RSS
 

Archive for the ‘Allmänt’ Category

Twittertrender i malwarekod

05 Feb

De senaste veckorna har ett botnet använts för att ladda upp malware på legitima hemsidor. Intrånget har skett via FTP, antagligen har inloggningsuppgifterna kapats av ett virus på hemsideägarnas datorer.

Javascriptkoden som läggs in i html-filerna är avancerad och svår att analysera. Unmaskparasites.com har gjort ett utmärkt arbete med att gå genom koden och malwareutvecklarna fortsätter att imponera. Javascriptkoden hämtar information om trenderna på Twitter i förrgår och använder den information i kombination med aktuell tid för att räkna fram det domännamn javascriptet ska skapa en iframe till. På så sätt ändras domännamnet fyra gånger per dygn och är ofta ändrat redan innan domännamnet hunnit stängas av eller svartlistas.

I fredags registrerade jag två av de domännamn som skulle användas så att jag kunde analysera trafiken. Under de timmar som javascriptkoden skapade iframe till de två domännamnen försökte 1496 olika ip-nummer ansluta, med 802 olika hostnames som referer. Det är alltså inte några stora sajter som infekteras men malwarekoden har stor spridning.

I skrivande stund finns det 13 se-domäner som är infekterade med denna malwarekod. Dessutom finns det ytterligare 19 se-domäner som har en liknande javascriptkod som inte verkar fungera.

 
 

Är du ett offer för internetbrott?

05 Jun

Sydsvenskan skriver idag om larmrapporter om internet och de företag som tjänar på att skicka ut rapporterna.

Den första rapporten som diskuteras är Norton Cybercrime Report som Symantec skickade ut pressmeddelande om 8 september 2010. Enligt theidchannel.com tog det dock tid innan själva rapporten publicerades och svenska artiklar publicerades alltså enbart med pressmeddelandet som grund. Det innebär alltså att media inte hade någon möjlighet att själv läsa rapporten utan valde att skriva artiklar baserade på Symantecs egen sammanfattning och slutsatser.

Det största problemet med rapporten är att internetbrott får innefatta allt från sexbrott och nätfiske till datorvirus. Även om datorvirus stjäl datorkapacitet (och ibland gör värre saker) tycker jag det är svårt att jämföra med stöld av pengar. Sammanklumpningen gör att mycket annat i rapporten blir meningslöst. 48% ringer sin bank när de blir utsatta för internetbrott, och i Sverige är man mer benägen att ringa polisen än till sin bank jämfört med USA. Men var man väljer att anmäla ett brott torde främst bero på vilken typ av brott man utsatts för, om det alls är ett brott.

Sydsvenskanartikeln diskuterar också Symantecs rapport om barn och internet och Kasperskys pressmeddelande att det sker 160 000 försök till porrsurfning bland barn varje timme. Kasperskys text är tydlig att det är 160 000 sidor i kategorin ”Pornography” som blockeras, Sydsvenskans granskning visar dock listor där även Facebook och Yahoo blockeras. Slutsatserna är väldigt otydliga men det stämmer att Kaspersky har andra kategorier där sidor som inte innehåller porr blockeras.

Det går inte att komma ifrån att antivirusföretag tjänar pengar på människors otrygghet, det är det som säljer säkerhetsprogram. Därför får man ha förståelse för att deras pressmeddelande är mer eller mindre propaganda för otrygghet. Media får inte glömma sitt jobb, att kritiskt granska sina källor, dra sina egna slutsatser och att ge sina läsare opartisk information om säkerheten på internet.

 
 

Säkerhetshål i WordPressplugins

23 Feb

Igår rapporterade Sucuri ett säkerhetshål i WordPresspluginet BulletProof Security. Pluginet innehöll filen wp-content/plugins/bulletproof-security/admin/uploadify/uploadify.php som är ett filuppladdningsscript. Scriptet har inte någon säkerhetskontroll och vem som helst kunde ladda upp egna filer, till exempel shellscript för att få full tillgång till alla filer på kontot. Utvecklarna har nu åtgärdat säkerhetshålet.

Även WordPresspluginet WP Symposium innehåller denna fil, placerad i wp-content/plugins/wp-symposium/uploadify/uploadify.php. Inte heller denna gång finns någon säkerhetskontroll. WP Symposium har laddats hem nästan 13 000 gånger och behöver inte vara aktiverat vara att vara sårbart. Utvecklaren är kontaktad.

/wp-content/plugins/wp-symposium/uploadify/uploadify.ph
 
 

Dilbert & Webbläsarhistorik

16 Feb

Att webbläsarhistorik enkelt kan stjälas har nu nått fram till Dilberts chef.

I mitt tidigare inlägg ”Nu avlyssnas historiken på allvar” berättar jag hur du skyddar dig.

 
 

Daily motion leder till adware

26 Jan

Dailymotion är efter Youtube världens populäraste videosajt med nära hundra miljoner besökare per månad enligt Softpedia. Söker man efter senaste Simpsonsavsnittet på Dailymotion får man två träffar.

Klickar man på någon av filmerna får man följande budskap, som egentligen är själva filmen.

Den svårlästa texten lyder ”The video was rejected due to copyright infingement so I uploaded it on another website. Click the link into description to watch this video or go to tvgalaxy.org” och bit.ly-länkarna som anges i beskrivningen går båda till tvgalaxy.org.

Inte heller när man kommit dit får man se Simpsonsavsnittet, istället ombeds man svara i en ”undersökning” för att komma vidare.

Alla alternativ går till webfetti.com och där ombeds man installera en toolbar som de utlovar är helt fri från virus och reklam.

Men antivirusprogrammen håller inte med, 17 av 42 program varnar för filen. Har man väl installerat toolbaren är den svår att få bort. Avinstallationsguider rekommenderar både Hijack This och SpyBot Search and Destroy för att få bort programmet helt.

 
 

Redan olagligt att sprida virus

17 Jan

Sveriges EU-kommissionär Cecilia Malmström väcker idag uppmärksamhet i DN genom att föreslå ett förbud mot att sprida virus och trojaner.

– Det är förvånande nog inte olagligt i dag, säger hon.

Men vi har redan en lag om dataintrång där det står:

9 c § Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift. Lag (2007:213).

I kommentaren till denna paragraf står uttryckligen ”Hacking, spridande av virus, DOS/DDOS-attacker är exempel på några handlingar som utgör brott enligt denna paragraf.” och det är lätt att tänka sig ett virus som utan tillstånd ändrar i uppgifter avsedda för automatisk behandling liksom virus som allvarligt hindrar någon från att använda en uppgift.

För att dömas för brott krävs dock oftast att man haft uppsåt eller varit grovt oaktsam, till exempel att man medvetet spridit virus eller låtit bli att åtgärda en dator man vet är infekterad.

 
1 kommentar

Posted in Allmänt

 

1st Status på Facebook en bluff

15 Jan

Senaste trenden på Facebook är en applikation för att se sin allra första post på Facebook. Det finns flera applikationer för detta, bland annat”1st Status Update”, ”first status finder” och ”verrryy nllcce thhiinng toooo ssaaaayyy 😉 ”. Gemensamt för applikationerna är att de inte visar ens allra första post utan slumpar fram en generell engelsk text som ska låta trolig. Några exempel är ”Wassup!”, ”hi everyone”, ”I’m on facebook”, ”HELLO FACEBOOK!”, ”hmmm… let’s see what i can do here” och ”Facebook is hard to use!”.

Adressen som anges är ofta en bit.ly-länk eller www.fbstatus.me men ibland anges direkta adressen till applikationen. En bit.ly-länk som går till applikationen ”1st Status Update” har redan fått över hundratusen klick.

 
 

Dancho Danchev försvunnen

15 Jan

Igår bad ZDNet sina läsare om hjälp att hitta säkerhetsexperten Dancho Danchev som även är en av deras bloggare. Dancho har inte uppdaterat sin blogg sedan 11 september men hans Twitterkonto uppdaterades fram till 21 oktober.

En vän till Dancho har gått ut med att han fick följande mail från honom 9 september:

”As I consider you as a trusted colleague, and someone who understands the big picture of cyber crime and cyber espionage, I’m attaching you photos of the “current situation in my bathroom”, courtesy of Bulgarian Law enforcement+intell services who’ve been building a case trying to damage my reputation, for 1.5 years due to my clear pro-Western views+the fact that a few months ago, the FBI Attache in Sofia, Bulgaria recommended me as an expert to Bulgarian CERT -> clearly you can see how they say “You’re Welcome”.

I’m sending you these not with the idea to see them published, but as an insurance in case things get ugly, knowing that a trusted third-party has access to these and can always distribute them to [borttaget] mailing list members, and pretty much the entire industry, especially the press.

The LEO behind the whole operation: [ borttaget ]

I’m in a process of contacting journalists -> just in case.

I hope you’re the trusted industry contact that I think you are, and you’ll basically keep these somewhere safe. Thank you, and please use my PGP key.

Best regards”

I mailet bifogas bilder som snarare väcker frågor än ger svar. Man gissar på att Dancho upptäckt avlyssningsutrustning men bilderna ger inte några entydiga bevis för detta.

Uppdatering 18 januari: Bulgariska Dnevnik.bg (Google Translate) meddelar idag att Dancho lokaliserats och att han togs in på psykiatrisk avdelning på sjukhus 11 december. Sjukhuset vill inte bekräfta men enligt andra källor mår Dancho bättre och kommer snart att skrivas ut.

 
 

En titt på valstandpengarsystem.com

11 Jan

Väldigt ofta dyker denna annons upp på Facebook, trots att jag stängt annonsen och markerat den som ”Vilseledande”.

Adressen som anges är cashloan.thorn.se men klickar man på annonsen kommer man istället till www.valstandpengarsystem.com. Cashloan.thorn.se ägs av Thorn och erbjuder kontantlån med effektiv ränta på 13,26%. Antagligen anges denna adress i annonsen för att framställa den som seriös. Google har ett liknande annonssystem men de kontrollerar noga att man kommer till den sida som anges i annonsen.

Valstandpengarsystem.com går ut på att man genom att spela på roulette kan ”tjäna 3000kr och upp till 6000kr varje dag!.”. 6000 kr per dag i 31 dagar ger 186000 kr så även om systemet fungerar når man inte riktigt fram till de 200000 kr som utlovades i annonsen. Systemet man ska använda går i korthet ut på att satsa på rött eller svart hela tiden, börja med liten insats och dubbla insatsen om man skulle förlora. På så sätt får man i teorin alltid förr eller senare tillbaka sina förlorade insatser och en viss vinst. Metoden kallas Martingale och var populär på 1700-talet.

Naturligtvis existerar inte någon metod som varit känd i över 200 år och som garanterat ger vinst. Martingalemetoden kan dock fungera på kort sikt och det är lätt att få intrycket att man hittat en fungerande metod som fungerar även på längre sikt. Problemet är att man alltid ska dubblera insatsen vid förlust och när man förr eller senare råkar ut för flera förluster i rad ökar insatserna väldigt snabbt. I guiden anges att man ska spara 5000 kr att använda vid förluster och börja med insats på 10 kr. Det räcker med att du förlorar 10 gånger i rad för att du ska ha blivit av med totalt 5110 kr och förväntas satsa ytterligare 5120 kr. Spelar du regelbunder kommer du förr eller senare att råka ut för detta. Ofta stoppas man även av att kasinot har en begränsning av insatsen.

Ett av ”bevisen” på att systemet fungerar är en skärmdump som visar ”12,276$ vinst i 31 dagar från ett casino!”. Tydligen räknas insatsen man hade från början med i dina vinst. Att det är lätt att fuska och ändra en skärmdump är välkänt, jag noterar också att adressen som anges är http://banner2.casino.com/flash/19/casino_casino.com/[sv]/as2/satgame.html. Denna sida existerar inte längre och banner2.casino.com verkar endast användas för att visa reklam för casino.com, inte själva spelsidan. Man kan också notera att detta spelande med upp till 1000 dollar i insats sker över en okrypterad anslutning.

Den största frågan om detta system skulle fungera är varför personen bakom sidan är så dum att han i så fall berättar för andra hur man gör. Om kasinot måste dela ut 200000 kr i vinst varje månad till många personer kommer det tvingas att antingen ändra reglerna eller gå i konkurs.

Sanningen är att personen får provision för varje person han lurar till att testa systemet och börja spela.

Adressen man skickas vidare till när man går till ett kasino från hans sida används för att se vilken användare det är som ska få provision. Personen får en andel i vinsten, upp till 40%. Varför ska man själv riskera pengar på kasino när man kan låta andra spela åt en och garanteras en andel av insatsen?

 
 

Svensk virusvarning seglivad

04 Jan

Jag råkade notera att en varning för Koobface sprids på Facebook just nu. Texten som skickas är ”Virus sprider sig som en löpeld på FB! Det är en trojan som heter mask Koobface. Det kommer att stjäla din info, invadera ditt system och stänga av den! INTE öppna länken Barack Obama Clinton Skandal! Om SmartGirl15 begär dig som vän, accepterar inte, det är ett virus. Om någon annan på din vänlista accepterar, då får du också viruset! Kopiera och klistra in på din logg… vänligen skicka vidare”.

Masken Koobface existerar visserligen och använder Facebook-länkar för att spridas men varningen är falsk. Varningstexten började skickas på engelska redan i juli 2010. På engelska verkar varningen ha dött ut men på svenska är den seglivad. Söker man på SmartGirl15 på Facebook är texterna endast på svenska (förutom något enstaka på finska).