Na początku tego roku NASK przejął ponad 40 domen wykorzystywanych do rozpowszechniania Viruta, uniemożliwiając tym samym kontynuowanie prowadzonych za ich pomocą nielegalnych działań.

Virut służył do przejmowania kontroli nad komputerami bez wiedzy i zgody użytkowników. Zainfekowane nim urządzenia stawały się „komputerami-zombie” łączącymi się w sieci, tzw. botnety, które następnie mogły być wykorzystywane do działań niezgodnych z prawem. Głównym źródłem wirusa były domeny zief.pl oraz ircgalaxy.pl, które pełniły funkcję centrów sterujących zainfekowanymi komputerami i wysyłały rozkazy ataku. Po tym jak eksperci NASK stwierdzili, że część domen obsługujących Virut znajduje się w Polsce, zdecydowali się na podjęcie akcji uniemożliwiającej im kontynuację działań. Do 6 lutego 2013 roku pod kontrolą NASK znalazły się łącznie 43 nazwy domenowe z końcówką .pl służące do sterowania i rozpowszechniania złośliwego oprogramowania. Natomiast cały ruch z zarażonych komputerów do centrów sterujących botnetu został przekierowany do serwera kontrolowanego przez CERT Polska. Po przejęciu kontroli nad komunikacją w botnecie eksperci rozpoczęli analizę połączeń z zarażonych komputerów użytkowników Internetu.

Okazało się, że dziennie odnotowywano średnio 270 tysięcy połączeń z zainfekowanych adresów IP z całego świata. W okresie między 19 stycznia a 5 lutego 2013 roku eksperci zaobserwowali całkowitą liczbę 3 211 135 unikalnych adresów IP zaatakowanych przez Viruta. Połączenia pochodzące z dziesięciu najbardziej dotkniętych wirusem krajów stanowiły ponad 78 proc. wszystkich komunikatów. W pierwszej dziesiątce pokrzywdzonych państw były głównie kraje z Azji i Afryki. 
 Co ciekawe, Polska znalazła się dopiero na 19. miejscu pod względem skali infekcji, a jej udział w zestawieniu wyniósł jedynie 0,67 proc.

- Przygotowany przez nas raport przedstawia nie tylko chronologię działań podjętych przez NASK czy sposób zbierania danych, ale także informacje o mechanizmach zarażania ofiar oraz powiązania z innymi rodzajami przestępczej działalności, np. sprzedażą fałszywego oprogramowania antywirusowego czy doklejaniem reklam do wyświetlanych przez użytkowników treści. Analiza unaoczniła skalę działania Viruta oraz wskazała kraje najbardziej nim dotknięte. Pozyskane informacje o działaniach botnetu pozwolą z pewnością w przyszłości na skuteczniejsze przeciwdziałanie zagrożeniom sieciowym. - mówi Przemysław Jaroszewski z CERT Polska.

Raport „Przejęcie domen botnetu Virut” dostępny jest na stronie internetowej: http://www.cert.pl/news/6744

autor: Robert Kamiński

Wirus o nazwie E-Security umożliwia cyberprzestępcom wykradanie haseł do kont bankowych i może skutkować utratą pieniędzy.

Celem wirusa E-Security jest przechwytywanie przez cyberprzestępców kodów jednorazowych potwierdzających transakcje prowadzone na koncie bankowym użytkownika. Jak zaznaczają specjaliści zespołu CERT Polska, proces instalacji wirusa odbywa się wieloetapowo i rozpoczyna się od zainfekowania złośliwym oprogramowaniem komputera ofiary. Następnie, kiedy użytkownik odwiedzi stronę internetową swojego banku, wyświetla mu się komunikat o możliwości instalacji aplikacji, będącej "certyfikatem E-Security", na swoim telefonie komórkowym.

Każdy, kto zdecyduje się na instalację, a następnie uruchomienie oprogramowania, zostanie poproszony o wprowadzenie kodu "E-Security". Po wprowadzeniu kodu cyberprzestępcy przypisują danemu numerowi telefonu login i hasło do bankowości elektronicznej, co umożliwia im przechwytywanie wiadomości SMS zawierających hasła jednorazowe przeznaczone do potwierdzania transakcji. Użytkownik nie będzie nawet świadom, że otrzymał SMS potwierdzający, gdyż zainstalowana złośliwa aplikacja zadba o niewyświetlenie tej informacji. W efekcie, kontrolując zarówno komputer, jak i telefon komórkowy, atakujący są w stanie zalogować się na konto ofiary i dokonać przelewu znajdujących się tam pieniędzy na wybrane przez siebie konto.

Wyświetlany komunikat o możliwości instalacji "certyfikatu E-Security" jest napisany poprawną polszczyzną oraz posiada logo banku, w którym ofiara prowadzi swoje konto.
Piotr Kijewski kierownik CERT Polska powiedział, że sposób działania cyberprzestępców pokazuje, że nawet najlepsze techniczne zabezpieczenia mogą okazać się niewystarczające.

- Użytkownik powinien zawsze stosować ograniczoną zasadę zaufania i podchodzić z rezerwą do komunikatów wyświetlanych na ekranie swojego urządzenia - podkreślił Kijewski.

Złośliwe oprogramowanie o nazwie "Android.Pincer.2.origin" to tzw. trojan, czyli program, który podszywając się pod przydatne dla użytkownika programy, w rzeczywistości instaluje niebezpieczne oprogramowanie umożliwiające cyberprzestępcom zdobywanie informacji zapisanych na urządzeniu bez wiedzy i zgody użytkownika. Jak informują eksperci z firmy Dr.Web trojan rozprzestrzenia się pod postacią certyfikatu bezpieczeństwa, który rzekomo powinien zostać zainstalowany na urządzeniu mobilnym z systemem Android. Po instalacji program wyświetla fałszywy raport o pomyślnym zainstalowaniu certyfikatu, a następni, do momentu ponownego uruchomienia urządzenia, nie wykazuje żadnej aktywności.

Kiedy użytkownik ponownie uruchomi swoje urządzenie "Android.Pincer.2.origin" łączy się ze specjalnym serwerem i przesyła do niego m.in. takie dane, jak: numer i model telefonu, nazwę operatora, wersję systemu operacyjnego.

Następnie szkodliwe oprogramowanie czeka na instrukcje od cyberprzestępców, które mogą dotyczyć zarówno przechwytywania sms-ów użytkownika, jak również wyświetlania komunikatów na ekranie jego urządzenia. Dzięki znajomości numeru telefonu użytkownika cyberprzestępcy mogą przechwycić m.in. sms z kodami jednorazowymi służącymi do wykonywania operacji w bankach internetowych (np. przelewów, logowania do konta w banku itp.).

Przed działaniem cyberprzestępców można się zabezpieczyć, trzeba tylko przestrzegać kilku zasad. Po pierwsze należy zabezpieczyć dostęp do telefonu hasłem. Po drugie - ważne dane zapisane w smartfonie lepiej zaszyfrować.  Ostrożnie należy także korzystać z publicznych sieci bezprzewodowego dostępu do internetu. Eksperci sugerują również, aby rozsądnie aktualizować oprogramowania na urządzeniach.

Zobacz galerię: dzień na zdjęciach >>>

PAP/aj