http://www.infoprof.pl Firma InfoProf zajmuje się doradztwem w zakresie zarządzania bezpieczeństwem informacji, jej profesjonalnym przetwarzaniem i eksponowaniem na stronach www. Oferujemy również autorskie rozwiązania software`owe z zakresu business intelligence. Oferowane przez nas usługi zapewnią zasobom informacyjnym wysoki poziom bezpieczeństwa niezbędny do prowadzenia biznesu a także pozwolą na zgodne z obowiązującym prawem przetwarzanie i skuteczną ochronę danych osobowych.Dzięki naszym wyspecjalizowanym bazom danych, przetwarzana informacja trafi bezpiecznie do właściwych osób, we właściwym czasie. Wykorzystanie narzędzi z zakresu architektury informacji pozwala na właściwe wyeksponowanie najistotniejszych danych w serwisie internetowym.Tworzone przez nas rozwiązania uwzględniają wymogi i trendy w dziedzinie ochrony informacji. Bezpieczeństwo danych jest obecne na każdym etapie tworzenia produktu. http://www.audyt-ip.pl/ Profesjonalna oferta analizy przetwarzania danych osobowych, przygotowania dokumentacji (Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemem Informatycznym) wraz ze zgłoszniem do rejestracji zbiorów danych osobowych w GIODO. Realizowane były z powodzeniem prace zarówno dla małych i średnich przedsiębiorstw, instytucji jak też korporacji.Wdrożenie Polityki Bezpieczeństwa, opracowanie procedur dla Administratorów Bezpieczeństwa Informacji, opieka powdrożeniowa. Oferta kompleksowej obsługi ochrony danych osobowych obejmuje również indywidualne szkolenia z zakresu ochrony danych osobowych. Opracowywane przez firmę InfoProf dokumentacje były pozytywnie weryfikowane podczas kontroli GIODO. http://www.infoprof.pl/infosec.php?id=1904 Microsoft opublikował informacje o nowych zagrożeniach w swoich produktach. Majowe wydanie dotyczy zagrożeń i tym samym bezpieczeństwa zarówno samych systemów Windows jak również pakietu Office i środowiska .NET Framework. Dzięki wykrytym wcześniej a teraz ujawnionym podatnościom, potencjalny napastnik mógł starać się przejąć kontrolę nad systemem gdzie działa jeden lub więcej podatnych elementów. Wykryte podatności pozwalają wykonać kilka różnych modeli ataków - w tym takie, które zmierzają do zdalnego uzyskania dostępu do systemu, bez specjalnego udziału potencjalnej ofiary. Tradycyjnie, publikacja szczegółów podatności zbiega się w czasie z udostępnieniem przez Microsoft odpowiednich poprawek, które eliminują zagrożenia. http://www.infoprof.pl/infosec.php?id=1903 Szkodnik wysyłający SMSy, który celuje w telefony z zainstalowanym midletem Javy, zaczął się rozprzestrzeniać w Malezji. http://www.infoprof.pl/infosec.php?id=1902 Pewien badacz kodu (Joxean Koret) zajmujący się lukami w oprogramowaniu Oracle, cztery lata temu odkrył, że wiele z odmian baz danych Oracle (od 8i o 11g R2) jest podatnych na pewien atak określony mianem TNS Poison (szczegóły niżej). Ponieważ Koret był dobrym "białym kapeluszem", zgłosił sprawę do producenta, przedstawił eksploita, okoliczności wykrycia błędu. Swój eksploit w trosce o dobro świata schował zaś do szuflady - aby ów nie wpadł w niepowołane ręce. Firma Oracle przyjęła informacje od badacza i pozostawiła sprawę na bocznym torze. Jest to co prawda niezbyt chlubne działanie, acz w praktyce spotykane w realiach zmian w dużych projektach jakim niewątpliwie jest baza Oracle. http://www.infoprof.pl/infosec.php?id=1901 W sieci pojawiła się następna wersja szkodnika Ransomcrypt. Podstawowa wersja tego malware została wykryta już w 2009 roku, jednak podobnie jak to się dzieje z innym "porywaczem" GpCode, co jakiś czas wraz z kolejną "modą" na tego typu ataki odgrzewane są co bardziej udane szkodniki wykorzystujące ten wektor ataku. Warto w tym miejscu zauważyć, że w okresie ostatnich 2-3 miesięcy pojawiło się w sieci co najmniej 5 nowych szkodników "porywających" dane, co pozwala zaryzykować stwierdzeniem, że właśnie obserwujemy powrót wspomnianej już "mody". http://www.infoprof.pl/infosec.php PO uruchomieniu szkodnik tworzy w domyślnym katalogu Windows następujące pliki: linkinfo.dll, tp.dat, tp.ds, ponadto tworzy swój plik o nazwie lg.dat w lokalizacji %ProgramFiles%\Internet Explorer. Kolejnym posunięciem szkodnika będzie utworzenie mutexa, dzięki obecności którego nie dojdzie do wielokrotnej infekcji skompromitowanej maszyny tym samym szkodnikiem. Następnie trojan otwiera backdoora do następujących lokalizacji: [http://]www.ancold.org.au/mycfg/mycmd/[ENCODED HO[usunięte], [http://]www.ancold.org.au/mycfg/myscr/Myup[usunięte] i oczekuje na polecenia od zdalnego napastnika. Szkodnik może na polecenie podejmować następujące działania: zbierać informacje na temat systemu operacyjnego. Uruchamiać pliki pobrane z sieci, przemieszczać lub usuwać pliki znajdujące się w komputerze, wysyłać pliki z komputera do wskazanych lokalizacji, uruchamiać zdalną powłokę, wylistowywać procesy, tworzyć spisy zawartości dysków, przeszukiwać pliki w poszukiwaniu konkretnej zawartości, zmieniać częstotliwość z jaką komputer komunikuje się z serwerem, pobierać i aktualizować swój plik konfiguracyjny, wylogowywać aktualnie pracującego użytkownika, restartować lub wyłączać komputer http://www.infoprof.pl/infosec.php Po uruchomieniu szkodnik tworzy w lokalizacji Documents and Settings\All Users\Application Data \ katalog MicroTemp a w nim dwa pliki o nazwach: werport.dll oraz wiarpc.dll. Następnie otwiera backdoora do lokalizacji [http://]update.yahoo-upgrade.com/ch[usunięte] i oczekuje na polecenia zdalnego napastnika. Szkodnik jest w stanie podejmować następujące działania: wstrzykiwanie plików do działających procesów, kończenie procesów, tworzenie usług, pobieranie plików z sieci, otwieranie linii poleceń. http://www.infoprof.pl/infosec.php Po uruchomieniu szkodnik kopiuje się do profilu użytkownika, ( katalog Dane Aplikacji) jako plik o nazwie conime.exe. Następnie trojan otwiera backdoora poprzez utworzenie połączenia HTTP POST z lokalizacją svr01.passport.serveuser.com. Szkodnik posiada umiejętność tworzenia połączeń z wykorzystaniem proxy. Może także pobierać z sieci i uruchamiać na skompromitowanej maszynie potencjalne szkodliwe pliki. http://www.infoprof.pl/infosec.php Zadaniem tego trojana jest pobieranie z sieci plików na skompromitowaną maszynę. Kiedy szkodnik zostanie uruchomiony upuszcza do podkatalogu drivers domyślnego katalogu systemowego plik o losowej nazwie i rozszerzeniu .sys. Plik ten jest następnie rejestrowany w systemie jako usługa. Później szkodnik łączy się ze zdalną lokalizacją pod adresem muduck.ru i pobiera z niej a następnie uruchamia na skompromitowanej maszynie inne pliki. http://www.infoprof.pl/oferta.php Firma InfoProf zajmuje się doradztwem w zakresie zarządzania bezpieczeństwem informacji, jej profesjonalnym przetwarzaniem i eksponowaniem na stronach www. Oferujemy również autorskie rozwiązania software`owe z zakresu business intelligence. Oferowane przez nas usługi zapewnią Państwa zasobom informacyjnym wysoki poziom bezpieczeństwa niezbędny do prowadzenia biznesu a także pozwolą na zgodne z obowiązującym prawem przetwarzanie i skuteczną ochronę danych osobowych.Dzięki naszym rozwiązaniom CRM oraz wyspecjalizowanym bazom danych, informacja przetwarzana w Państwa firmie trafi bezpiecznie do właściwych osób, we właściwym czasie, zaś wykorzystanie narzędzi z zakresu architektury informacji pozwoli na najlepsze wyeksponowanie najistotniejszych danych w Państwa serwisie internetowym.Tworzone przez nas rozwiązania uwzględniają wymogi i trendy w dziedzinie ochrony informacji. Bezpieczeństwo danych jest zatem obecne na każdym etapie tworzenia produktu. http://www.infoprof.pl/infosec.php Po uruchomieniu trojan upuszcza do domyślnego katalogu Temp następujące pliki: ke64fufyjr.exe, ke64dlbzxln.exe, ke64dmlaci.exe, a także tworzy w tym samym katalogu pliki o nazwach: 1.m.log oraz 2.m.log. Szkodnik może także pobrać z internetu inne swoje moduły w zaszyfrowanej postaci. Pliki te zapisuje w lokalizacji %Profil Uzytkownika%\Dane Aplikacji\Help pod nazwami ceptr.tll oraz comm.tll. Kolejnym posunięciem szkodnika będzie połączenie się z nastepującymi lokalizacajmi na porcie 31439: www.fantastijitu.ru, www.tortikiua.ru, www.einstreubetrieb-abeln.de/, www.willowbendfitnessclub.com/, www.aexaidariou.gr/, www.bredenmaster.com/, www.fundacionelarcapanama.org/, www.qualitymayorista.com/, www.einstreubetrieb-abeln.de/ i pobiera z nich plik o nazwie g.php.Trojan wstrzykuje swój kod do procesu explorer.exe. Szkodnik monitoruje aktywność następujących przeglądarek: Sol, Chrome, Firefox, Opera, Internet Explorer, Maxthon, Netscape Navigator i przechwytuje szczegóły związane z korzystaniem z otwieranych w przeglądarkach stron: loginy, hasła,kody dostępu, w niektórych przypadkach dane będą zawierać także datę oraz historię działania na stronie. Zdobyte dane wysyła do zdalnego napastnika. Szkodnik może podpisywać swoje binarki fałszywym certyfikatem. http://www.infoprof.pl/infosec.php Po uruchomieniu szkodnik kopiuje się do lokalizacji %Profil użytkownika%\Dane Aplikacji\ jako plik o nazwie itunes_service01.exe. Następnie rozpoczyna modyfikowanie rejestru w celu zapewnienia sobie startu za każdym razem gdy uruchomiony zostanie system operacyjny. Dodaje się m.in.do klucza odpowiedzialnego za uruchamianie tzw. active desktop, czy wpis który spowoduje, że szkodnik będzie się uruchamiał wraz z każdym uruchomieniem kontrolera ActiveX oraz procesów winlogon.exe oraz userinit.exe. Później trojan tworzy wpisy, których zadaniem jest wyłączenie Managera Zadań oraz Edytor Rejestru. Kolejny wpis: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDesktop" = "1" blokuje uruchomienie pulpitu. Szkodnik ukrywa również ikony oraz modyfikuje klucze odpowiedzialne za ustawienia poziomu zabezpieczeń przeglądarki Internet Explorer. Po dokonaniu tych modyfikacji szkodnik łączy się z predefiniowanymi adresami www i pobiera z nich stronę w języku HTML, zawierającą wiadomość od porywacza. Strona zawiera informacje na temat sposobu odzyskania przez użytkownika możliwości korzystania z komputera czyli drogi przekazania pieniędzy napastnikowi w zamian za kod odblokowujący. http://www.infoprof.pl/infosec.php Szkodnik udaje darmowy instalator odtwarzacza Flash. Może być pobrany przez nieświadomego użytkownika z witryn {...}1ayerandroid-apk.ru lub {...}us-api.ru. Po instalacji będzie wysyłał SMSy na numery o podwyższonej opłacie, najczęściej zagraniczne, w ten sposób narażając użytkownika na wysokie koszty. http://www.infoprof.pl/infosec.php Bloodhound.Flash.15 jest piętnastą odmianą grupowego eksploita korzystającego z błędów w Adobe Flash Playerze. Jak zwykle, eksploit służy do prób wykonywania obcego kodu w potencjalnie podatnych środowiskach. http://www.infoprof.pl/infosec.php Szkodnik pojawia się w komputerze jako szkodliwy plik Worda zawierający wbudowany plik Flash expploitujący lukę Adobe Flash Player CVE-2012-0779 Object Type Confusion Remote Code Execution Vulnerability (CVE-2012-0779). Po uruchomieniu szkodnik upuszcza do domyślnego katalogu systemowego pliki: iglicd64.dll, oraz msjtea40.dll. Ponadto kopiuje oryginalny plik systemowy samsrv.dll do lokalizacji dllcache\ jako plik o nazwie samsrv.dll~. Następnie infekuje oryginalny plik samsrv.dll tak aby ładował on złośliwą bibliotekę iglicd64.dll. Kolejnym posunięciem szkodnika jest otwarcie backdoora na skompromitowanej maszynie poprzez połączanie komputera z lokalizacją updating.vicp.cc. Połączenie realizowane jest na porcie 443 TCP. trojan może podejmować następujące działania: wysyłać nazwę hosta, listę plików, spis działających procesów, dane na temat wolnego miejsca na dysku, może także kończyć działanie wskazanych procesów, usuwać, uruchamiać, lub wysyłać pliki na zdalny serwer. http://www.infoprof.pl/infosec.php Trojan musi zostać ręcznie pobrany i uruchomiony przez użytkownika. Po uruchomieniu, szkodnik kopiuje się do następującej lokalizacji: %UserProfile%\Application Data\[folder o losowej nazwie]\ jako plik wykonywalny o losowej nazwie. ( przykładowo Pkypyykyp\30FC4B4468AA6C1DBE20.exe). Może również kopiować się do domyślnego katalogu systemowego - również jako plik o losowej nazwie. Kolejnym posunięciem szkodnika jest zablokowanie w rejestrze usług systemowych takich jak: Manager zadań, edytor rejestru, usługi konfiguracyjne systemu (msconfig). Ponadto usuwa wszystkie wpisy do rejestru związane z uruchamianiem komputera w trybie awaryjnym - w ten sposób uniemożliwia skorzystanie z tej usługi. Szkodnik może wyświetlać następujący komunikat: ERROR 1409: Could not write value Folders to Key. Trojan wstrzykuje się również do procesu svchost.exe. Kolejnym posunięciem szkodnika jest połączenie się z jedną ze zdalnych lokalizacji i pobranie z niej komendy wskazującej szkodnikowi jakie działanie ma podjąć. Szkodnik może otrzymać następujące polecenia: EXECUTE, GEO, IMAGES, KILL, LOAD, LOCK, UNLOCK, UPGRADE, URLS, WAIT. Jeśli otrzymaną komendą jest komenda LOCK, szkodnik zablokuje pulpit, czyniąc w ten sposób komputer bezużytecznym. Następnie trojan pobiera z sieci i wyświetla obrazek z żądaniem okupu, za odblokowanie pulpitu. http://www.infoprof.pl/infosec.php Szkodnik ten może zostać przeniesiony do komputera przez inne malware, pobrany ze szkodliwej strony w sposób cichy, lub pojawić się jako załącznik do maila. Trojan może wykorzystywać nieprawidłowy certyfikat w celu oszukania użytkownika. Po uruchomieniu szkodnik zakłada haki na następujące API: ntdll.NtResumeThread, ntdll.NtEnumerateValueKey, ntdll.NtQuerySystemInformation, ntdll.LdrLoadDll, kernel32.FindFirstFileA, kernel32.FindNextFileA, kernel32.FindFirstFileW, kernel32.FindNextFileW, ws2_32.connect. Następnie szkodnik ukrywa wszystki pliki o nazwach dplayx.dll oraz dplaysvr.exe, ukrywa w ten sposób także oryginalne pliki systemowe. Jeśli system wywoła ukryty plik, otrzyma odpowiedź od trojana, że plik taki nie istnieje. Ponadto trojan wstrzykuje się do każdego działającego procesu który znajdzie, a także do każdego nowo uruchamianego procesu i ładowanej biblioteki. Szkodnik sprawdza każdą domenę do której zostanie wysłane zapytanie. Jeśli będzie to domena jednej z wyszukiwarek internetowych: www.google.com, www.bing.com, search.yahoo.com, szkodnik przekieruje zapytanie pod inny adres. Trojan kontaktuje się również z adresami: 66.85.153.132, 94.63.147.17 http://www.infoprof.pl/infosec.php Szkodnik dostaje się do komputera poprzez exploitowanie luki Oracle Java SE Remote Java Runtime Environment Denial Of Service Vulnerability (BID 52161). Trojan upuszcza do systemu następujące pliki: ~/jupdate, ~/Library/LaunchAgents/com.java.update.plist. Jeśli w systemie są obecne następujące aplikacje: Library/Little Snitch, Developer/Applications/Xcode.app/Contents/MacOS/Xcode, Applications/VirusBarrier X6.app, szkodnik nie upuści swoich plików do systemu. Jeśli jednak dojdzie do infekcji szkodnik usunie następujący katalog - ~/Library/Caches/Java/cache. Działanie to ma utrudnić, lub wręcz uniemożliwić jego wykrycie. Następnie szkodnik łączy się z lokalizacjami [http://]31.31.79.87/stat_j/o[usunięte], [http://]31.31.79.87/stat_j/fai[usunięte] http://www.infoprof.pl/infosec.php Szkodnik żąda zezwoleń na otwieranie połączeń sieciowych, dostęp do informacji o sieciach i uruchomienie wraz z systemem. Po uruchomieniu odszyfrowuje plik res\raw\data by odczytać adres serwera C&C. Następnie łączy się z nim i oczekuje na komendę która pozwala na wykorzystanie zarażonego urządzenia jako serwera proxy.