Kaspersky Lab: szkodliwe programy III 2012

Przeczytaj także: Kaspersky Lab: szkodliwe programy II 2012

Na pojawienie się pierwszych exploitów nie trzeba było długo czekać, przy czym wersie szkodliwego kodu „twierdziły”, że oferują nieautoryzowany zdalny dostęp do komputerów PC działających pod kontrolą Windowsa za pośrednictwem zdalnego desktopu.

Autor tego konkretnego exploita podpisywał się jako haker Sabu – jego koledzy oskarżyli go niedawno o przekazywanie FBI informacji o innych członkach grupy, które doprowadziły do ich aresztowania.

Kod został napisany w języku Python i wykorzystuje moduł freerdp, co widać w tekście na zrzucie ekranu powyżej. Nie istnieje jednak żaden znany moduł freerdp dla Pythona. Istnieje darmowa implementacja open source dla protokołu zdalnego desktopu znana jako FreeRDP, jednak sami twórcy nie wiedzą nic na temat wsparcia dla freerdp na platformie Python.

Okazało się, że rzeczywiście był to żart, i wcale nie stanowił odosobnionego przypadku.

Exploity zaczęły wyrastać jak grzyby po deszczu, jednak żadna wersja nie potrafiła zdalnie wykonać kodu. Pojawiła się nawet specjalna strona o wiele mówiącej nazwie istherdpexploitoutyet.com.

A zatem na exploita, który potrafi zdalnie wykonać kod za pośrednictwem zdalnego desktopu, musimy jeszcze poczekać. Większość albo nie daje zamierzonego wyniku albo kończy się niebieskim ekranem śmierci (ang. BSOD).

Mimo to zalecamy wszystkim użytkownikom systemu Microsoft Windows, aby sprawdzili, czy na ich komputerach PC wykorzystywany jest zdalny desktop. Jeżeli tak, należy natychmiast zainstalować łatę firmy Microsoft. Warto również zastanowić się, czy usługa ta jest absolutnie konieczna w systemie.

Poinformujemy was, jeżeli pojawi się działający exploit, który potrafi wykonać kod zdalnie, w międzyczasie jednak na stronie http://rdpcheck.com można sprawdzić, czy wasz serwer jest narażony na potencjalne ataki RDP.

Zagrożenia dla Maka

W marcu byliśmy świadkami bezprecedensowej aktywności w postaci szkodliwego oprogramowania dla systemu Mac OS X.

Najbardziej znanym przypadkiem była prawdopodobnie dystrybucja spamu na adresy organizacji tybetańskich. Spam ten zawierał odsyłacze do exploita JAVY Exploit.Java.CVE-2011-3544.ms, wykrytego przez AlienVault Labs. Celem tego exploita jest instalowanie szkodliwych programów na komputerach użytkowników w zależności od rodzaju systemu operacyjnego na komputerze ofiary. W tym konkretnym przypadku Backdoor.OSX.Lasyr.a był instalowany na komputerach użytkowników systemu Mac OS X, a Trojan.Win32.Inject.djgs na komputerach użytkowników systemu Windows (trojan ten został podpisany certyfikatem z minioną datą ważności wydanym przez chińską firmę WoSign Code Signing Authority). Cyberprzestępcy wykorzystywali te same serwery w celu zarządzania obydwoma szkodliwymi programami podczas ataków.