Týden 22 přinesl další informace o počítačovém červu Flamer. Na úvod zmiňujeme jednu ze zranitelností, pomocí které se šíří, čtěte Chyby v softwaru (níže). V Novinkách se věnujeme jeho vlastnostem.

Počty webů, které se snaží ohrozit účty uživatelů sociálních sítí, se rozrostly o další zástupce. Apple vydává průvodce bezpečností na iOS. Čtěte Novinky.

Chyby v softwaru, které zneužívá červ Flamer

Microsoft Windows – zranitelnost zástupce souborů "LNK/PIF"

Týká se NEAKTUALIZOVANÝCH verzí: Windows XP, Windows Vista, Windows 7, Windows Server 2003/2008

Pomocí upraveného zástupce *.LNK nebo *.PIF může lokální uživatel nebo vzdálený útočník spustit na systému libovolný kód. Windows Explorer špatně zachází se zobrazováním ikon, což demonstroval také vir Stuxnet. Flamer tuto chybu v neaktualizovaných produktech Microsoftu zneužívá k šíření svého kódu dále.

Aktualizované produkty Microsoftu tuto chybu neobsahují.

Novinky

Červ Flame(r) – komplexnější DuQu?

Poslední dobou se na internetu objevily detaily analýz počítačového červa, který se na síti pohybuje již minimálně dva roky. Malware si svým chováním vysloužil přezdívku Wiper/sKyWIper – původně vymazával citlivé informace na Středním východě. Jednu z prvních analýz vydala maďarská laboratoř CrySyS, jejíž systémy hrozbu zachytily a vyhodnotily jako hodnou hlubší analýzy.

Jakmile se díky médiím zvýšil zájem o toto téma, do té doby netečné antivirové společnosti začaly vydávat do virových databází signatury. Podle názvu modulu, který útočí a infikuje další systémy, se začal označovat tento komplexní nástroj jako Flame nebo Flamer (W32.Flamer).

Nestandardní je již jeho velikost – s moduly dosahuje doslova obřích 20 MB. Obsahuje totiž vlastní databázový server, webový server, proxy, bluetooth moduly a další. Takovou velikost může mít na svědomí použití programovacího jazyka LUA jakožto "lepidla", které moduly spojuje. Často se v takových případech používá Perl. Pro srovnání server bota SpyEye má kolem 70 kB. Servery trojana DarkComet jsou větší – kolem 750kB, ale disponují obrovskými možnostmi (ovšem nešíří se jako červ).

LUA interpreter dokáže přijímat příkazy "z vesmíru" a instalovat další moduly z úložišť, které Symantec celkem trefně označuje jako "AppStore". :-)

Flamer - máme se bát?

I když je Flamer nepochybně velkým nebezpečím, soustřeďuje se nyní podle Securelist (Kaspersky Lab) na Írán, Israel, Súdán, Sýrii a další země v regionu. Je pravda, že krade téměř jakékoliv informace (dokumenty, e-maily…) a dokáže snímat zvuk a obraz a odesílat komprimované mediální soubory na C&C server.

Na druhou stranu pro šíření využívá již známých děr a fakt, že jste dočetli článek až sem, značí, že se o bezpečnost poměrně aktivně zajímáte. Antiviry signaturu obsahují, takže by při zvýšené pozornosti (kterou máte jistě pod kůží) nebezpečí zatím hrozit nemělo.

Události

Twitter nebo Tvvitter?

Vizuální napodobeniny Facebooku typu "tacebook" už jsme viděli. Neznámí "rhybáři" v poslední době připravili sítě pro uživatele konkurenčního Twitteru na základě podobnosti dvojitého "w" a dvou "v". Změnili totiž...

na…

Zajímavé na útoku bylo, že při zobrazení Whois záznamu se stal uživatel obětí XSS útoku. To poukazuje mimo jiné na nedostatečné zabezpečení serverů Whois.

Uživatelé se mohou "zbavit" Facebook Timeline

Další malware využívá změny Facebook účtů na rozložení Timeline. Uživatelům útočníci nabízejí změnu a mohou se po instalaci malwaru "zbavit" tohoto nového rozložení.

Blíže zkoumal tento pokus Sophos zde.

Apple iOS Security Guide

Společnost Apple vydala bezpečnostního průvodce pro iOS 5.1. Obsahuje zajímavé informace o systémové architektuře, šifrování a síťové bezpečnosti. Celý průvodce je k dispozici online zde. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.