Przejdź do głównej zawartości

8 marca zagrożony! Sprawdź swój komputer.

Dla większości z nas data 8 marca kojarzy się z kwiatami i ogólno krajowym podniosłym nastrojem związanym z Dniem Kobiet. Warto jednak wiedzieć iż ta symboliczna data, może również nieść za sobą groźne konsekwencje.

Międzynarodowe służby do spraw ochrony bezpieczeństwa internetowego, w ostatnich dniach świętowały sukces udanej akcji, podczas której została pojmana grupa cyber-przestępców odpowiedzialna za zainfekowanie licznych stron i serwerów, poprzez tzw. mechanizm "DNS Changer". Operacja ta nosiła nazwę "Operation Ghost Click".

Było to jednak sukces połowiczny. Funkcjonariuszom FBI udało się przejąć dostępy do serwerów używanych przez pojmanych spec-hakerów, jednak nie byli w stanie od infekować tych komputerów, które do tej pory znalazły się pod wpływem złośliwego wirusa.  Na tym etapie działań operacyjnych kluczowe jest to aby jak najszybciej dotrzeć do właścicieli zainfekowanych komputerów, na których wirus dokonał zmian ustawień DNS, a które nie zostały przez nich autoryzowane.

Bardzo istotną kwestią jest to aby jak najszybciej dotrzeć do tej grupy przed 8 marca 2012, ponieważ właśnie tego dnia FBI całkowicie wyłączy przejęte serwery. Pozwoli to na zatrzymanie dalszego rozprzestrzeniania się złośliwego oprogramowania, jednak prawdopodobnie uniemożliwi prawidłowe funkcjonowanie komputerów i sieci tych osób, które nie zweryfikowały swoich ustawień DNS.

Wyróżniamy dwa rodzaje mechanizmów opartych o "DNS Changer":


  • Pierwszy z nich ma miejsce gdy wirus modyfikuje ustawienia DNS na zainfekowanym komputerze z systemem Windows –zmiany obejmują ustawienia hosta pliku oraz ustawienia protokołu DHCP. Jeśli ustawienia DNS zostały zmienione, użytkownik nie uzyska dostępu do żądanej strony za pomocą jakiejkolwiek przeglądarki internetowej. W efekcie, użytkownik zostaje przekierowany przez e-napastnika do wcześniej zdefiniowanej przez niego witryny.
  • Drugi z nich ma miejsce gdy wirus modyfikuje nazwy ustawień systemowych routera. Co oznacza, że zmiany ustawień DNS nie są wprowadzane bezpośrednio na zagrożonym komputerze, a na routerze, który jest np. odpowiedzialny za połączenie sieci domowej z Internetem.
Wirus ten jest dodatkowo wyposażony w listę loginów i haseł dostępowych, do większości najbardziej popularnych routerów na rynku. Dzięki czemu napastnik bez większego problemu może uzyskać dostęp do interfejsu routera, dokonując dowolnych zmian. 

Taki atak nie byłby możliwy, gdyby użytkownicy zmieniali loginy i hasła dostępowe zaraz po podłączeniu ich do sieci. Jednak jak pokazuje praktyka, większość użytkowników jak i administratorów sieci nie dba o tego typu „szczegóły”. Dzięki czemu hakerzy są w stanie dowolnie zmieniać i modyfikować ustawienia DNS, co pozwala im na przejęcie kontroli praktycznie nad każdym użytkownikiem Internetu.

Co więc dokładnie wydarzy się 8 marca 2012?

FBI zamknie przejęte serwery, które w chwili obecnej są pod ich nadzorem. Co oznacza, że wszyscy użytkownicy, którzy:

  • są zainfekowani przez wirusa "DNS changer"
  • nie przywrócili swoich ustawień DNS do stanu "normalnego", 
lub domyślnego mogą się zetknąć z problemami nieprawidłowego funkcjonowania stron www i serwerów, na skutek tego iż FBI całkowicie wyłączy przejęte serwery.


Jak można sprawdzić czy i nasz komputer nie uległ atakowi?

Przede wszystkim przeskanuj cały system odpowiednim oprogramowaniem antywirusowym np. G Data Internet Security 2012. Jeśli Twoje oprogramowanie antywirusowe wykryje jakieś podejrzane zmiany w Twoich ustawieniach systemowych, otrzymasz czerwony alert potwierdzający obecność wrogiego oprogramowania. Dodatkowo koniecznie sprawdź ustawienia:

  • pliku "hosts"
  • DHCP
  • przeglądarki internetowej
  • routera
Uwaga: Jeśli testy online lub ręczne zmiany ustawień DNS są poprawne, to jeszcze nie musi oznaczać, iż Twój komputer będzie wolny od szkodliwego oprogramowania na zawsze! W każdym przypadku należy przeprowadzać regularne skanowanie komputera oraz dbać o aktualność oprogramowania antywirusowego.

Dodatkowe aby zwiększyć Twoje bezpieczeństwo funkcjonowania w sieci:

  • korzystaj z najnowszych, kompleksowych wersji oprogramowania antywirusowego, zawierającego skaner antywirusowy, firewall oraz spam detektor
  • zawsze dbaj o to aby mieć zainstalowane najnowsze aktualizacje zarówno oprogramowania jak i przeglądarki internetowej
  • po podłączeniu urządzeń sieciowych, pamiętaj o zmianie haseł dostępowych z "fabrycznych" na własne, mocne hasła
  • jeśli zauważyłeś, że Twój komputer został zainfekowany zmień wszystkie hasła, których używasz do dostępów on-line (bankowość on-line, serwisy społecznościowe, konta pocztowe etc.)

Komentarze

Popularne posty z tego bloga

PUP – „programy usilnie przeszkadzające”

Internet pełny jest narzekań oraz pytań na temat potencjalnie niechcianego oprogramowania, w skrócie PUP (potenially unwanted programs). Użytkownicy skarżą się na wirusy, które zainfekowały ich przeglądarkę lub paski narzędzi, które włamały się do ich komputera.  Aplikacje z tej grupy nie są jednak przypisane do kategorii złośliwego oprogramowania w szczególności, że większości „infekcji” tego rodzaju jest dość łatwa do uniknięcia.  Ogólnie rzecz biorąc temat PUP jest wieloaspektowym problemem dla użytkowników i branży antywirusowej jednocześnie będąc dochodowym biznesem dla ich dystrybutorów.
PUP to nie malware Określenie złośliwe oprogramowanie odnosi do software’u, którego głównym celem jest wyrządzenie szkód na zainfekowanym urządzeniu lub kradzież informacji z zamiarem ich wykorzystania do działań przestępczych (kradzież tożsamości, nadużycia finansowe czy sprzedaż wykradzionych danych). Nie zawsze jednak możemy tak łatwo rozróżnić typowe złośliwe pliki od potencjalnie niechciane…

Nic nie zamawiałeś? I tak możesz otrzymać maila o odbiorze paczki.

InPost i jego klienci na celowniku hakerów.
W naszych archiwalnych wpisach często mogliście natknąć się na opisy ataków lub kampanii phishingowych ukierunkowanych na użytkowników serwisu aukcyjnego Allegro. Ostatnio głośno było o nawiązaniu współpracy pomiędzy serwisem, a jednym z największych operatorów pocztowych w kraju firmą InPost. Może właśnie ta współpraca zwróciła uwagę cyberprzestępców, gdyż aktualnie jesteśmy świadkami zmasowanej kampanii phishingowej podszywającej się pod InPost.


Pracownicy G DATA SecurityLabs przechwycili i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”. Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila, ale o tym za chwilę.


PORÓWNANIE
Adres nadawcy wiadomości o tytule „P…

Dridex, powrót trojana bankowego na Stary Kontynent

Kolejny raz trojan bankowy Dridex wyciąga swoje macki w kierunki klientów instytucji finansowych, by wykraść im uwierzytelniające dane wymagane do zalogowania się do bankowości elektronicznej. Poprzednim razem szkodnik ten infekował komputery przypisane do puli adresów IP Wielkiej Brytanii, jednak tym razem powraca na Stary Kontynent rozprzestrzeniając się po Europie Środkowej.
Wektorem infekcji są przede wszystkim wiadomości e-mail ze szkodliwymi załącznikami. Oszuści próbują zmusić swoje ofiary do otworzenia niebezpiecznego archiwum i wypakowania go, a wabikiem jest socjotechniczna pułapka rzekomego zwrotu podatku za zrealizowane faktury. Wszystkie e-maile mają bardzo osobisty wydźwięk, na pierwszy rzut oka nie są to wiadomości od oszustów, ale od rzekomych znajomych, prywatnych osób lub firm. Dodatkowo, pozdrowienia i życzenia mają sugerować związek pomiędzy nadawcą a odbiorcą. Analitycy zagrożeń z G DATA SecurityLabs spodziewają się, że kampania z udziałem tego typu spamu i trojane…