http://www.infoprof.pl Firma InfoProf zajmuje się doradztwem w zakresie zarządzania bezpieczeństwem informacji, jej profesjonalnym przetwarzaniem i eksponowaniem na stronach www. Oferujemy również autorskie rozwiązania software`owe z zakresu business intelligence. Oferowane przez nas usługi zapewnią zasobom informacyjnym wysoki poziom bezpieczeństwa niezbędny do prowadzenia biznesu a także pozwolą na zgodne z obowiązującym prawem przetwarzanie i skuteczną ochronę danych osobowych.Dzięki naszym wyspecjalizowanym bazom danych, przetwarzana informacja trafi bezpiecznie do właściwych osób, we właściwym czasie. Wykorzystanie narzędzi z zakresu architektury informacji pozwala na właściwe wyeksponowanie najistotniejszych danych w serwisie internetowym.Tworzone przez nas rozwiązania uwzględniają wymogi i trendy w dziedzinie ochrony informacji. Bezpieczeństwo danych jest obecne na każdym etapie tworzenia produktu. http://www.audyt-ip.pl/ Profesjonalna oferta analizy przetwarzania danych osobowych, przygotowania dokumentacji (Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemem Informatycznym) wraz ze zgłoszniem do rejestracji zbiorów danych osobowych w GIODO. Realizowane były z powodzeniem prace zarówno dla małych i średnich przedsiębiorstw, instytucji jak też korporacji.Wdrożenie Polityki Bezpieczeństwa, opracowanie procedur dla Administratorów Bezpieczeństwa Informacji, opieka powdrożeniowa. Oferta kompleksowej obsługi ochrony danych osobowych obejmuje również indywidualne szkolenia z zakresu ochrony danych osobowych. Opracowywane przez firmę InfoProf dokumentacje były pozytywnie weryfikowane podczas kontroli GIODO. http://www.infoprof.pl/infosec.php?id=1878 Niebawem będziemy obchodzili Walentynki. I jak co roku, cybernapastnicy będą się starali przy tej okazji dobrać do naszych danych. Pierwsze zwiastuny takich działań już pojawiły się na Facebooku. http://www.infoprof.pl/infosec.php?id=1877 Minęły już czasy, gdy `poważne` strony internetowe posiadały obowiązkowy element w postaci podkładu dźwiękowego - melodyjki odtwarzanej z mniejszym lub większym wdziękiem z syntezatora MIDI. Właściciele lepszych kart mogli wyjść z tego eksperymentu w miarę zdrowi, posiadacze kart słabszej jakości syntezatora mogli zaś doznać trwałego uszczerbku na psychice. Muzyczki grające w tle spotyka się czasem nawet dziś, toteż nikogo zbytnio nie dziwi fakt, że jakaś strona uruchamia malutkiego Windows Media Playera i wraz z padającym na ekranie śniegiem w JavaScript odtwarza `Jingle Bells`. http://www.infoprof.pl/infosec.php?id=1876 W styczniowym biuletynie bezpieczeństwa wydanym przez Microsoft odnotowano obecność luki MIDI Remote Code Execution Vulnerability (CVE-2012-0003). I nie trzeba było specjalnie długo czekać, żeby znalazł się ktoś kto rzeczoną lukę postanowił wykorzystać. Ale taka wiadomość nie byłaby jakimś szczególnym newsem prawda? Ostatecznie, szkodniki na konkretną lukę potrafią się pojawić już w kilka godzin po ujawnieniu podatności, tymczasem tu trzeba było poczekać co najmniej tydzień. No właśnie. W przypadku tej luki to nie obecność szkodnika jest wiadomością dnia. Wiadomością dnia jest to ile szkodników działa zgodnie dla jednego celu – dobrania się do twoich danych. http://www.infoprof.pl/infosec.php?id=1874 W sieci ukazał się poglądowy eksploit, przeznaczony do zdalnego zawieszania systemów linuxowych w obrębie sieci lokalnej z jądrami od wersji 2.6.36. Luka odkryta przez Simona McVittiea orginalnie w Debianie, okazała się dość poważna - pozwala bowiem łatwo wyeliminować niemal dowolny linuxowy host działąjący w sieci lokalnej przy pomocy skierowanych do niego kilku pakietów. http://www.infoprof.pl/infosec.php?id=1872 17 stycznia 2012 roku specjaliści z McAfee poinformowali na swoim blogu o wykryciu nowego ataku skierowanego przeciwko użytkownikom popularnego portalu społecznościowego Facebook. Celem jest zdobycie loginu i hasła do konta, zaś wykorzystaną techniką – stary chwyt social engineering’u –polegający na uruchomieniu w ofierze przekonania „okazji się nie przepuszcza”. http://www.infoprof.pl/infosec.php Backdoor.Whalfrost jest koniem trojańskim którego zadaniem jest otwarcie backdoora na skompromitowanej maszynie jak również pobieranie innych plików na komputer i kradzież informacji. Szkodnik dostaje się do komputera poprzez wyexploitowanie jednej z podatności: Adobe Reader and Acrobat U3D File Invalid Array Index Remote Vulnerability (BID 36665), Adobe Reader and Acrobat 'newplayer()' JavaScript Method Remote Code Execution Vulnerability (BID 37331), Adobe Reader 'CoolType.dll' TTF Font Remote Code Execution Vulnerability (BID 43057), Adobe Acrobat and Reader U3D Memory Corruption Vulnerability (BID 50922). Po uruchomieniu szkodnik tworzy następujące pliki %Profil użytkownika%\dane aplikacji\msupdater.exe oraz %Profil użytkownika%\dane aplikacji\FAVORITES.DAT. Szkodnik podejmuje następnie próbę połączenia się z serwerem command and control (C&C) w zdalnych lokalizacjach:[http://]61.78.75.96, [http://]125.128.117.21, [http://]140.112.19.195, [http://]210.114.223.201, [http://]211.174.49.136. Trojan może na polecenie zdalnego napastnika podejmować następujące działania: tworzyć zdalną powłokę, tworzyć i zamykać procesy, usuwać pliki, pobierać pliki z Internetu, wysyłać pliki do zdalnej lokalizacji, wylistowywać pliki znajdujące się w konkretnych katalogach, wylistowywać wszystkie działające na komputerze procesy. Szkodnik jest również w stanie gromadzić informacje o skompromitowanej maszynie. http://www.infoprof.pl/infosec.php Szkodnik przenoszony jest przez inne malware. Może także pojawić się w komputerze jako pliki o nazwach googletalk.exe oraz Skype.exe. Jest wtedy umieszczany w adekwatnych lokalizacjach: %profil użytkownika%\Dane Aplikacji\Google Talk\ a także %profil użytkownika%\Dane Aplikacji\Skype\Phone\. Po uruchomieniu szkodnik może stworzyć liczne pliki konfiguracyjne które umieści w lokalizacji %profil użytkownika%\Dane Aplikacji\Microsoft\ w utworzonym przez siebie folderze o losowej nazwie. Także pliki utworzone przez szkodnika i umieszczone w tym katalogu będa miały losowe nazwy. Kolejnym posunięciem szkodnika będzie wstrzyknięcie swojego kodu do procesu explorer.exe, a następnie otwarcie backdoora na porcie 80 TCP i połączenie się z następującymi zdalnymi lokalizacjami: 91.207.8.198, 91.211.119.196, 195.16.89.60, 188.72.227.35 http://www.infoprof.pl/infosec.php Po uruchomieniu, robak tworzy stara się włączyć dodatek do przeglądarki Mozilla Firefox poprzez plik dodatku `youtube@youtube3.com.xpi`. W przypadku powodzenia, otwiera w ten sposób kanał komuniakcji ze światem. Ponadto robak rozsyła spam do wszystkich znajomych właściciela konta na Facebooku. Zawiera w nim link do swojej kopii w przejętym systemie. Dodatkowo łączy się z stroną blogową http://seeandrestorethis.blogspot.com odnotowując przejęcie kolejnego komputera. http://www.infoprof.pl/infosec.php Szkodnik może pojawić się w komputerze jako skutek wyexploitowania następującej podatności: Microsoft Windows Media Player 'winmm.dll' MIDI File Parsing Remote Buffer Overflow Vulnerability. Po otwarciu przez użytkownika w przeglądarce szkodliwego pliku .html plik ten załaduje podatny plik MIDI. W efekcie, na komputer zostanie pobrany szkodliwy plik wykonywalny. Kiedy szkodnik zostanie uruchomiony tworzy w domyslnym katalogu systemowym następujące pliki: com32.dll oraz VersionKey.ini, pozostałe pliki szkodnika tworzone są w następujących lokalizacjach: profil użytkownika - plik o nazwie a.exe, profil użytkownika%\Local Settings\Temporary Internet Files\ plik o nazwie tdc.exe, domyślny katalog systemowy podkatalog drivers plik o nazwie com32.sys. Następnie szkodnik modyfikuje rejestr dodając siebie jako usługę o nazwie Com32. Później szkodnik sprawdza, czy w skompromitowanej maszynie istnieją następujące procesy: IRPro.exe, Remon.exe, SpStart.exe. Jeśli trojan znajdzie którykolwiek z wymienionych procesów upuszcza do domyślnego katalogu systemowego jeszcze jeden plik o nazwie FileDisk.sys. Jego zadaniem jest nadpisanie pliku userinit.exe. Po dokonaniu tego szkodnik podejmuje próbę połączenia się z następującymi zdalnymi lokalizacjami w celu pobrania i uruchomienia w skompromitowanym komputerze kolejnych szkodliwych plików: file.tellmegirl.com, images.c2bshop.com, images.tellmegirl.com. Pliki pobrane z wymienionych lokalizacji są zapisywane w komputerze pod nazwą która jest datą pobrania w zapisie :rok miesiąc dzień i z rozszerzeniem .exe. Na koniec szkodnik monitoruje następujące procesy: ALYac.aye, AYRTSrv.aye, AYServiceNT.aye, Nsavsvc.npc, nsvmon.npc, NVCAgent.npc, v3light.exe, v3lsvc.exe, v3ltray.exe http://www.infoprof.pl/oferta.php Firma InfoProf zajmuje się doradztwem w zakresie zarządzania bezpieczeństwem informacji, jej profesjonalnym przetwarzaniem i eksponowaniem na stronach www. Oferujemy również autorskie rozwiązania software`owe z zakresu business intelligence. Oferowane przez nas usługi zapewnią Państwa zasobom informacyjnym wysoki poziom bezpieczeństwa niezbędny do prowadzenia biznesu a także pozwolą na zgodne z obowiązującym prawem przetwarzanie i skuteczną ochronę danych osobowych.Dzięki naszym rozwiązaniom CRM oraz wyspecjalizowanym bazom danych, informacja przetwarzana w Państwa firmie trafi bezpiecznie do właściwych osób, we właściwym czasie, zaś wykorzystanie narzędzi z zakresu architektury informacji pozwoli na najlepsze wyeksponowanie najistotniejszych danych w Państwa serwisie internetowym.Tworzone przez nas rozwiązania uwzględniają wymogi i trendy w dziedzinie ochrony informacji. Bezpieczeństwo danych jest zatem obecne na każdym etapie tworzenia produktu. http://www.infoprof.pl/infosec.php Trojan jest dostępny na Android Market jako aplikacja od następujących autorów: iApps7 Inc., Ogre Games, redmicapps. Nazwy pakietów to między innymi: com.iapps.hitterrorist, com.iapps.hitterroristpro, com.christmasgame.balloon, com.christmasgame.deal, com.redmicapps.puzzles.ladies3. Szkodnik wymaga pozwolenia na dostęp do informacji o sieci, WiFi, lokalizacji, pozwolenia na instalację i usuwanie skrótów, odczyt ustawień, listę kont, sprawdzanie stanu telefonu, powodowanie wibracji, otwieranie połączeń sieciowych, blokowanie uśpienia procesora i ekranu, odczyt i zapis historii przeglądania i zakładek oraz start automatyczny. Wszystkie aplikacje zawierają pakiet com.apperhand, który może kopiować z urządzenia skróty, opt-out, notyfikacje push, sprawdzać ostatnie polecenia, zmieniać stronę domową i kraść informacje systemowe. Szkodnik może łączyć się z następującymi lokalizacjami: [http://]www.apperhand.com/ProtocolGW/prot[USUNIETO], [http://]www.searchmobileonline.com/[CATE[USUNIETO]. Aplikacje od Ogre Games oprócz tego kradną też Android ID, IMEI, IMSI, MAC address i numer seryjny SIM. http://www.infoprof.pl/infosec.php Trojan wstrzykuje szkodliwy kod PHP do "ciasteczek". Kiedy strona zawierająca szkodliwy kod zostanie uruchomiona w wyszukiwarce otworzy w niej backdoora. polecenia trojana (backdoora) są przemycane przez ukryty kanał informacji w nagłówku HTTP i plikach cookies. http://www.infoprof.pl/infosec.php Szkodnik uruchamia się kiedy uzytkownik wejdzie na zmodyfikowaną w złośliwy sposób stronę, moze być także pobrany do komputera przez inne maware jako plik o nazwie is.js. Szkodnik jest także komponentem malware rozpoznawanego przez oprogramowanie ochronne Trend Micro jako HTML_EXPLT.QYUA, które wykorzystuje lukę w Windows Media Could Allow Remote Code Execution Szadaniem złośliwego kodu jest pomoc w odszyfrowaniu shellcode wbudowanego w szkodnika HTML_EXPLT.QYUA. http://www.infoprof.pl/infosec.php W32.Cridex to robak rozprzestrzeniający się poprzez kopiowanie na napędy wymienialne oraz mapowane. Szkodnik podsiada również umiejętność tworzenia backdoora i pobierania na skmpromitowaną maszynę potencjalnie niebezpiecznych plików. PO uruchomieniu szkodnik kopiuje się do nastepującej lokalizacji: %profil użytkownika%\Dane Aplikacji\ jako plik o nazwie składającej się z losowych znaków i rozszerzenia .exe. Następnie szkodnik tworzy inne swoje pliki: dwa z nich utworzone zostaną w tej samej lokalizacji co plik bazowy: %profil użytkownika%\Dane Aplikacji\ a ich nazwy będą składały się z losowych znaków zapisanych w systemie szesnastkowym oraz rozszerzeń .DAT.DAT i .DAT. Pozostałe dwa pliki szkodnika umieszczone zostaną w następujących lokalizacjach: w domyślnym katalogu Temp użytkownika pod nazwą POS[losowy numer w notacji szesnastkowej] z rozszerzeniem .BAT, w domyślnym katalogu systemowym podkatalogu drivers plik o rozszerzeniu .sys i nazwie będącej numerem zapisanym w szesnastkowym systemie notacji. PO dodaniu plików szkodnik rozpoczyna modyfikacje rejestru, m.in. zmieniając ustawienia domyślnej przeglądarki systemowej tak, aby włączała się w trybie online. Worm otwiera ponadto backdoora, na skompromitowanej maszynie umozliwiając zdalenmu napastnikowi na podejmowania następujących akcji: wysyłanie plików do sieci, pobieranie plików z sieci, uruchamianie plików. monitorowanie wyszukiwań internetowych. Na koniec robak rozprzestrzenia się poprzez kopiowanie się na wszystkie mapowane oraz wymienne napędy do których uzyska dostęp.