Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 25. januar 2011

Hvordan betale for programvare som er gratis

På nettet er det mengder med gratis programvare som kan lastes ned og benyttes av hvem som helst. Et populært eksempel på dette er Flash Player laget av Adobe. Programmet brukes blant annet til å vise nettannonser, spill og annet interaktivt innhold på nettsider.

Dersom en vil hente ned dette programmet til sin PC vil det være logisk å gå til Google eller Bing og gjøre et søk. Det enkleste og mest naturlige å søke etter vil antakeligvis være "download flash". Et slikt søk gir i dag følgende resultat (trykk på bildene for større utgave):



I skjermbildene over er det reelle resultatet markert med grønn firkant, mens et mindre bra resultat er markert med rødt.. De rødmerkede resultatene er begge betalte annonser, men både hos Google og Bing er det vanskelig å skille disse fra de reelle søkeresultatene. Dette gjelder i særlig grad for Bings resultat.

Dersom en er uheldig og trykker på et av de røde resultatene, blir en sendt til en av følgende sider:



Begge sidene er norskspråklige, selv om forfatteren neppe hadde vunnet en rettskrivingskonkurranse. Begge sidene inneholder også en lenke til å laste ned "Flash-player". I begge tilfeller er det imidlertid følgende fil som blir hentet ned:


Dette er ikke egentlig en installasjons-fil til Flash-player, men en fil som er laget for å presse deg for penger for deretter å hente ned den reelle installasjonsfilen. Dersom en starter filen, får en opp følgende skjermbilde:


For å få tilgang til den ekte installasjonsfilen (som forøvrig kan hentes gratis her..) må en altså sende en melding til telefonnummeret 2098 som generer 2 SMSer til 15 kroner/stk. Dette kortnummeret er eid av Echovox som holder til i Sveits. Et kjapt nettsøk avslører at dette firmaet allerede har en del misfornøyde kunder.. Vi har ikke prøvd å sende meldingen, men vi blir ikke overrasket dersom det også fører til at brukeren blir meldt inn i en eller annen abonnements-tjeneste..

Dersom en prøver å skrive inn en kode i programmet vil den bli sendt inn til en sentral tjener for verifisering:

GET /sms/isvalid.php?code=2353&country=no&pr=FlashPlayer&af=flashplayer2010-no.info&num=2 HTTP/1.1
User-Agent: NSIS_Inetc (Mozilla)
Host: verify.smsstatus.com


Denne tjeneren står hos en større leverandør av hosting-løsninger i Frankrike, OVH SAS.

Såvidt vi kan se har programmet ingen annen funksjonalitet utover det vi viser over. Det er med andre ord ikke snakk om klassisk malware/skadevare, men heller en "lett utpresning" for å få brukeren til å betale penger for noe som kan lastes ned gratis.

Bakmennene har imidlertid gjort en stor jobb med å tilpasse dette systemet til forskjellige markeder med oversetting av sidene, avtale med lokale betalingsformidlere og målrettet annonsering hos større nettsider. De tilbyr også andre gratis programmer for nedlasting mot betaling som Google Earth, NOD32, Windows Live Messenger osv.

Denne saken minner en på at en må være forsiktig også med sponsede søkeresultater. Ofte kan også disse være lureri, selv om en kanskje skulle tro at store aktører som Google og Microsoft (Bing) ville sjekke annonsene sine bedre for lureri og svindel.

Vær alltid svært skeptisk til å gi fra deg kredittkortinformasjon og mobiltelefonnummer på nett, spesielt til ukjente kilder som dette. Forsøk å gå direkte til leverandørers sider, dersom du vet adressen, i stedet for å søke hos Google eller Bing.

onsdag 19. januar 2011

Ny malware sprer seg på Facebook i dag

Vi ser i dag spredning av en ny type malware på Facebook. Malwaren sprer seg ved å sende meldinger til andre venner som er pålogget via Facebooks chat-system. Et eksempel på en melding er:

Foto :D hxxp://apps.facebook.c om/braiphotes/photo.php?=P1012447.JPG

Meldingen gir seg ut for å være en lenke til et bilde, men sender deg i virkeligheten videre til en Facebook-applikasjon:


Applikasjonen prøver å lure deg til å trykke på "View Photo". Dersom brukeren trykker på knappen, vil en Windows .exe-fil (programfil) bli lastet ned til maskinen. Nettleseren vil i de fleste tilfeller gi en advarsel om at filen kan være skadelig før den blir kjørt.

Filen som blir lastet ned oppnår følgende dekning på Virus Total:


10 av 43 anti-virus-løsninger gjenkjenner altså filen som malware.

I stedet for å vise et bilde, vil applikasjonen åpne en ny nettleser med en side fra Myspace:


Malwaren kobler også opp maskinen mot et IRC-basert botnet, slik at angriperne får full kontroll over maskinen og kan gi den forskjellige kommandoer.

Etter kort tid vil også følgende melding dukke opp i nettleseren:


Personene bak svindelen tjener altså penger ved å få brukerne de lurer til å fylle ut "undersøkelses-skjemaer". Dette er en svært populær måte å tjene penger på for tiden. Disse "undersøkelsene" ender ofte opp med at en må skrive inn mobilnummeret sitt på slutten for å ha muligheten til å "vinne en premie". Dette vil føre til at brukeren blir påmeldt en dyr SMS-tjeneste.

Facebook-applikasjonen som spredte malwaren har nå blitt tatt ned av Facebook, men en må regne med at svindlerne stadig lager nye versjoner av applikasjonen og fortsetter å spre malwaren.

Husk å være skeptisk til linker mottatt på Facebok, også via chat-funksjonen. Spør gjerne avsenderen om det virkelig var vedkommende som sendte linken. Last i alle fall ikke ned .exe-filer og kjør disse på maskinen.

tirsdag 11. januar 2011

Microsoft patchetirsdag

Microsoft har i kveld sluppet to oppdateringer som dekker forskjellige sårbarheter i Microsoft-produkter. Det er enda ikke sluppet oppdateringer for to andre alvorlige sårbarheter, som beskrevet i de to siste avsnittene under.

Vulnerability in Windows Backup Manager Could Allow Remote Code Execution (MS11-001

Oppdateringen dekker en svakhet i Windows Backup Manager for Windows Vista. Ingen andre versjoner av Windows er sårbare. For å utnytte denne svakheten, må brukeren lures til å hente ned og åpne en spesielt utformet Windows Backup Catalog (.wbcat)-fil. Detaljer rundt svakheten har allerede kommet ut, og utnyttelse av den i nær framtid vil derfor være sannsynlig.

Vulnerabilities in Microsoft Data Access Components Could Allow Remote Code Execution (MS11-002)
Denne oppdateringen dekker to svakheter i Microsoft Data Access Component. Begge sårbarhetene kan føre til kjøring av vilkårlig kode, med samme rettigheter som innlogget bruker. En angriper kan utnytte sårbarhetene ved å lure en bruker til å besøke spesielt utformede nettsider. Oppdateringen regnes som kritisk for Windows XP, Vista og 7 og viktig for server-versjoner av Windows (Windows 2003, 2008, 2008 R2). Det er enda ikke sluppet detaljer eller exploit-kode for disse to sårbarhetene, men Microsoft regner dem som relativt enkle å utnytte.

Se forøvrig dagens nyhetsbrev for mer detaljer rundt disse oppdateringene.

De to oppdateringene over utbedrer ikke to alvorlige tidligere publiserte svakheter i Windows, som befinner seg i Internet Explorer (se nyhetsbrev 22.12.10 og 01.05.11). For mer informasjon angående sårbarheter som fortsatt ikke er patchet, se Microsoft SRD blog. Teknisk Ukeblad har også skrevet en artikkel om disse svakhetene.

Det er utgitt Metasploit-moduler for begge disse sårbarhetene. Dette gjør det svært enkelt å utnytte dem, også for folk uten særlig kompetanse innenfor datasikkerhet. Microsoft har ikke sluppet informasjon om når disse sårbarhetene vil bli utbedret.

 
>