Dziś nadprogramowy wpis (kolejny już standardowo jutro), ale w pełni uzasadniony. Systemy diagnostyczne CERT Orange Polska odnotowały bowiem w ostatnim czasie znaczny wzrost infekcji trojanem Sality. Podłącza on komputer do botnetu i pozwala cyber-przestępcy na kontrolę nad zainfekowaną maszyną. Lada dzień powinien sie jednak stać kolejną ofiarą CyberTarczy.

Pozwala mu m.in. na wysyłanie z systemu użytkownika wiadomości spam, instalowanie innych aplikacji oraz podejrzenie loginów i haseł, co – w przypadku, gdy korzystamy z bankowości internetowej – może doprowadzić do utraty środków na koncie. Sality infekując system ofiary umieszcza w nim swoje biblioteki DLL oraz sterowniki, a także wpisuje do systemowego rejestru dane konfiguracyjne, gwarantujące uruchomienie ich ponowne uruchomienie wraz ze startem systemu. Aby uniknąć wykrycia, wiele odmian Sality korzysta z technik stosowanych przez rootkity, „maskując” się już na poziomie systemu operacyjnego, ukrywając w ten sposób swoje pliki lub wpisy w rejestrze przed mało dociekliwymi aplikacjami. Po zarażeniu zainfekowany komputer próbuje połączyć się jednego z rozsianych po całym świecie serwerów Command&Control, by odebrać polecenia od botmastera. Wśród nich mogą znaleźć się parametry aktualnej kampani spamowej, instrukcje doinstalowania innych aplikacji itp. Zablokowanie komunikacji z C&C nie musi okazać się skuteczne, bowiem bot może pobrać podpisane cyfrowo polecenia również z sieci P2P.

W związku z tym CERT Orange Polska dodaje zainfekowanych użytkowników sieci Orange do CyberTarczy. Jeśli jesteś naszym klientem i zostałeś zainfekowany Sality, niebawem otrzymasz komunikat, który poinstruuje Cię, krok po kroku, jakie czynności należy przeprowadzić, aby pozbyć się infekcji. Wykonaj je czym prędzej, bo nie ma na co czekać!

Zastanawiacie się, jakie gadżety zabrać na wakacje? Znaczy się trafiłem z terminem publikacją 🙂 Akurat tak się składa, że każdy z testowanych przez mnie w tym odcinku gadżetów nie tylko funkcjonalność ma wakacyjną, ale też jest na tyle mały, że da się go wcisnąć nawet do załadowanej torby.

Kino w kieszeni – ZTE Spro 2
Wygłaszanie prezentacji, impreza dla sąsiadów, oglądanie filmu w salonie w wyjątkowo komfortowych warunkach. Co łączy te trzy sytuacje? Ano to, że przydałby się do nich projektor! Najlepiej taki, który bez trudu zmieści się do plecaka, z Androidem na pokładzie, miejscem na kartę i dość wytrzymałą baterią. Najlepiej gdyby miał gniazdo USB 3.0, slot na kartę pamięci, obsługę WiFi i najlepiej jeszcze SIMa?
Nie – nie każę Wam się uszczypnąć, co najwyżej szerzej otworzyć portfele. „Kieszonkowy” rzutnik ZTE jest intuicyjny w obsłudze do tego stopnia, że poradził sobie z nim nawet mój pięcioletni syn. Wcisnąć guzik, jak się uruchomi to „ON” obok symbolu rzutnika na pięciocalowym ekranie, a potem ikonkę z napisem „Video” i znaleźć odpowiednią bajkę. Bateria 6,3 Ah starcza nawet na ponad dwie godziny oglądania, zaś lampa daje wyraźny obraz nawet o pięciometrowej przekątnej. Na ścianie w salonie jest rewelacyjnie – sprzęt stawiamy daleko, a kontrolujemy go aplikacją, która pokazuje na naszym smartfonie ekran rzutnika. Do dyspozycji mamy pełnowartościowego Androida 4.4.4 z nakładką dedykowaną urządzeniu. Maili na nim nie czytałem – jeszcze nie zwariowałem – ale streaming z aplikacji VOD działał idealnie. Nawet z obsługującej LTE karty SIM, dzięki której urządzenie może również służyć jako mobilny hotspot. A jak to wygląda? Widzieliście na głównej stronie, oglądałem Łowcę Androidów 🙂
„I wtedy zapada taka niezręczna cisza” – Bose Quiet Comfort 20 Czasami tęsknię za życiem sprzed 20 lat. Może niekoniecznie było wtedy lepiej, ale na pewno ciszej. Wychodząc na miasto mam czasami ochotę zacisnąć uszy rękoma, że nie wspomnę o tych, którzy uwielbiają dyskursy w komunikacji miejskiej. Ostatnio poznałem na to sposób 🙂
Wątpiłem, czy słuchawki douszne potrafią efektywnie aktywnie redukować szumy. Okazuje się jednak, że wystarczy dołożyć do nich małe, płaskie, kwadratowe „coś”, wymagające ładowania raz na kilkanaście godzin słuchania. Jest nieco ciężej, ale z drugiej strony – komu przeszkadzają 44 gramy?
Jakość dźwięku za to… powala. Przesuwając przełącznik „wyłączamy świat”, do tego stopnia, że radzę rozglądać się w pobliżu ruchliwej ulicy. To był kolejny przypadek, gdy zdałem sobie sprawę, jak olbrzymia ilość dźwięków wpływa na nasz odbiór muzyki. Nie chadzam na koncerty muzyki klasycznej – nie moja bajka – ale tak wyobrażam sobie odsłuch w filharmonii. Są jakieś dystraktory, tego nie unikniemy, ale gros naszego umysłu może się skupić na tym, co najważniejsze.
A jeśli zastanawiacie się, czy przy tym skupianiu nie wypadną Wam słuchawki, to mamy do dyspozycji specjalnie ukształtowane wkładki StayHear w trzech rozmiarach, które automagicznie dopasowują się do małżowiny. Szkoda tylko, że na dzieci i hałaśliwych współpodróżników nie pomogą, ale cóż – nie można mieć wszystkiego.

Tablet na imprezę – Huawei MediaPad M2 Harman-Kardon
Niecały rok temu bawiłem się tabletem Huawei w wersji M1 i zrobił na mnie całkiem niezłe wrażenie. „Dwójka” okazała się być znacznie bardziej niż przyzwoita, bowiem trafiła do mnie w specjalnej edycji Harman/Kardon. Wielbicielom czystych brzmień nie trzeba mówić z czym mamy do czynienia, pozostałych zapraszam tutaj. Ja audiofilem nie jestem, głośniki dzielę na grające słabo, dobrze lub kapitalnie, i jak się domyślacie M2 w tej wersji zdecydowanie trafia do tej ostatniej grupy. Jest głośno, jak na mój gust czysto, a dzięki umieszczeniu wylotów głośników na bocznych ściankach (i jakiejś wypasionej technologii) można lepiej emulować dźwięk dookólny, czyli np. salę koncertową.

Efekt wow w kwestii audio jak najbardziej jest, a co z pozostałymi? Nakładka Emotion UI 3.1 ma swoich wielbicieli i wrogów, aczkolwiek w domyślnej na tym urządzeniu wersji złotej jest koszmarnie pretensjonalna. Poza tym standardowo dla Huawei – jasny i naturalny ekran Full HD (z technologią oszczędzającą oczy przy aplikacjach „czytelniczych” – bardzo fajna sprawa), 8-rdzeniowy Kirin 930 i oczywiście Android 5.1. Mam tylko nadzieję, że nie zabije mnie cena, aczkolwiek firma spod znaku pawia zaskakiwała w tej kwestii raczej pozytywnie.

Rozmieszczone w różnych miejscach sieci Orange Polska specjalne sondy regularnie rozglądają się za ruchem sieciowym noszącym znamiona złośliwego (ach jak ja uwielbiam to określenie 🙂 ). Uzyskane z nich informacje służą między innymi do wytypowania malware’u, który powstrzymujemy w ramach CyberTarczy i pomyślałem sobie, że fajnie by było raz na jakiś czas przygotować także dla Was „małe co nieco”, rozjaśniające Wam kulisy działania złośliwego oprogramowania i tego, skąd biorą się statystyki malware na naszej stronie. Oczywiście bez wsparcia merytorycznego kolegów by się nie udało, więc splendor i orzeszki dla nich 🙂

Typ złośliwego oprogramowania i sposób jego działania analitycy CERT Orange Polska identyfikują na bazie jego konstrukcji i instrukcji zapisanych w kodzie. Dopiero wtedy można zaplanować, opracować i opublikować na stronach CyberTarczy informacje o sposobie zapobiegania, bądź – w najgorszym przypadku – leczenia.

Badając zdarzenia identyfikowane na próbce użytkowników internetu szerokopasmowego najczęściej wykrywamy infekcje w czasie rzeczywistym, tzw. Malware Objects. Są to pliki, po otwarciu których wykonywany jest złośliwy kod na urządzeniu ofiary. Mogą to być zarówno pliki wykonywalne (m.in. exe, czy bin), biblioteki dll oraz wszelkiego rodzaju archiwa bądź pliki tekstowe. Stanowią one ok. 15% całkowitej liczby wykrywanych alertów, infekując 1% tej części sieci, której jest analizowana przez nasze sondy.

Panuje opinia, iż większość infekcji pochodzi z serwisów zawierających nielegalne oprogramowanie, czy pirackie filmy. Infekcje plikami stanowią istotny odsetek, jednak nie dominują w zestawieniu. Jednym z głównych źródeł infekcji są natomiast usługi w chmurze (ostatnio sporą popularnością cieszy się Amazon Web Services). Cyber-przestępcy często atakują „chmury” indywidualnych użytkowników, przejmując od nich dane uwierzytelniające i podmieniając lub wstawiając nowe pliki z niechcianą zawartością.

Na przełomie maja i czerwca w szerokopasmowej sieci Orange Polska wyjątkowo aktywny był plik everything.exe, bez cienia wątpliwości pochodzący z Chin. Udawał on legalny element systemu Windows, wspomagający wyszukiwanie plików w systemach Microsoft. Złośliwy plik tworzył nowy procesu ServiceEverything.exe oraz kilka podprocesów, m.in. everything.exe. Procesy działały z nowo utworzonego katalogu Everything zlokalizowanego w katalogu C:\Users\NAZWA_UŻYTKOWNIKA\AppData (prawdziwy plik działa w folderze c:\Program Files) i odpowiedzialne były za nawiązanie komunikacji z chińską domeną xa.xingcloud.com. Wśród transmitowanych pakietów eksperci CERT Orange Polska rozpoznali m.in. treść charakterystyczną dla oprogramowania szpiegującego – żądania udostępnienia informacji na temat zawartości dysków ofiary oraz regularną komunikacje z kilkoma domenami m.in – thefacebooksinfo.com, up.soft365.com czy downktrpm.com.

A co zrobić, gdy nie jesteście pewni, czy „Wasz” everything.exe jest tym właściwym, albo wręcz macie pewność, że nie jest?

1. uruchom Panel Sterowania, sprawdź, czy na liście zainstalowanych programów jest everything.exe
2. jeśli jest – możesz dalej nie czytać, jest dobrze 🙂
3. w Menu Start w oknie wyszukiwania wpisz „Usługi”; gdy pojawi się pozycja „Usługi” lub „Znajdź usługi lokalne” kliknij ją, potwierdź uruchomienie w trybie administratora
4. znajdź na liście usługę ServiceEverything (polecam kliknięcie najpierw w belkę „nazwa”, by uporządkować usługi alfabetycznie)
5. jeśli jej nie ma – możesz dalej nie czytać, jest dobrze 🙂
6. kliknij na nazwę usługi prawym przyciskiem myszy, wybierz „Właściwości”
7. jeśli w oknie, które się pojawi, ścieżka dostępowa wskazuje na c:\program files – możesz dalej nie czytać, jest dobrze 🙂
8. jeśli nie jest dobrze, w oknie wyszukiwania wpisz cmd, a gdy pojawi się program cmd.exe – kliknij na ikonie prawym przyciskiem i wybierz „Uruchom jako administrator”
9. w oknie linii komend wpisz sc stop serviceeverything [ENTER] sc delete serviceeverything [ENTER]
10. znajdź katalog Everything w lokalizacji C:\Users\Twoja_Nazwa_UŻzytkownia\AppData i usuń go
11. nie zaszkodzi przeskanowanie komputera oprogramowaniem antymalware