Autoreporter-kategorier

Advanced persistent threat alltså ett riktat angrepp. I riktade angrepp används samma medel som i vanliga oriktade kränkningar av informationssäkerheten (skadeprogram, nätfiske, knäckta webbplatser osv.) men angreppens föremål är utvalda. I vanliga kränkningar av informationssäkerheten önskar angripare att angreppet träffar någon, vem som helst.

Observationer i denna kategori är vanligen kommandoservertrafik eller kommandoservrar av skadeprogram som används för företagsspionage.

En observation av kommunikation mellan en dator som har drabbats av ett skadeprogram och botnätets kommandoserver.

Vissa rapporterade skadeprogram kan raderas med Microsofts verktyg Malicious Software Removal Tool (MSRT).

En dator eller ett nät som används för att försöka göra intrång i andra datorer eller tjänster genom att gissa lösenord eller andra inloggningsuppgifter.

En observation av botnätets kommandoserver (på engelska command and control server).

En server eller ett nät som används för ett distribuerat överbelastningsangrepp (på engelska distributed denial of service attack).

En observation av en server eller en webbplats vars informationsinnehåll angriparen har ändrat eller bytt till sitt eget innehåll. Den här kategorin har inga underkategorier.

En webbplats på vilken distribueras en programkod som utnyttjar programsårbarhet.

En observation av en URL-länk som leder till ett objekt på vilket distribueras ett känt skadligt program eller som har nämnts på botnätets kontrollkanal. Denna kategori har endast en underkategori som kallas för "malware hosting".

En observation av en hackad server som styr besökare till en webbsida som distribuerar ett skadligt program.

I Autoreport-rapporten anges vanligen inte skadans typ, men typen kan i allmänhet utredas väldigt snabbt genom att utnyttja exempelvis webbplatser som har specialiserat sig på analysen av sådana webbsidor. Problematiska domännamn och webbadresser kan också sökas efter i olika databas.

En nätfiskewebbplats. Webbplatsen har vanligtvis knäckts och angriparen har lagt till sitt eget innehåll och sin egen programkod på webbplatsen. Autoreporter-rapporten innehåller URL-adressen till den förfalskade webbsidan, ifall den är känd.

Servern kan innehålla betydande information i hänseende till brottsutredning, såsom kontaktadresser till den punkt som vidarebefordrat de insamlade uppgifterna. Det är starkt önskvärt att kunder instrueras att göra en begäran om utredning till polisen.

En öppen proxyserver. Nätbrottslingar försöker ofta dölja sina spår och minska risken för att åka fast genom att använda öppna proxyservrar för förmedling av skadlig trafik.

En dator som skannar öppna kommunikationsportar i andra datorer. Skanningen av öppna portar utnyttjas ofta i förberedelse av andra cyberangrepp.

Du kan betrakta tjänster, sårbarheter och allmänna skanningsstatistiker relaterade till olika portar på adressen http://isc.sans.org/port.html?port=X, där X står för portens nummer.

En observation av servrar, nät eller webbplatser som sprider eller utnyttjar skräppost.

En tjänst eller en server som har en känd sårbarhet eller en farlig konfiguration och som utnyttjas olovligt av en tredje part. Öppna proxyservrar har kategoriserats separat.

• DynDNS: I några riktade angrepp används vissa dynamiska namntjänster för att dölja angriparens spår. En sådan Autoreporters observation berättar om trafiken till vissa dynamiska namntjänster.
• Mirage: Ett Windows-skadeprogram som ger angriparen total kontroll över en infekterad dator (s.k. RAT, remote access trojan).
• Volatile Cedar: Volatile Cedar är ett namn given av informationssäkerhetsbolaget Check Point för en kampanj med riktat sabotageprogram. Föremål för kampanjen är bl.a. försvarsindustri och företag inom kommunikationsteknik.

• Andromeda: Ett Windows-skadeprogram som stjäl uppgifter och omredigerar skum trafik (s.k. proxy).
• Bamital: Ett Windows-skadeprogram som ändrar sökresultat på nätet.
• Banatrix: Ett Windows-skadeprogram som ändrar penningtransaktioner som görs på en nätbank.
• BankPatch: Ett Windows-skadeprogram som stjäl uppgifter.
• Beagle:  Beagle (kallat även Bagle) ger angriparen tillgång till en infekterad dator (s.k. backdoor) och skickar typiskt skräppost till tredje parter. Ett Windows-skadeprogram.
• Bedep: Ett allmänt användbart Windows-skadeprogram som distribueras genom skadliga reklamer och appar. Skadeprogrammet används i reklambedrägerier och för att sprida andra skadeprogram på datorer (s.k. dropper).
• Beebone: Ett Windows-skadeprogram som laddar ner andra skadeprogram (s.k. downloader).
• Bezigate: Ett Windows-skadeprogram som stjäl uppgifter och ger angriparen tillgång till en infekterad dator (s.k. backdoor).
• BlackEnergy: En mångsidig plattform för Windows- och Linux-skadeprogram som används för både kriminella ändamål och spionage.
• Bladabindi:  Ett Windows-skadeprogram som stjäl uppgifter och kan också ladda ner andra skadeprogram.
• Blaster: Ett Windows-skadeprogram som laddar ner andra skadeprogram och som används för distribuerade överbelastningsangrepp mot tredje parter.
• Bolek: Ett Windows-skadeprogram som stjäl uppgifter relaterade till användningen av nätbanker. Programmet kallas också för Bolik.
• Caphaw:  Caphaw alltså Shylock är ett Windows-skadeprogram som stjäl uppgifter.
• Citadel: Ett Windows-skadeprogram som stjäl uppgifter och är nära släkt med skadeprogrammet Zeus.
• Citeary: Ett Windows-skadeprogram som laddar ner andra skadeprogram (s.k. dropper).
• Conficker: Ett Windows-skadeprogram som stänger säkerhetsprogram, blockerar tillgången till webbsidor relaterade till informationssäkerhet och orsakar att nätet är allmänt långsamt eller inte fungerar. Conficker kallas också för Downadup, Downup, Kido, DNS Changer och Trafficconverter. En arbetsstation (Windows/Mac OS X) eller en hemrouter har gjort DNS-förfrågningar (UDP/53 eller TCP/53) till sådana IP-adresser som är relaterade till Conficker.
• Corkow: Ett Windows-skadeprogram som stjäl uppgifter - särskilt nätbankskoder.
• CryptoWall: Ett utpressningsprogram som krypterar filer. Du märker säkert om detta program har drabbat din dator.
• CryptPHP: Detta skadeprogram infekterar servrar på vilka det utförs innehållshanteringssystem såsom WordPress, Joomla och Drupal. Skadeprogrammet sprider sig vanligen genom insticksprogram i innehållshanteringssystem (s.k. plugin) som angripare har ändrat och distribuerat gratis. Skadeprogrammet ger angriparen tillgång till den infekterade servern.
• Cutwail: Ett Windows-skadeprogram som laddar ner andra skadeprogram (s.k. dropper), skickar skräppost till tredje parter och stjäl uppgifter. Cutwail är även känt som Pushdo.
• Cycbot:  Ett Windows-skadeprogram som ger angriparen total kontroll över den infekterade datorn.
• DirtJumper: Ett Windows-skadeprogram som används för distribuerade överbelastningsangrepp (DDoS) mot tredje parter.
• Dofoil: Ett Windows-skadeprogram som laddar ner andra skadeprogram (s.k. dropper).
• Dorkbot:  Ett Windows-skadeprogram som laddar ner andra skadeprogram (s.k. dropper) och som blockerar tillgången till några informationssäkerhetsrelaterade webbsidor.
• Downloader.BOT: Ett skadeprogram som infekterar gamla Windows-versioner, stjäl uppgifter och laddar ner andra skadeprogram (s.k. dropper).
• Dridex: Ett Windows-skadeprogram som stjäl uppgifter - särskilt nätbankskoder.
• Dynamer: Ett utpressningsprogram som krypterar filer på Windows-datorer.
• Esfury: Ett Windows-skadeprogram som ändrar operativsystemets informationssäkerhetsegenskaper och nätinställningar och som kan ladda ner andra skadeprogram.
• Expiro: Ett Windows-skadeprogram som stjäl uppgifter och ändrar datorns informationssäkerhetsinställningar.
• FakeAV: En grupp Windows-skadeprogram som inbillas vara anti-sabotageprogram men som i verklighet ger angriparen tillgång till den infekterade datorn (s.k. backdoor).
• Flashback: Ett Mac OS X -skadeprogram som stjäl uppgifter.
• Fynloski: Ett Windows-skadeprogram som kapar en dator för angriparen att ta över (s.k. remote access trojan, RAT). Programmet kallas också för DarkComet.
• Gamarue: Ett Windows-skadeprogram som stjäl uppgifter och ger angriparen tillgång till den infekterade datorn (s.k. backdoor).
• Gameover Zeus:  Ett Windows-skadeprogram som stjäl uppgifter och laddar ner andra skadeprogram (s.k. dropper). Till samma släkten av skadeprogram hör också ZeuS, Zbot och Zitmo.
• GootKit: Detta informationsstjälande skadeprogram fångar särskilt uppgifter av användare av franska bankers webbtjänster.
• Gozi: Ett Windows-skadeprogram som stjäl uppgifter.
• GozNym: Ett skadeprogram som stjäl uppgifter - särskilt nätbankskoder i Windows-datorer.
• Hesperbot:Ett Windows-skadeprogram som stjäl uppgifter och ger angriparen tillgång till den infekterade datorn (s.k. backdoor).
• IRCbot: En grupp skadeprogram som laddar ner andra skadeprogram (s.k. dropper) och Windows-skadeprogram som ger angriparen tillgång till den infekterade datorn (s.k. backdoor). Gemensamt för denna grupp av skadeprogram är att angripare styr deras verksamhet via IRC-kanaler.
• Jadtre: Ett Windows-skadeprogram som försöker ladda ner andra skadeprogram från internet (s.k. dropper) och sprida sig lokalt genom diskuppdelningar och portabla massminnen.
• Jenxcus: Ett Windows-skadeprogram som ger angriparen total kontroll över den infekterade datorn. Programmet har också informationsstjälande funktioner.
• KINS: Ett Windows-skadeprogram som stjäl uppgifter - särskilt nätbankskoder.
• Kovter:Ett mångsidigt Windows-skadeprogram som försvagar datorns skyddsinställningar och inkluderar datorn i webbannonsbedrägerier. Programmet kan också inställa andra skadeprogram på datorn, såsom utpressningsprogram.
• Locky: Ett utpressningsprogram som krypterar filer. Du märker säkert om programmet har drabbat din dator.
• Machbot: Ett Windows-skadeprogram som används för distribuerade överbelastningsangrepp mot tredje parter.
• Mirai: Ett skadeprogram som infekterar smarta apparater (saker som kopplas upp till internet, Internet of Things, dvs. IoT-apparater) och som används främst för distribuerade överbelastningsangrepp mot tredje parter. Skadeprogrammet smittar endast de apparater vars lösenord för hantering inte har ändrats vid ibruktagandet.
• MKero: Ett trojan-liknande skadeprogram i Android-operativsystem som beställer dyra textmeddelandetjänster till användaren.
• Multiple malware: Verksamheten av flera skadeprogram har observerats i föremålet.
• Necurs: Detta skadeprogram stänger ner datorns informationssäkerhetsfunktioner och skickar skräppost till tredje parter. Skräpposten innehåller andra skadeprogram såsom Locky.
• Neurevt: Ett Windows-skadeprogram som stjäl uppgifter, ändrar datorns inställningar och ger angriparen tillgång till den infekterade datorn (s.k. backdoor).
• Nivdort: Ett Windows-skadeprogram som stjäl uppgifter och ändrar datorns inställningar.
• Nymaim:  Ett Windows-utpressningsprogram som också kan ladda ner andra skadeprogram.
• PadCrypt: Ett utpressningsprogram som krypterar filer. Du märker säkert om programmet har drabbat din dator.
• Palevo:Mångsidig Windows-nätmask som bland annat stjäl användarens uppgifter och laddar ner andra skadeprogram på datorn.
• Patcher: Ett Windows-skadeprogram som ändrar webbläsares och operativsystems verksamhet och som stjäl användarens uppgifter - särskilt nätbankskoder.
• PcClient: Ett Windows-skadeprogram som stjäl uppgifter och ger angriparen tillgång till den infekterade datorn (s.k. backdoor).
• Ponmocup: Ett Windows-skadeprogram som laddar ner andra skadeprogram (s.k. dropper).
• Pony: Ett Windows-skadeprogram som stjäl uppgifter.
• Pushdo: Ett Windows-skadeprogram som laddar ner andra skadeprogram (s.k. dropper), skickar skräppost till tredje parter och stjäl uppgifter. Pushdo är även känt som Cutwail.
• Pykspa:  Ett Windows-skadeprogram som laddar ner andra skadeprogram (s.k. dropper). Pyskpa laddar särskilt ner en nätmask med samma namn som sprider sig självständigt till andra datorer och ger angriparen möjligheten att köra godtyckliga kommandon i den infekterade datorn.
• Qakbot:  Ett Windows-skadeprogram som stjäl uppgifter, laddar ner andra skadeprogram (s.k. dropper) och ger angriparen tillgång till den infekterade datorn (s.k. backdoor).
• Ramdo: Ett Windows-skadeprogram som stjäl uppgifter.
• Ramnit: En Windows-mask som sprider sig genom portabla minnesenheter såsom USB och som stjäl uppgifter samt ger angriparen tillgång till den infekterade datorn (s.k. backdoor).
• Ranbyus:  Ett Windows-skadeprogram som stjäl uppgifter.
• Rebhip:  En Windows-trojan som stjäl uppgifter.
• Redyms: Ett Windows-skadeprogram som ändrar sökresultat i webbläsare. Ändrade sökresultat kan leda till falska programuppdateringar som kan infektera datorn med andra skadeprogram om användaren inställer uppdateringen.
• Rovnix: Ett Windows-skadeprogram som stjäl uppgifter, laddar ner andra skadeprogram (s.k. dropper) och ger angriparen tillgång till datorn (s.k. backdoor). Rovnix är även känt som ReactorBot.
• Sality: Ett mångsidigt Windows-skadeprogram som bland annat kan stjäla uppgifter och ge angriparen tillgång till den infekterade datorn (s.k. backdoor).
• Sdbot: Ett skadeprogram som kapar en Windows-dator till angriparens kontroll.
• Simda: Ett mångsidigt Windows-skadeprogram som bland annat kan stjäla uppgifter och ladda ner andra skadeprogram (s.k. dropper). Programmet kallas också för Shiz.
• SpyEye:  Ett Windows-skadeprogram som stjäl uppgifter och laddar ner andra skadeprogram (s.k. dropper).
• Srizbi: Detta bot-kundprogram används för att skicka skräppost enligt angriparens kommandon. Skadeprogrammet hämtar kommandon från vissa fasta URL-adresser.
• Stealrat: Ett Windows-skadeprogram som skickar skräppost till tredje parter.
• TDSS: Detta är ett avancerat bot-kundprogram som använder rootkit-egenskaper för att gömma sig på den infekterade arbetsstationen. Infekterade arbetsstationer används som proxyservrar för anonyma internetförbindelser. TDSS kallas också för Alureon och Tidserv.
• Tinba:  Informationsstjälande Windows-skadeprogram kallas också för Tinybanker och Zusy.
• Torpig: Torpig laddas vanligtvis ner på den infekterade arbetsstationen tillsammans med skadeprogrammet Mebroot. Dessa skadeprogram stjäl tillsammans personliga uppgifter såsom bankkoder från användare av den infekterade datorn. Skadeprogrammet använder HTTP-protokollet när det lämnar in de stulna uppgifterna till angriparen och när det hämtar nya kommandon. Torpig är även känt som Sinowal.
• "Unknown" ja "Unspecified bot": Det finns diverse observationer av misstänkt trafik av skadeprogram men det har inte kunnat specificeras vilka skadeprogram observationerna handlar om. "Unknown (avalanche)” betyder skadeprogram som har distribuerats genom Avalanche-botnätet.
• Vawtrak: Ett Windows-skadeprogram som ger angriparen hemlig tillgång till den infekterade datorn (s.k. backdoor). Programmet stjäl också uppgifter.
• VBInject: En grupp olika skadeprogram som på ett visst sätt försöker dölja sig för att inte bli upptäckta och analyseradet. Skadeprogrammens användningsändamål varierar mycket.
• Virut: Ett Windows-skadeprogram som laddar ner andra skadeprogram (s.k. dropper) och som använder en IRC-kanal för att ta emot kommandon från angriparen.
• Wapomi: En Windows-nätmask.
• XCodeGhost:Ett informationsstjälande skadeprogram som infekterar apparater tillverkade av Apple. XcodeGhost sprider sig inte självständigt utan det infekterar appar redan i utvecklingsfasen genom programmerarens infekterade verktygsprogram.
• Xpaj: Ett virus som infekterar filer i Windows-datorer och nätdiskar och som laddar ner andra skadeprogram (s.k. downloader). Några versioner av detta virus smittar hårddiskens huvudstartsektor (MBR) och deras radering från datorn är särskilt knepigt.
• Yash RAT: Ett skadeprogram som laddar ner andra skadeprogram (s.k. dropper) och som ger angriparen hemlig tillgång till datorn (s.k. backdoor eller Remote access trojan).
• ZeroAccess: Ett Windows-skadeprogram som laddar ner andra skadeprogram (s.k. dropper) och ger angriparen tillgång till den infekterade datorn (s.k. backdoor).
• Zeus:  Ett Windows-skadeprogram som stjäl uppgifter - särskilt nätbankskoder. Angriparen kan också i viss utsträckning kontrollera den infekterade datorn (s.k. backdoor) och förmedla misstänkt nättrafik genom datorn (s.k. proxy). Zeus är även känt som Zbot.

• Unspecified brute-force: angripare som försöker göra intrång i ospecificerade tjänster.
• SSH: En angripare som försöker göra intrång i Secure shell-servrar genom att gissa lösenord.
• MySQL: En angripare som försöker göra intrång i databasservrar genom att gissa lösenord.
• WordPress: En angripare som försöker göra intrång i webbsidor som använder innehållshanteringssystemet WordPress genom att gissa lösenord.

• kommandoserver: IP-adress, domännamn eller annan teknisk beteckning för botnätets kommandoserver.
• kommandokanal: Teknisk beteckning av botnätets kommandokanal, t.ex. IRC-kanalens namn.
• config: Inställningsfil av bottar.
• dropsite: En webbsida till vilken bottar skickar uppgifter som angriparen letar efter.

Inga underkategorier.

• Amplifier: användning av en specificerad tjänst eller av en tillämpning för att förstärka ett distribuerat överbelastningsangrepp.
• Chargen: Utnyttjande av Chargen-protokollet för att förstärka ett överbelastningsangrepp.
• DDoS: ospecificerat distribuerat överbelastningsangrepp.
• DNS: Användning av internets domännamnssystem i syfte att förstärka ett överbelastningsangrepp. Föremålet är sannolikt en dåligt skyddad eller fel konfigurerad nätutrustning.
• NTP: utnyttjande av tidsinformationsprotokollet för att förstärka ett överbelastningsangrepp.
• SNMP: Utnyttjande av SNMP-näthanteringsprotokollet för att förstärka ett överbelastningsangrepp.
• SSPD: Utnyttjande av protokollet Simple Service Discovery för att förstärka ett överbelastningsangrepp.
• Wordpress Pingback: Utnyttjande av en motringningsfunktion som har bildats in i innehållshanteringssystemet WordPress för att förstärka ett överbelastningsangrepp.
•  

Inga underkategorier.

Den enda underkategorin är "Malware hosting": webbsidan som distribuerar skadeprogram.

Mer detaljerade uppgifter är inte tillgängliga.

En underkategori preciserar den tjänst eller det varumärke som innehåller uppgifter om användare som bedragarna försöker samla in.

En underkategori preciserar den tillämpning eller det protokoll som en proxyserver förmedlar.

• portnummer: En TCP- eller UDP-port som särskilt har skannats av föremålet.

• Unspecified spam infrastructure: informationskällan har inte specificerat i detalj varför föremålet anses vara sändare av skräppost.

• Cisco Smart install: rapid7 blogginlägg: Cisco Smart Install (SMI) Remote Code Execution: What You Need To Know och Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability