prezentaci na téma “Reálné hrozby mobilních technologií” jste si mohli poslechnout na nedávné konferenci News Media Inspiration. Pojďme se tedy podívat, co nám Filip o mobilních hrozbách poví:

1. V čem spatřuješ největší hrozby mobilních technologií?

“Největší problém v dnešní době je nedostatečná informovanost uživatelů. Lidé si pořád nezvykli, že jejich mobilní zařízení jsou mnohdy výkonnější než počítače, které měli doma před pár lety. Z toho také vyplývají rizika, která jim hrozí. Mobilní zařízení máte dneska stále s sebou, a to o vaší osobě vypovídá spoustu věcí. Většina lidí si to ani neuvědomuje, ale je schopné např.  zaznamenávat vaši polohu, brouzdáte s ním po internetu, platíte v obchodech – je to v podstatě taková malá sbírka informací a dat o vaší osobě, která je snadno zneužitelná. Zneužít se dá prakticky cokoliv, od údajů vaší platební karty uložené v telefonu přes polohu, kde se nacházíte, případně kde nejčastěji nakupujete a co vyhledáváte na internetu k cílené reklamě přímo na vaši osobu. Oblíbené jsou také placené premiové SMS. To je v podstatě nejsnažší způsob, jak z vás vylákat peníze. A buďme upřímní – i útočníci potřebují peníze a nedělají to zadarmo.”

2. Jaké mobilní útoky na nás (resp. uživatele Androidu) aktuálně nejvíce číhají?

“Jak už jsem zmínil, oblíbené jsou placené SMS služby. Je to jeden z nejlehčích způsobů, jak z uživatele vysát nějaké peníze. Software dost často ani nemusí být zavirovaný. Například nějaká oblíbená hra, která je bežně placená, ale uživatel si ji najde na jiných serverech za 1/10 ceny ke stažení po zaslání SMS. Pak už je jenom překvapen, že hru nedostane a peníze jsou fuč, případně dostane třeba jinou, běžně bezplatnou hru. V poslední době také zaznamenáváme nárůst sofistikovanějších hrozeb. Už se nejedná jen o malware, který ihned zneužije vaše zařízení. Získá například přístup k veškerým funkcím a vyčkává na příkaz od utočníka, jak je dále zneužít.”

 3. Jak se může člověk proti zneužití svých mobilních zařízení bránit?

“Bude to znít jako klišé, ale antivirus by bylo jedno z mých doporučení na prvním místě. Většina antivirů je dostatečně aktualizovaná na to, aby dokázala zabránit nejvíce rozšířenému malwaru ve zneužití vašeho mobilního miláčka. Další doporučení je používat oficiální markety (online obchody) s aplikacemi a nepokoušet se experimentovat. Z tohoto pohledu je dobré mít v telefonu nastavené, aby se vám automaticky neinstalovay aplikace z neznámých zdrojů. A hlavně zdravý rozum. Stačí se někdy zamyslet nad pár kroky, které jsem už podnikl a uvažovat, jestli to, co je vám aktuálně nabízeno, není podezřelé.”

Filip Chytry_NMI

Comments off
24.01.2014

Falešný email od WhatsApp vám nainstaluje do počítače trojan Zeus

whatsapp-logoUž jste obdrželi email od společnosti WhatsApp? Ne? To proto, že tato společnost obvykle svým uživatelům posílá zprávy přímo přes samotnou aplikaci a nejčastěji informuje o aktualizacích aplikace. Pokud jste nedávno obdrželi email od WhatsApp, radíme vám ho neotevírat a okamžitě ho smazat. Jedná se o klamnou zprávu a email obsahuje malware.

Během posledních pár dnů se rozšířil email od “WhatsApp Messengeru” s předmětem “Missed voice message” (neboli “Zmeškaná hlasová zpráva”). Zpráva nabádá své příjemce, aby si stáhli přiložený zazipovaný soubor s názvem “Missed-message.zip”.

Náš expert z Virus Labu, Peter Kálnai, řekl:

Posílat emaily se zmeškanými hovory nebylo nikdy strategií společnosti WhatsApp, jinak tomu není ani dnes. Namísto hlasové zprávy podvodný email obsahuje zazipovanou přílohu, pomocí které lze spustit soubor pod stejným názvem missed-message.exe. Tento soubor je schopný stáhnout jakýkoliv malware, který chtějí útočníci do počítače oběti nainstalovat, zahrnující trojan Zeus, známý také jako nejnebezpečnější bankovní trojan.

Zeus tiše běží v pozadí počítače, dokud se uživatel nepřihlásí do internetového bankovnictví. Jakmile je přihlášen, Zeus posbírá osobní data a informace o finančních transakcích.

Oblíbený IM (Instant Messaging) komunikátor WhatsApp nedávno oznámil, že nyní službu poskytuje 430 miliónům uživatelů s chytrými telefony typu Android a iPhone. Pro WhatsApp se jedná o veliký úspěch, na druhé straně to z něj dělá lákavý cíl pro kyber-podvodníky, neboť počet potenciálních obětí je obrovský.

Ochrání vás avast! Antivirus před WhatsApp malwarem?

Ano! AVAST zaznamenal zazipované soubory, které se šíří v různých variantách a chrání před touto hrozbou více jak 200 miliónů svých uživatelů. Kromě využívání avast! Antiviru uživatelům doporučujeme zapojit selský rozum a řídit se heslem dvakrát měř, jednou řež, jakmile obdrží neznámý email, který obvykle tímto způsobem své uživatele neoslovuje. Obecně, důvěryhodné společnosti neposílají přílohy v emailech, pokud si vyloženě nějaké dokumenty nevyžádáte. Takže neotevírejte žádné přílohy, pokud jste o ně nežádali, a buďte vždy opatrní, když stahujete soubory z internetu.

Děkujeme, že používáte avast! Antivirus a doporučujete nás svým přátelům a rodině. Pokud chcete zůstat v obraze, sledovat novinky a probíhající soutěže, sledujte nás také na FacebookuTwitteruGoogle+Instagramu a Pinterestu. Podnikatelé – podívejte se na naše firemní produkty.

Comments off
22.01.2014

Jak vyčistit hacknutý OpenX server

cleanup_noframe

Vánoce jsou svátky klidu a míru, to ovšem naplatí pro hackery a tvůrce malware. Během zimních svátků AVAST Virus Lab objevil novou infekci, která se šíří pomocí napadených serverů s nainstalovaným reklamním systémem OpenX. avast! je zatím jediným antivirem, který tuto hrozbu detekuje, což u uživatelů budí dojem že jde o falešný poplach. Mohu Vás ujistit, že se jedná o skutečnou hrozbu.

Označení je JS:Redirector-BJB nebo JS:Redirector-BJC a tato infekce byla potvrzena na 930 serverech provozujících OpenX po celém světe. To znamená, že denně je od nákazy zachráněno nejméně 130 tisíc lidí používajících avast! antivirus.

Průběh nákazy serveru a důsledky pro uživatele, který tuto stránku navštíví, jsou popsány v nedávném příspěvku o malvertisingu. Dnes bych se rád zaměřil na to, jak správně vyčistit, aktualizovat a zabezpečit infikovaný server. Pod tímto odstavcem můžete vidět pět nejvíce navštěvovaných a zároveň infikovaných serverů. Je mezi nimi i ten Váš?

  1. openx.skinet.cz
  2. ads.qiuck.cz
  3. ads.czol.org
  4. adone.multimedia.cz
  5. nase.broumovsko.cz

Pokud používáte OpenX nebo Revive AdServer před verzí 3.0.2,  nejste zabezpečeni!

Níže najdete několik bodů, které Vás provedou procesem čištění, mějte ale na paměti, že aktualizace na poslední verzi Revive AdServer je nezbytná, jinak bude mít server známé bezpečnostní problémy.

backup1. Zálohování souborů – Stáhněte všechny soubory z FTP do svého počítače a oskenujte je antivirovým programem. Pokud je nějaký soubor označen jako škodlivý, smažte ho okamžitě z FTP. Pokud je to možné, zálohujte i databázi pro případ, že nastanou problémy při aktualizaci.

check2. Hledání zadních vrátek - Hledejte na FTP soubory, které tam nepatří. Můžete je poznat například podle data vytvoření (soubor s jiným datem než ostatní v adresáři) nebo podle zašifrovaného obsahu. Také můžete porovnat zdrojové kódy oficiální instalace se svými a odhalit nově přidané soubory. Pokud používáte OpenX ve verzi 2.8.10, smažte soubor ”flowplayer-3.1.1.min.js“, protože obsahuje zadní vrátka.

cleandb3. Čištění databáze - První krok je změna hesel, jak pro admina tak pro databázi. Také zkontrolujte, zda v databázi nejsou žádní neznámí uživatelé. To by mělo zajistit klid během aktualizace. Dále musíte v databázi prozkoumat tabulky “Banners” a “Zones.” Pokud v nich najdete škodlivý javascript, smažte ho. Obvykle se nachází v kolonkách “Append” nebo “Prepend”. Posledním krokem je update nového hesla v konfiguračním souboru, abychom mohli dál aktualizovat.

upgrade4. Aktualizace programu - Stáněte si poslední verzi Revive AdServer do počítače. OpenX změnil v létě 2013 svůj název, takže nejnovější verze je na tomto odkazu. Následujte pokyny, které najdete na oficiálních stránkách o aktualizaci OpenX a Revive AdServeru. Při problémech použijte zálohované soubory.

secure5. Zabezpečení serveru - Po aktualizaci zbývá už jen několik kroků. Zkontrolujte, že heslo do databáze a hesla uživatelů jsou neprolomitelná. Nepoužívejte žádná hesla z minulosti. Nenechávejte na FTP žádné staré zálohy ani instalační soubory a nakonec změnte i heslo k FTP, protože to mohl hacker zjistit také.

Nekteří lidé si myslí, že aktualizace vyřeší všechny jejich problémy, ale tak tomu bohužel není. Velice často musí administrátor, nebo vlastník webových stránek provést všechny zmíněné kroky, aby se infekce zbavil nadobro. Nezapomeňte vždy změnit všechna hesla.

Děkujeme, že používáte avast! Antivirus a doporučujete nás svým přátelům a rodině. Pokud chcete zůstat v obraze, sledovat novinky a probíhající soutěže, sledujte nás také na FacebookuTwitteruGoogle+Instagramu a Pinterestu. Podnikatelé – podívejte se na naše firemní produkty.

Comments off
20.09.2013

Virus lab: Team building

Některé z vás možná zajímá, jak pracuje tým avast! Virus labu. Jak asi vypadají ti chlápci, kteří sedí u počítačů a analyzují zákeřné soubory? Rádi bychom vám odhalili některá tajemství ze zákoutí Virus labu a zároveň rozbili pár stereotypů, které okolo nich panují.

  1. Tým avast! Virus labu nepracuje v laboratoři. :-)

  2. Profesionální analytici virů jsou skutečné lidské bytosti, ne roboti. :-)

  3. Ano, v týmu pracuje také pár profíků ženského pohlaví (ačkoliv to následující fotky nepotvrzují). :-)

  4. Rádi se baví a socializují. :-)

Důkaz, že opravdu existují

Máme pro vás výzvu – první z vás, kdo objeví vedoucího avast! Virus labu obdrží licenci produktu avast! Premier na jeden rok. Stačí tipovat v komentářích.

IMG_20130913_135645

IMG_20130913_140433

IMG_20130913_140546

IMG_20130913_140000

IMG_20130913_135744

Děkujeme, že používáte avast! Antivirus a doporučujete nás svým přátelům a rodině. Pokud chcete zůstat v obraze, sledovat novinky  a probíhající soutěže, sledujte nás také na FacebookuTwitteruGoogle+Instagramu a Pinterestu.

Comments off

Virové Bitcoin Minery na Ulož.to

Dnes si představíme další možný zdroj takzvaných bitcoin minerů – služby pro sdílení souborů. Mnoho lidí se myslí, že pokud nestahují přímo cracky nebo generátory klíčů do pirátských programů, jsou v bezpečí. Prosím je, aby tento postoj po přečtení článku přehodnotili. Nedávno jsme totiž zachytili na uloz.to, oblíbené tuzemské službě, množství podvržených programů obsahující virové bitcoin minery.

Některé z podvodných programů můžete vidět na následujícím obrázku. Jde o instalátory, jež se vydávají za české lokalizace oblíbených a známých programů. Všechny obsahují škodlivý kód a mnohé ani nenesou slibovaný obsah. Například The-Night-of-the-Rabbit-cestina.exe obsahuje crack pro Call of Duty 4. Povšimněte si prosím, že všechny tyto programy mají vysokou popularitu a dobrá hodnocení – bez pochyby uměle dodanou. U některých vzorků si již ale uživatelé sami všimli, že je něco špatně.

Uloz.to malicious filesWarning comment on the sharing server.

Číst více …

Categories: Analyses, Czech corner, Virus Lab Tags:
30.11.2012

Konference AVAR 2012 v Hangzhou, Čína

“Association of anti Virus Asia Researchers (AVAR – http://www.aavar.org)” pořádá každý rok  konferenci v některém městě v Asii. Tento rok se konference konala na začatku listopadu v Hangzhou, což je takové menší městečko v Číně. Avast se pravidelně účastní podobných akcí, nejlépe při prezentování výsledků naší práce. Na konferenci AVAR 2012 jsme poslali dva návrhy na přednášku a oba z nich byly přijaty. První přednáška od Igora Glücksmanna byla o vkládání vlastního “obsahu” do podepsaných spustitelných souborů ve Windows (Injecting custom payload into signed Windows executables). Druhá přednáška rozebírala útok, který se šířil přes sociální sítě  (Your Every Click Counts (But All the Money Goes to Me)) – přednášeli Jan Širmer a Lukáš Hasík.

Přesun do jiného časového pásma je vždycky problém – jetleg. A jelikož jsme nechtěli při prezentaci usnout, tak jsme si nechali krátký čas na rekonvalescenci v Číně. Díky tomu jsme samozřejmě měli i chvíli času na prozkoumání tajů a krás Číny. Letadlo nás dopravilo do Šanghaje, odkud to už byla jen hodina cesty vlakem do Hangzhou. Hodina cesty znamena skoro 180 km. Není divu, když vlaky v Číně jezdí rychlostí až 300 km za hodinu.

Pohled na Šanghaj z nábřeží Bund

 

Hangzhou je docela pěkné město. Alespoň ten malý kousek, který se nám podařilo vidět z taxíku, kromě konferenčních prostor. A taky při projížďce na kole kolem Západního jezera (West Lake). Kolo je v Číně oblíbený dopravní prostředek, avšak přežít v místní bláznivé dopravě byl těžký úkol. Ale povedlo se.

West Lake, Hangzhou, Čína

Číst více …

Categories: General, Virus Lab Tags:
Comments off
11.10.2012

ČSOB vám zablokovala účet!

Ale ne, nezablokovala. Jen se vaše emailová schránka stala cílem kyberkriminálníků. Dříve byly tyto útoky cíleny především na bohaté američany, pak se přešlo na bohaté západoevropany a před časem se tyto útoky začínaly objevovat i u nás. Jestli to máme brát pozitivně, tj. že se máme tak dobře, že stojíme za oškubání, nebo negativně, že Západ už nemá peníze, to nemám ponětí. První útoky na české uživatele byly phishing (rhybařící) útoky na Českou spořitelnu, minulý týden se pak objevilo i ransomware s varováním české policie, nyní tedy přišla řada na ČSOB.

Číst více …

Categories: Virus Lab Tags:
Comments off
08.10.2012

Jdou po mně, jdou…

Na tuhle část textu jedné písničky jsem si vzpomněl, když jsem analyzoval vzorek, který díky CommunityIQ dorazil do naší virové laboratoře k hlubšímu zkoumání. Co jiného by vás napadlo, kdyby celou plochu vašeho monitoru zaplnila následující výstraha?

to vypadá vážně

Číst více …

Comments off