Världens största cyberbrottslingar fast?

Den 9/11 2011 har Trend Micro tillsammans med FBI och den estländska polisen slagit ut vad som kallats det största cyberbrottsliga nätverket i historien. En operation som kallas “operation ghost click”. Över 100 stycken C&C centers har hittas och över 4.000.000 datorer i världen var/är online och är kontrollerade av detta bot-nätverk som kallas “EASTHOST”. En C&C är en BOT host som har kontroll på din dator och har med största sannolikhet rätten att ändra saker på din dator, dvs ladda ner andra virus, trojaner, logga din bank trafik, osv. Detta bot-nätverk använder sig av simpel injektions teknik på din dator, den modifierar dina DNS anrop så när du surfar eller utnyttjar DNS anrop i din webbläsare exempelvis så hamnar på du på webbsidor som du inte ville och de innehåller skadlig kod och exekverar saker. Exempelvis reklamblad poppar upp på sidan av din webbläsare när du surfar eller skickar dig till nån annan sida som ser likadan ut som den du skulle besöka osv.

Det mest intressanta med detta är detta de personer som är skapare och ägare av detta Bot nät är också ägare och skapare av flera “web hosting företag” och “legitima” företag som Rove Digital, Easthost, UkrTeleGroup, Cernel som styrt och koordinerat detta sen 2005. Företagen har flera skalbolag under sig som de använder för att publicera ut sina DNS servrar och hyr troligtvis ut dessa DNS pekare till olika webbsidor som andra skurkar har för att kunna försöka få sin malware på din dator. Så risken med att vara ofrivillig “medlem” i detta bot-nätverk är risken att få en mängd roliga virus och skräp progam på sin dator.

Är din Dator “Ghost’ad”?

För att se om din dator är smittad av detta behöver du hitta din DNS server och besöka denna länk nedan som är ett verktyg från FBI för lista dessa DNS som “EASTHOST” använder/använde sig av:   Start -> RUN -> CMD -> Ipconfig /all                               Hitta dina DNS servrar och kopiera alla dem DNS suffix du har och klistra in i verktyget i länken och kontrollera om den hittas.

https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS

Om du nu hittar att din dator har detta DNS suffix dvs varit drabbad av denna DNS injektion, betyder de att mest sannolikt att du har någon skadlig kod på din dator. Vill du ha en professionell bedömning av din dator, kontakta NSEC för hjälp på support@nsec.se

Andra kända botnätverk.

• Rustock
• Waledac
• Coreflood

Trend länk: http://blog.trendmicro.com/esthost-taken-down-biggest-cybercriminal-takedown-in-history/

Mvh Magnus Näriäinen, Senior IT Security Consultant

Nya Facebook viruset “Ramnit” har hittas i stor skala i UK och som är de jobbigaste av virus arterna  “Worm”. Kanske inte så relevant i Sverige och för svenska användare eftersom målgruppen är banker som finns i UK. Dock är de inte så långt kvar innan liknande maskar av större skala är här och härjar. Har redan funnit liknande virus för svenska banker som drabbat användare för exempelvis Swedbank och Nordea.

Denna bankkontomask Ramnit har lyckas greppa 45.000 bank och facebook konton världen över. Detta efter en engelsk säkerhets firma “Seculert” att ha hittas BOT servrarna som används som “command-and-control server” för att korndinera allt. De flesta av användarna som är drabbade är från UK och Frankrike eftersom engelska banker är målet.

Hur “Ramnit” viruset sprider sig är att den tar FTP credentials och webbläsares cookies och adderar  viss “financial-stealing capabilities” i datorn. Senaste har “ramnit” adderat en Facebook mask för att ha en ny form att sprida sig snabbt. Den sprider sig genom logga in och posta saker på andra användares “Walls” i facebook som länkar till dåliga webbsidor som då automatisk laddar ner viruset på datorn.

Några andra kända Facebook virus:

• Secret Crush – aka Zango
• Koobface
• FireSheep

Mvh Magnus Näriäinen, Senior Security Consultant at NSEC Network Security AB