Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus

Archív

Archív pro ‘Virus Lab’ Kategorie
30.05.2014

Fanoušci fotbalu zbystřete: ne všem aplikacím se dá důvěřovat!

Fotbalové mistrovství světa 2014 se blíží, už za necelé dva týdny v Brazílii vypukne jedna s nejsledovanějších akcí roku. Už jste také tak fotbalově naladění jako my? Náš tým analytiků mobilního malwaru už horlivě z Obchodu Google Play stahuje hry a všelijaké aplikace, které s fotbalem souvisejí. Bohužel jsme si všimli, že některé aplikace nejsou tak zábavné, jak se na první pohled zdají…

AVAST detekuje falešnou herní aplikaci: Android:FakeViSport 

Některé ze stažených aplikací primárně zobrazují reklamy namísto toho, aby nechali uživatele užít si hraní her. Jednou z nich je např. aplikace Corner Kick World Cup 2014, která po spuštění zobrazuje pouze bílou obrazovku, na které vyskakují reklamy. Podezřelé také je, když jsou aplikace co se velikosti týče moc malé. Tato měla méně než 1MB. Co můžete od tak “malé” aplikace očekávat? Zajímavější ještě ale je to, že je hra nabízena od developera jménem VinoSports. Když se podíváte i na jeho ostatní aplikace, které na Google Play nabízí, všechny vypadají stejně – jsou jen zaplněné reklamami.

Vinospots

wideBohužel se jedná o častý a mazaný způsob, jak se developeři snaží vydělat peníze. V případě takovýchto aplikací, kdy uživatelé kliknout na některou ze zobrazovaných reklam, jsou to pouze oni, kdo na tom vydělají. Rozhodli jsme se tak všechny aplikace od VinoSports zablokovat. Od teď budou detekovány jako Android:FakeViSport.

Některé aplikace jsou v šedé zóně

Další aplikací, která stojí za zmínku je Fifa 2014 Free – World Cup. Ačkoliv aplikace pochází od poměrně velkého developera “Top Game Kingdom LLC”, který má na Google Play a dalších obchodech už slušnou sbírku aplikací, jeví se nám poněkud podezřele. Už jen samotné jméno instalačního souboru se od názvu aplikace liší. Název aplikace je “Football World Cup 14”, zatímco název instalačního souboru je “com.topgame.widereceiverfree”.

Aplikace “Football World Cup 14”, známá také jako “Widereceiverfree”, si žádá přístup k informacím (poloze, záznamech hovorů a jiným), které s ní nemají nic společného.

Zmíněný developer podobných aplikací nabízí více. Nakonec by vás tyto rádoby herní aplikace mohly připravit i o osobní údaje.

Tom game kingdom

Aplikace, které zobrazují reklamy, však nemusí být nutně zákařné. Řada z nich, zejména těch bezplatných,  jsou reklamami financované. Někdy mohou být ale reklamy natolik otravné, že vás ani nenechají si hru v klidu vychutnat. Aplikace, které vyžadují přístup k více informacím, než je potřeba, mohou být i škodlivé.

Než začnete bezhlavě stahovat vše, co bude s fotbalem souviset, řádně si to prostudujte!

Před stažením aplikace doporučujeme:

1. Stahovat z oficiálních zdrojů. Většina vzorků mobilního malwaru pochází právě z těch neoficiálních zdrojů, drtivá menšina je z Obchodu Google Play.

2. Stahovat od důvěrychodných developerů, kteří si svých uživatelů cení a jejich cílem je poskytovat pouze kvalitní produkty. FIFA nabízí svou aplikaci ohledně novinek a skóre a EA Sports má také svou oficiální herní aplikaci.

3. Porovnat funkce aplikace s přístupy, které si vyžaduje. Některé aplikace se stávají podezřelými, jakmile si např. žádají přístup k vaší poloze, ačkoliv jejich primární funkcí je pouze např. vydávání zvuku hudebního nástroje vuvuzela. Ledaže by aplikace potřebovala znát vaši polohu, pokud by např. chtěla zahrát zvuk vaší národní hymny podle státu, ze kterého pocházíte.

4. Číst doporučení od jiných uživatelů. Ne vždy samozřejmě můžete věřit všemu, co lidé na internetu píší, ale pokud početná skupina lidí aplikaci doporučuje nebo naopak kritizuje, uděláte si lepší obrázek o její bezpečnosti.

Naše mobilní bezpečnostní aplikace avast! Mobile Premium obsahuje funkci Ad Detector, která dokáže najít aplikace, které jsou propojené s reklamními sítěmi a poskytuje detaily o sledovacím systému, takže máte dobrý přehled o tom, které reklamní sítě vaše aplikace obsahují.

avast! Mobile Security si můžete ZDARMA stáhnout z Google Play a za cenu $1.99/měsíc přejít na prémiovou verzi, která obsahuje i Ad Detector.

Comments off
29.04.2014

Pozor na falešné pohledávky od Vaší banky

290414-cs - Copy

Ilustrační obrázek: AVAST/ČTK

V České republice právě probíhá masivní emailová kampaň, jejímž cílem je podvodný zisk finančních prostředků. Mnoho našich uživatelů dostalo emailovou zprávu, která vypadá zhruba takto:

email_body

Podle zpráv, které jsme měli možnost analyzovat, byly tyto emaily odeslány přes zahraniční servery (Rusko, Itálie). Odesílatel v nich oznamuje příjemci, že na základě uzavřené smlouvy mezi oběma stranami eviduje pohledávku a požaduje její uhrazení do určitého data a v případě neuhrazení hrozí právním postihem.

Výše částek se dle našich informací pohybuje mezi 6 až 10 tisíci Kč.  Jméno a emailová adresa odesílatele se mění, stejně jako kontaktní telefon. Emailové adresy jsou podvržené, stejně jako telefonní čísla, která jsou smyšlená, ale kvůli platnému formátu je možné, že se dovoláte nic netušícímu člověku.

Zpráva obsahuje spustitelný soubor zabalený v archivu ZIP, který po spuštění zobrazí fiktivní smouvu a stáhne další soubor obsahující druhotnou infekci. Stažený soubor nahrává škodlivý kód do aplikace winver, která je standardní součástí Windows a která následně napadá i explorer.exe. Své binární soubory uchovává ve složce %APPLICATION_DATA%\brothel\ a přidává i odkaz do registrů, který provede spuštění aplikace vždy při startu systému HKCU\Software\Microsoft\Windows\CurrentVersion\Run\brothel. Infekce cílí na 3 majoritní internetové prohlížeče (Internet Explorer, Chrome a Firefox), ze kterých pak získává zneužitelné informace.

V případě, že jste infikovanou přílohu spustili, následující kroky Vám pomohou infekci odstranit:

  • Nastartujte PC v nouzovém režimu
  • Smažte složku brothel, která se nachází ve ve Windows XP zde: C:\Documents and Setting\<uzivatelske jmeno>\Application Data\brothela ve Windows Vista a novějších zde: C:\Users\<uzivatelske jmeno>\AppData\Roaming\brothel
  • Smažte registrový klíč HKCU\Software\Microsoft\Windows\CurrentVersion\Run\brothel
  • Restartujte PC

O této hrozbě včera informovalo několik online médií (např. Lupa.cz, Roumen.cz). Přestože se vyskytovaly informace, že AVAST tuto hrozbu nedetekuje, naši uživatelé byli chráněni díky proaktivnímu nástroji DeepScreen, který analyzuje chování podezřelých souborů za běhu. Protože DeepScreen funguje až v okamžiku spuštění souboru, jeho výsledky se bohužel nezobrazují na serverech, které skenují soubory pomocí všech dostupných antivirových programů (např. virustotal.com)

V průběhu dne jsme na základě telemetrických dat vytvořili několik automatických detekcí (v cloudu, tak mimo něj), které nakažené soubory odhalí i v případě, že nejsou spuštěny. Následovalo detailní prozkoumání všech infikovaných souborů našimi analytiky, kteří vytvořili cílené detekce a navíc ze souborů získlali a zablokovali internetové adresy, ze kterých je stahována druhotná infekce. Naši uživatelé jsou tedy v bezpečí.

Děkujeme, že používáte avast! Antivirus a doporučujete nás svým přátelům a rodině. Pokud chcete zůstat v obraze, sledovat novinky a probíhající soutěže, sledujte nás také na Facebooku, Twitteru, Google+, Instagramu a Pinterestu. Podnikatelé – podívejte se na naše firemní produkty.

Categories: General, Virus Lab Tags: ,
Comments off
11.04.2014

Jede traktor, je to Zetor, veze s sebou redirektor…

Jeden z mých kolegů z Virus Labu je velkým fanouškem punkové skupiny Visací zámek. Řekl si, že by si o víkendu rád zapogoval a šel hledat termíny a místa koncertů. Místo toho se však dočkal pouze hlášení o infekci… Jaké bylo naše překvapení, když jsme zjistili, že se jedná o infekci kvůli zranitelnosti, kterou jsme začali detekovat již na konci minulého roku, 27. prosince, jako JS:Redirector-BJB.

visaci.cz_

Jedná se o zneužitou chybu OpenX serveru (v tomto případě hxxp://th.y-co.de), který se používá k distribuci reklamy. Přestože jsme očekávali, že po více než třech měsících bude většina serverů aktualizovaná, dle našich statistik se s těmi infikovanými denně setkává zhruba 30 tisíc našich uživatelů a jedná se tak o jednu z nejrozšířenějších hrozeb na internetu.

kod_puvodni

Na printscreenu škodlivého kódu si můžete všimnout enkryptované části, která využívá prakticky stejného mechanismu, o jakém jsme vás informovali již na začátku minulého roku. Po jejím přeložení do srozumitelného kódu dostáváme tento krátký javascript:

kod_deobfuskovany

Kód je snadno čitelný; pokud jste na stránce poprvé (kontrola cookie) a používáte jako prohlížeč Interner Explorer, načte obsah hxxp://seriz.biz. Tato doména je již dávno nefunkční, ale kdo ví, jestli ji autoři tohoto malwaru zase někdy nezapnou.

O tom, jak vyčistit váš infikovaný OpenX server, jsme radili na našem blogu na začátku roku. Již jsme také kontaktovali administrátory webových stránek Visacího zámku, aby výše uvedený škodlivý kód smazali. S avastem jste ale proti takovým útokům chráněni už nyní!

Děkujeme, že používáte avast! Antivirus a doporučujete nás svým přátelům a rodině. Pokud chcete zůstat v obraze, sledovat novinky a probíhající soutěže, sledujte nás také na Facebooku, Twitteru, Google+, Instagramu a Pinterestu. Podnikatelé – podívejte se na naše firemní produkty.

Comments off
07.03.2014

AVAST varuje před nebezpečnou aplikací z Google Play!

Jakým největším hrozbám nyní čelíme na oficiálním trhu mobilních aplikací určených pro platformu Android, na Obchodě Google Play?

Oficiální obchody s mobilními aplikacemi jsou hlavními zdroji, ze kterých si aplikace do svých mobilních zařízení primárně stahujeme. Experti nám radí, abychom tyto oficiální obchody využívali, neboť jsou obecně uznávané za bezpečné. Ale jsou tyto zdroje opravdu důvěryhodné? Někteří odborníci nicméně tvrdí, že: “Žádný malware na Androidech neexistuje a bezpečnostní společnosti se nás snaží jen vystrašit. Buďte v klidu a nestrachujte se.” Jak to tedy je?

GP - Copy

Již dříve jsme vás informovali o škodlivém malwaru, který se snaží do vašich chytrých telefonů  a tabletů dostat. Nyní pro vás máme zcela čerstvé varování, které doposud nebylo jiným bezpečnostním poskytovatelem zaznamenáno. Náš Analytik mobilních virů a malwaru Filip Chytrý potvrdil, že:

Aplikace “Cámara Visión Nocturna”, která je momentálně na Obchodu Google Play dostupná, je určitě něco, co na svém Androidu mít nechcete.

S kolegou Chrysaidosem Nikolaosem se tak na aplikaci rozhodli podívat trochu z blízka. Již při spuštění si můžete všimnout neobvyklých požadavků, které vyžadují využívání pouze vašeho fotoaparátu. Aplikace se pokouší analyzovat telefonní čísla z komunikátorů jako jsou WhatsApp nebo ChatOn za účelem přihlášení k prémiové SMS službě. Jakmile telefonní čísla obdrží, odešle je a zapíše na seznam prémiových SMS.

A voilà! Byly vám odečteny cca 2 Eura (2,8 Dolarů)! A ptáte se za co? Za nic! Tímto snadným a rychlým trikem si zloději vydělají vaše peníze.

Bohužel to ještě není vše. Aplikace je schopná odeslat více těchto SMS, dokud nedosáhne hranice 36 Eur (50 Dolarů) za měsíc. Poté obdržíte zprávu z čísla “797080″, která odloží odesílání prémiových SMS. Ale nemusíte se obávat – AVAST  tyto hrozby detekuje, a proto s  naší bezplatnou aplikací avast! Mobile Security budete v bezpečí.

Děkujeme, že používáte avast! Antivirus a doporučujete nás svým přátelům a rodině. Pokud chcete zůstat v obraze, sledovat novinky a probíhající soutěže, sledujte nás také na  Facebooku,  Twitteru,  Google+,  Instagramu  a  PinterestuPodnikatelé – podívejte se na naše firemní produkty.

Comments off
05.03.2014

Několik otázek pro Filipa, našeho analytika mobilního malwaru

FCHFilip Chytrý se k AVASTu připojil v roce 2009 jako čerstvý absolvent aplikované kybernetiky z Hradce Králové a v té době pořádně ani netušil, co ho ve firmě bude čekat. Rozhodl se dát pracovní nabídce s názvem “Virus Analytik” šanci, neboť v té době pro něho zněla jako něco spojeného se Star Trekem. :-) Nevěřil, že ho nakonec na pozici přijmou, o to to bylo větší překvapení, když zakotvil ve Viruslabu, v týmu expertů přes viry a malware. Zprvu to pro něho byla trochu španělská vesnice, po pár měsících ale do tématiky pronikl a začal se pomalu cítit jako ryba ve vodě. Začínal na analýze PE souborů (klasických programů pro Windows) a postupně pokračoval přes exploity a malware na webech. Pár let nazpět, v době největšího boomu Androidu, se Filip začal zajímat o malware na této platformě, a to se stalo jeho hlavní pracovní náplní až dodnes. Filip tedy analyzuje malware pro zařízení Android a zároveň informuje širokou veřejnost o tom, co na ně v mobilních zařízeních může číhat. Jeho poslední prezentaci na téma “Reálné hrozby mobilních technologií” jste si mohli poslechnout na nedávné konferenci News Media Inspiration. Pojďme se tedy podívat, co nám Filip o mobilních hrozbách poví:

1. V čem spatřuješ největší hrozby mobilních technologií?

“Největší problém v dnešní době je nedostatečná informovanost uživatelů. Lidé si pořád nezvykli, že jejich mobilní zařízení jsou mnohdy výkonnější než počítače, které měli doma před pár lety. Z toho také vyplývají rizika, která jim hrozí. Mobilní zařízení máte dneska stále s sebou, a to o vaší osobě vypovídá spoustu věcí. Většina lidí si to ani neuvědomuje, ale je schopné např.  zaznamenávat vaši polohu, brouzdáte s ním po internetu, platíte v obchodech – je to v podstatě taková malá sbírka informací a dat o vaší osobě, která je snadno zneužitelná. Zneužít se dá prakticky cokoliv, od údajů vaší platební karty uložené v telefonu přes polohu, kde se nacházíte, případně kde nejčastěji nakupujete a co vyhledáváte na internetu k cílené reklamě přímo na vaši osobu. Oblíbené jsou také placené premiové SMS. To je v podstatě nejsnažší způsob, jak z vás vylákat peníze. A buďme upřímní – i útočníci potřebují peníze a nedělají to zadarmo.”

2. Jaké mobilní útoky na nás (resp. uživatele Androidu) aktuálně nejvíce číhají?

“Jak už jsem zmínil, oblíbené jsou placené SMS služby. Je to jeden z nejlehčích způsobů, jak z uživatele vysát nějaké peníze. Software dost často ani nemusí být zavirovaný. Například nějaká oblíbená hra, která je bežně placená, ale uživatel si ji najde na jiných serverech za 1/10 ceny ke stažení po zaslání SMS. Pak už je jenom překvapen, že hru nedostane a peníze jsou fuč, případně dostane třeba jinou, běžně bezplatnou hru. V poslední době také zaznamenáváme nárůst sofistikovanějších hrozeb. Už se nejedná jen o malware, který ihned zneužije vaše zařízení. Získá například přístup k veškerým funkcím a vyčkává na příkaz od utočníka, jak je dále zneužít.”

 3. Jak se může člověk proti zneužití svých mobilních zařízení bránit?

“Bude to znít jako klišé, ale antivirus by bylo jedno z mých doporučení na prvním místě. Většina antivirů je dostatečně aktualizovaná na to, aby dokázala zabránit nejvíce rozšířenému malwaru ve zneužití vašeho mobilního miláčka. Další doporučení je používat oficiální markety (online obchody) s aplikacemi a nepokoušet se experimentovat. Z tohoto pohledu je dobré mít v telefonu nastavené, aby se vám automaticky neinstalovay aplikace z neznámých zdrojů. A hlavně zdravý rozum. Stačí se někdy zamyslet nad pár kroky, které jsem už podnikl a uvažovat, jestli to, co je vám aktuálně nabízeno, není podezřelé.”

Filip Chytry_NMI

Comments off
24.01.2014

Falešný email od WhatsApp vám nainstaluje do počítače trojan Zeus

whatsapp-logoUž jste obdrželi email od společnosti WhatsApp? Ne? To proto, že tato společnost obvykle svým uživatelům posílá zprávy přímo přes samotnou aplikaci a nejčastěji informuje o aktualizacích aplikace. Pokud jste nedávno obdrželi email od WhatsApp, radíme vám ho neotevírat a okamžitě ho smazat. Jedná se o klamnou zprávu a email obsahuje malware.

Během posledních pár dnů se rozšířil email od “WhatsApp Messengeru” s předmětem “Missed voice message” (neboli “Zmeškaná hlasová zpráva”). Zpráva nabádá své příjemce, aby si stáhli přiložený zazipovaný soubor s názvem “Missed-message.zip”.

Náš expert z Virus Labu, Peter Kálnai, řekl:

Posílat emaily se zmeškanými hovory nebylo nikdy strategií společnosti WhatsApp, jinak tomu není ani dnes. Namísto hlasové zprávy podvodný email obsahuje zazipovanou přílohu, pomocí které lze spustit soubor pod stejným názvem missed-message.exe. Tento soubor je schopný stáhnout jakýkoliv malware, který chtějí útočníci do počítače oběti nainstalovat, zahrnující trojan Zeus, známý také jako nejnebezpečnější bankovní trojan.

Zeus tiše běží v pozadí počítače, dokud se uživatel nepřihlásí do internetového bankovnictví. Jakmile je přihlášen, Zeus posbírá osobní data a informace o finančních transakcích.

Oblíbený IM (Instant Messaging) komunikátor WhatsApp nedávno oznámil, že nyní službu poskytuje 430 miliónům uživatelů s chytrými telefony typu Android a iPhone. Pro WhatsApp se jedná o veliký úspěch, na druhé straně to z něj dělá lákavý cíl pro kyber-podvodníky, neboť počet potenciálních obětí je obrovský.

Ochrání vás avast! Antivirus před WhatsApp malwarem?

Ano! AVAST zaznamenal zazipované soubory, které se šíří v různých variantách a chrání před touto hrozbou více jak 200 miliónů svých uživatelů. Kromě využívání avast! Antiviru uživatelům doporučujeme zapojit selský rozum a řídit se heslem dvakrát měř, jednou řež, jakmile obdrží neznámý email, který obvykle tímto způsobem své uživatele neoslovuje. Obecně, důvěryhodné společnosti neposílají přílohy v emailech, pokud si vyloženě nějaké dokumenty nevyžádáte. Takže neotevírejte žádné přílohy, pokud jste o ně nežádali, a buďte vždy opatrní, když stahujete soubory z internetu.

Děkujeme, že používáte avast! Antivirus a doporučujete nás svým přátelům a rodině. Pokud chcete zůstat v obraze, sledovat novinky a probíhající soutěže, sledujte nás také na FacebookuTwitteruGoogle+Instagramu a Pinterestu. Podnikatelé – podívejte se na naše firemní produkty.

Comments off
22.01.2014

Jak vyčistit hacknutý OpenX server

cleanup_noframe

Vánoce jsou svátky klidu a míru, to ovšem naplatí pro hackery a tvůrce malware. Během zimních svátků AVAST Virus Lab objevil novou infekci, která se šíří pomocí napadených serverů s nainstalovaným reklamním systémem OpenX. avast! je zatím jediným antivirem, který tuto hrozbu detekuje, což u uživatelů budí dojem že jde o falešný poplach. Mohu Vás ujistit, že se jedná o skutečnou hrozbu.

Označení je JS:Redirector-BJB nebo JS:Redirector-BJC a tato infekce byla potvrzena na 930 serverech provozujících OpenX po celém světe. To znamená, že denně je od nákazy zachráněno nejméně 130 tisíc lidí používajících avast! antivirus.

Průběh nákazy serveru a důsledky pro uživatele, který tuto stránku navštíví, jsou popsány v nedávném příspěvku o malvertisingu. Dnes bych se rád zaměřil na to, jak správně vyčistit, aktualizovat a zabezpečit infikovaný server. Pod tímto odstavcem můžete vidět pět nejvíce navštěvovaných a zároveň infikovaných serverů. Je mezi nimi i ten Váš?

  1. openx.skinet.cz
  2. ads.qiuck.cz
  3. ads.czol.org
  4. adone.multimedia.cz
  5. nase.broumovsko.cz

Pokud používáte OpenX nebo Revive AdServer před verzí 3.0.2,  nejste zabezpečeni!

Níže najdete několik bodů, které Vás provedou procesem čištění, mějte ale na paměti, že aktualizace na poslední verzi Revive AdServer je nezbytná, jinak bude mít server známé bezpečnostní problémy.

backup1. Zálohování souborů – Stáhněte všechny soubory z FTP do svého počítače a oskenujte je antivirovým programem. Pokud je nějaký soubor označen jako škodlivý, smažte ho okamžitě z FTP. Pokud je to možné, zálohujte i databázi pro případ, že nastanou problémy při aktualizaci.

check2. Hledání zadních vrátek - Hledejte na FTP soubory, které tam nepatří. Můžete je poznat například podle data vytvoření (soubor s jiným datem než ostatní v adresáři) nebo podle zašifrovaného obsahu. Také můžete porovnat zdrojové kódy oficiální instalace se svými a odhalit nově přidané soubory. Pokud používáte OpenX ve verzi 2.8.10, smažte soubor “flowplayer-3.1.1.min.js“, protože obsahuje zadní vrátka.

cleandb3. Čištění databáze - První krok je změna hesel, jak pro admina tak pro databázi. Také zkontrolujte, zda v databázi nejsou žádní neznámí uživatelé. To by mělo zajistit klid během aktualizace. Dále musíte v databázi prozkoumat tabulky “Banners” a “Zones.” Pokud v nich najdete škodlivý javascript, smažte ho. Obvykle se nachází v kolonkách “Append” nebo “Prepend”. Posledním krokem je update nového hesla v konfiguračním souboru, abychom mohli dál aktualizovat.

upgrade4. Aktualizace programu - Stáněte si poslední verzi Revive AdServer do počítače. OpenX změnil v létě 2013 svůj název, takže nejnovější verze je na tomto odkazu. Následujte pokyny, které najdete na oficiálních stránkách o aktualizaci OpenX a Revive AdServeru. Při problémech použijte zálohované soubory.

secure5. Zabezpečení serveru - Po aktualizaci zbývá už jen několik kroků. Zkontrolujte, že heslo do databáze a hesla uživatelů jsou neprolomitelná. Nepoužívejte žádná hesla z minulosti. Nenechávejte na FTP žádné staré zálohy ani instalační soubory a nakonec změnte i heslo k FTP, protože to mohl hacker zjistit také.

Nekteří lidé si myslí, že aktualizace vyřeší všechny jejich problémy, ale tak tomu bohužel není. Velice často musí administrátor, nebo vlastník webových stránek provést všechny zmíněné kroky, aby se infekce zbavil nadobro. Nezapomeňte vždy změnit všechna hesla.

Děkujeme, že používáte avast! Antivirus a doporučujete nás svým přátelům a rodině. Pokud chcete zůstat v obraze, sledovat novinky a probíhající soutěže, sledujte nás také na FacebookuTwitteruGoogle+Instagramu a Pinterestu. Podnikatelé – podívejte se na naše firemní produkty.

Comments off
20.09.2013

Virus lab: Team building

Některé z vás možná zajímá, jak pracuje tým avast! Virus labu. Jak asi vypadají ti chlápci, kteří sedí u počítačů a analyzují zákeřné soubory? Rádi bychom vám odhalili některá tajemství ze zákoutí Virus labu a zároveň rozbili pár stereotypů, které okolo nich panují.

  1. Tým avast! Virus labu nepracuje v laboratoři. :-)

  2. Profesionální analytici virů jsou skutečné lidské bytosti, ne roboti. :-)

  3. Ano, v týmu pracuje také pár profíků ženského pohlaví (ačkoliv to následující fotky nepotvrzují). :-)

  4. Rádi se baví a socializují. :-)

Důkaz, že opravdu existují

Máme pro vás výzvu – první z vás, kdo objeví vedoucího avast! Virus labu obdrží licenci produktu avast! Premier na jeden rok. Stačí tipovat v komentářích.

IMG_20130913_135645

IMG_20130913_140433

IMG_20130913_140546

IMG_20130913_140000

IMG_20130913_135744

Děkujeme, že používáte avast! Antivirus a doporučujete nás svým přátelům a rodině. Pokud chcete zůstat v obraze, sledovat novinky  a probíhající soutěže, sledujte nás také na FacebookuTwitteruGoogle+Instagramu a Pinterestu.

Comments off

Virové Bitcoin Minery na Ulož.to

Dnes si představíme další možný zdroj takzvaných bitcoin minerů – služby pro sdílení souborů. Mnoho lidí se myslí, že pokud nestahují přímo cracky nebo generátory klíčů do pirátských programů, jsou v bezpečí. Prosím je, aby tento postoj po přečtení článku přehodnotili. Nedávno jsme totiž zachytili na uloz.to, oblíbené tuzemské službě, množství podvržených programů obsahující virové bitcoin minery.

Některé z podvodných programů můžete vidět na následujícím obrázku. Jde o instalátory, jež se vydávají za české lokalizace oblíbených a známých programů. Všechny obsahují škodlivý kód a mnohé ani nenesou slibovaný obsah. Například The-Night-of-the-Rabbit-cestina.exe obsahuje crack pro Call of Duty 4. Povšimněte si prosím, že všechny tyto programy mají vysokou popularitu a dobrá hodnocení – bez pochyby uměle dodanou. U některých vzorků si již ale uživatelé sami všimli, že je něco špatně.

Uloz.to malicious filesWarning comment on the sharing server.

Číst více …

Categories: Analyses, Czech corner, Virus Lab Tags:
30.11.2012

Konference AVAR 2012 v Hangzhou, Čína

“Association of anti Virus Asia Researchers (AVAR – http://www.aavar.org)” pořádá každý rok  konferenci v některém městě v Asii. Tento rok se konference konala na začatku listopadu v Hangzhou, což je takové menší městečko v Číně. Avast se pravidelně účastní podobných akcí, nejlépe při prezentování výsledků naší práce. Na konferenci AVAR 2012 jsme poslali dva návrhy na přednášku a oba z nich byly přijaty. První přednáška od Igora Glücksmanna byla o vkládání vlastního “obsahu” do podepsaných spustitelných souborů ve Windows (Injecting custom payload into signed Windows executables). Druhá přednáška rozebírala útok, který se šířil přes sociální sítě  (Your Every Click Counts (But All the Money Goes to Me)) – přednášeli Jan Širmer a Lukáš Hasík.

Přesun do jiného časového pásma je vždycky problém – jetleg. A jelikož jsme nechtěli při prezentaci usnout, tak jsme si nechali krátký čas na rekonvalescenci v Číně. Díky tomu jsme samozřejmě měli i chvíli času na prozkoumání tajů a krás Číny. Letadlo nás dopravilo do Šanghaje, odkud to už byla jen hodina cesty vlakem do Hangzhou. Hodina cesty znamena skoro 180 km. Není divu, když vlaky v Číně jezdí rychlostí až 300 km za hodinu.

Pohled na Šanghaj z nábřeží Bund

 

Hangzhou je docela pěkné město. Alespoň ten malý kousek, který se nám podařilo vidět z taxíku, kromě konferenčních prostor. A taky při projížďce na kole kolem Západního jezera (West Lake). Kolo je v Číně oblíbený dopravní prostředek, avšak přežít v místní bláznivé dopravě byl těžký úkol. Ale povedlo se.

West Lake, Hangzhou, Čína

Číst více …

Categories: General, Virus Lab Tags:
Comments off