BlackHats - Bezpieczeństwo Online

W styczniu 2012 roku, eksperci z firmy Kaspersky Lab, wykryli nowego trojana wykradającego dane bankowe.

Szkodnikowi nadano nazwę Trojan-Banker.MSIL.MultiPhishing.gen, który został stworzony w celu kradzieży danych dotyczących kont klientów różnych banków, w tym Santander, HSBC Bank UK, Metro Bank, Bank of Scotland, Lloyds TSB oraz Barclays.

Po uaktywnieniu się trojan czeka na uruchomienie przez użytkownika serwisu bankowości online. Następnie otwiera okno, które imituje formularz autoryzacyjny danego banku. Co ciekawe, trojan nie pozwala na żadne błędy, sprawdzając dokładność wprowadzanych danych.
W efekcie oszuści uzyskują poufne informacje, które dają im pełny dostęp do konta bankowego ofiary.
Trojan atakuje głównie użytkowników z Wielkiej Brytanii – w państwie tym zarejestrowano ponad 90% przypadków wykrycia tego szkodliwego programu.

Źródło: Kaspersky Lab

Czym grozi wprowadzenie ACTA
Obrazowo i zwięźle ale jakże wymownie

Filmik wysoce zalecany dla polskich posłów, którzy mają problemy z przeczytaniem i interpretacją tekstu umowy ACTA, aby wiedzieli czego to dotyczy i wiedzieli za czym głosują.
Uzasadnienie, wypowiedź posła, który nie wiedział za czym głosuje:
"Dzisiaj rano dowiedziałem się, że głosowałem za ACTA. Serio. I nie mam zamiaru się tego wypierać. Czy wiedziałem, za czym głosuję? Nie. Czy zawsze wiem, za czym głosuję? Rzadko. Czy inni posłowie i europosłowie wiedzą więcej? Nie" - napisał na swoim blogu europoseł Marek Migalski.

W ramach protestu przeciw podpisaniu ACTA, strona premiera premier.gov.pl, została zhackowana.
Rząd zapewnia, że jest świetnie przygotowany na ataki hackerów.
Jak?

Dane Panelu administratora serwisu:
Login: admin
Hasło: admin1

Tak wyglądała strona po podmianie:
http://webcache.googleusercontent.com/s … clnk&gl=pl
To jest kopia z pamięci podręcznej Google adresu http://www.kprm.gov.pl/. Zdjęcie przedstawia stan strony z 23 Sty 2012 05:45:04 GMT.

W końcu silne hasła to podstawa.
Tu nie potrzeba hackerów ale raczej nowych wyborów.

Jakie jeszcze ważne dane są w Polsce chronione tak silnymi hasłami?

Wieczorem 21 stycznia strona polskiego sejmu sejm.gov.pl, przestała działać.
Po godzinie 22 przestały działać między innymi: mf.gov.pl, stat.gov.pl, ets.gov.pl, praca.gov.pl, mkidn.gov.pl, mkidn.gov.pl, pip.gov.pl, mzios.gov.pl, arimr.gov.pl, uzp.gov.pl, premier.gov.pl, knf.gov.pl a także strona ABW.

Tymczasem w serwisie Twitter, grupa Anonymus przyznała się do ataków na polskie strony rządowe w ramach protestu przeciwko podpisaniu porozumienia ACTA.

Trwają spekulacje czy za atakiem stoi grupa Anonimowych i jaką metodą się posłużono.

Porozumienie ACTA trzymane było w tajemnicy przez trzy lata. Polska ma podpisać pakt "Wielkiego Brata Internetu" już 26 stycznia. Oczywiście wszystko za naszymi plecami.

Anti-Counterfeiting Trade Agreement (ACTA) to międzynarodowe porozumienie dotyczące walki z naruszeniami własności intelektualnej, w tym także piractwem internetowym.
Walka taka ma działać na zasadzie inwigilacji, monitorowanie działalności użytkownika w sieci! Interpretując odpowiednio oglądane strony, nie zawsze świadomie otwierane (przekierowania przez malware) Wielki Brat znajdzie haka na każdego!

To tak w małym skrócie.

Jeśli jeszcze nie wiesz co to ACTA? Przeczytaj i dowiedz się:
http://antyweb.pl/polska-podpisze-acta- … -blackout/

WIELKI BRAT OTWIERA OCZY!
STRZEŻ SIĘ!

Skuteczne wykorzystywanie luk w zabezpieczeniach może pozwolić na wykonanie dowolnego kodu oraz pozwolić może na przejęcie kontroli nad zaatakowanym systemem.


Krytyczne luki zgłaszane są w następujących produktach:

Adobe Reader X (10.1.1) i wcześniejsze 10.x wersje dla Windows i Macintosh
Adobe Reader 9.4.7 i wcześniejszych wersjach dla Windows 9.x
Adobe Reader 9.4.6 i wcześniejszych wersji 9.x dla systemu Macintosh
Adobe Acrobat X (10.1.1) i wcześniejsze 10.x wersje dla Windows i Macintosh
Adobe Acrobat 9.4.7 i wcześniejszych wersjach dla Windows 9.x
Adobe Acrobat 9.4.6 i wcześniejszych wersji 9.x dla systemu Macintosh

Wysoce zalecana jest natychmiastowa aktualizacja do wersji 9.5 lub X (10.1.2.)

Za wykorzystywanie luk w kodzie gry Call of Duty: Modern Warfare 3, operatorzy serwerów zablokowali już ponad 1 600 kont.
Roberta Bowling z Infinity Ward, zachęca do raportowania nieuczciwych graczy oraz zapowiada kolejne bany za cheating:

„Wszelakie próby oszukiwania, modyfikacji kodu i wykorzystywania luk w kodzie nie będą tolerowane”.

Zapowiadane są także następne bany w kolejnych aktualizacjach oraz stopniowe łatanie luk i naprawianie błędów w kodzie gry.

Źródło: http://news.hitb.org/

W ostatnich dniach pojawiła się nowa mutacja trojana Zeus. Jest to kolejna wersja zbudowana na podstawie źródeł, które wyciekły na początku maja. Tak jak poprzednio, do dystrybucji plików konfiguracyjnych używane są mechanizmy P2P. Twórcy  zrezygnowali z charakterystycznego dla Murofeta mechanizmu DGA (algorytm generowania domen)  i powrócili do umieszczenia adresu C&C w zaszyfrowanym pliku konfiguracyjnym.

Jak dokładnie działa nowa mutacja ?

Po zainfekowaniu  komputer ofiary odczytuje liste węzłów sieci P2P, która jest ukryta w ciele trojana. Następnie łaczy się  do nich po protokole UDP, pobiera listy kolejnych węzłów oraz  nowszą wersję pliku konfiguracyjnego (jeżeli takową znajdzie). Pobranie konfigu odbywa się po wysokim porcie TCP. Następnie zgłasza się do kontrolera z wykorzystaniem  HTTP POST.

W pliku konfiguracyjnym znajduje się około 200 unikalnych webinjectów. Mutacja nie atakuje bezpośrednio polskich podmiotów. Wykrada za to każdej ofierze dane przesyłane formularzem, m.in. loginy i hasła wpisywane podczas logowania. Na przestrzeni 3 dni zainfekowana maszyna połączyła się z 360 unikalnymi węzłami sieci P2P. Najwięcej z nich znajdowało się w USA (143 węzły). W  Polsce odnotowaliśmy 12 maszyn.

Źródło: CERT Polska

W październiku pięć niemieckich landów przyznało się do wykorzystywania podczas prowadzenia dochodzenia trojana Backdoor.Win32.R2D2 – co wywołało ogólne oburzenie.
Niemieckie prawo federalne pozwala policji na przechwytywanie komunikacji podejrzanych osób prowadzonej jedynie za pośrednictwem Skype’a. W tym przypadku jednak szkodnik potrafił szpiegować również wiele innych rodzajów komunikatorów oraz aplikacji. Dochodzenie przeprowadzone przez Chaos Computer Club, niemiecką społeczność hakerów, w którym później uczestniczyli eksperci z niemieckiego biura Kaspersky Lab, wykazało, że trojan przechwytywał wiadomości nie tylko w programie Skype, ale również w najpopularniejszych przeglądarkach, rozmaitych komunikatorach oraz programach VoIP: ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster oraz Yahoo! Messenger. Okazało się, że backdoor ten potrafił również działać w 64-bitowych wersjach systemów Windows.

Incydent ten po raz kolejny zwraca uwagę na problem istnienia tak zwanych „rządowych trojanów” oraz kwestie prawne związane z ich wykorzystywaniem.

Warto podkreślić, że Kaspersky Lab, jak większość innych producentów rozwiązań antywirusowych, posiada twarde stanowisko w tych sprawach: produkty firmy wykrywają i nadal będą wykrywać wszystkie szkodliwe programy niezależnie od tego, kto je stworzył i dlaczego.

Źródło: Kaspersky Lab

Odnotowano poważne błędy w Apple QuickTime, które mogą zostać wykorzystane do przejęcia kontroli nad zaatakowanym systemem.

1. Błąd podczas przetwarzania pliku PICT, może zostać wykorzystany za pomocą specjalnie spreparowanego pliku Pict.
2. Błąd podczas przetwarzania tabel z fontami w plikach filmowych, może zostać wykorzystany za pomocą specjalnie spreparowanego pliku video.
3. Błąd w plikach FLIC, może zostać wykorzystany za pomocą specjalnie spreparowanego pliku.
4. Błąd podczas obsługi plików zakodowanych w JPEG2000, może zostać wykorzystany za pomocą specjalnie spreparowanego pliku video.
5. Błąd podczas obsługi TKHD w plikach video QuickTime, może zostać wykorzystany za pomocą specjalnie spreparowanego pliku video.

*Luki 1 i 5 nie mają wpływu na system Mac OS X.

Dla systemów Windows zalecana jest natychmiastowa aktualizacja --> QuickTime 7.7.1 for Windows

Źródło: Secunia

Eksperci z Kaspersky Lab nadal badają nowy szkodliwy program Duqu posiadający pewne cechy wspólne z niesławnym robakiem Stuxnet, który atakował instalacje przemysłowe w Iranie. Chociaż wciąż nie wiadomo, w jakim celu zostało stworzone to najnowsze cyberzagrożenie, z dotychczasowych ustaleń wynika, że Duqu jest uniwersalnym narzędziem wykorzystywanym do przeprowadzania ukierunkowanych ataków na wyselekcjonowaną liczbę obiektów, które może zostać zmodyfikowane w zależności od danego zadania.

Pierwszy etap analizy Duqu przeprowadzonej przez specjalistów z Kaspersky Lab ujawnił kilka interesujących cech trojana. Po pierwsze, każda wykryta modyfikacja tego szkodnika posiadała inne sterowniki wykorzystywane do infekowania systemów. W jednym przypadku sterownik wykorzystał fałszywy podpis cyfrowy, w innych – w ogóle nie został podpisany. Po drugie, coraz więcej przemawia za tym, że prawdopodobnie istniały też inne elementy Duqu, ale jak dotąd nie zostały jeszcze odnalezione. Na tej podstawie możemy założyć, że szkodliwy program potrafi zmieniać swoje zachowanie w zależności od atakowanego celu.

Alexander Gostiew, główny ekspert ds. bezpieczeństwa z Kaspersky Lab, powiedział: „Mimo że zaatakowane przez Duqu systemy są zlokalizowane w Iranie, jak dotąd nie ma dowodów na to, że są to systemy przemysłowe lub mają związek z programem nuklearnym. W związku z tym nie można potwierdzić, że nowe zagrożenie ma taki sam cel jak Stuxnet. Mimo to nie ma wątpliwości, że każda infekcja szkodnikiem Duqu jest unikatowa. To sugeruje, że Duqu jest wykorzystywany do ukierunkowanych ataków na wybrane cele”.

Źródło: Kaspersky Lab


BitDefender wykrywając malware jako Rootkit.Duqu.A, przygotował specjalny darmowy skaner, który wykrywa i usuwa infekcję.
Sprawdź swój system narzędziem Duqu_Removal_Tool.

Skanery antywirusowe wykrywają zagrożenie jako:

AhnLab-V3 -  Win-Trojan/Duqu.29568
AntiVir -  TR/Duqu.A.3
Antiy-AVL -  Trojan/Win32.Duqu.gen
AVG -  Duqu.A
BitDefender -  Rootkit.Duqu.A
CAT-QuickHeal -  Rootkit.Duqu.A6
ClamAV -  Trojan.Duqu.Infostealer
Commtouch -  W32/Duqu.B
Comodo -  TrojWare.Win32.Rootkit.Duqu.a
DrWeb -  Trojan.Duqu.1
Emsisoft -  Trojan.Win32.Duqu!IK
eSafe -  Win32.Horse
eTrust-Vet -  Win32/Duqu.A
F-Prot -  W32/Duqu.B
F-Secure -  Backdoor:W32/Duqu.B
Fortinet -  W32/Duqu.ROOTKIT!tr.pws
GData -  Rootkit.Duqu.A
Ikarus -  Trojan.Win32.Duqu
Jiangmin -  Trojan/Duqu.a
K7AntiVirus -  Trojan
Kaspersky -  Trojan.Win32.Duqu.a
McAfee -  PWS-Duqu!rootkit
McAfee-GW-Edition -  PWS-Duqu!rootkit
Microsoft  -  Trojan:WinNT/Duqu.A
NOD32 -  Win32/Duqu.A
Norman -  Duqu_gen.A
nProtect -  Trojan/W32.Duqu.29568
Panda -  Trj/Duqu.A
PCTools -  Malware.Duqu
Sophos -  Mal/Duqu-A
Symantec -  W32.Duqu
TrendMicro -  RTKT_DUQU.A
TrendMicro-HouseCall -  RTKT_DUQU.A
VBA32 -  Trojan.Duqu.21105
VIPRE -  Trojan.Win32.Duqu
ViRobot -  Trojan.Win32.S.Duqu.29568
VirusBuster  -  Trojan.Duqu!5GX0xuP5QyA

Firma ESET, producent proaktywnych rozwiązań antywirusowych, opublikowała raport najpopularniejszych zagrożeń występujących w sierpniu 2011 roku.

1. INF/Autorun
Programy tego typu wykorzystują pliki autorun.inf, powodujące automatyczne uruchamianie nośników, do infekowania komputerów użytkowników. Programy rozprzestrzeniają się bardzo szybko z powodu popularnej metody przenoszenia danych za pomocą nośników pendrive, zawierających właśnie pliki autorun.

Przed tego typu infekcją zabezpieczymy system programem UsbFix.

2. Win32/Conficker
Robak internetowy, który rozprzestrzenia się wykorzystując załataną już lukę w usłudze RPC systemów operacyjnych Windows. Po zagnieżdżeniu się w systemie Conficker łączy się z ustalonymi domenami, z których pobiera instrukcje dalszego działania m.in. pobrania kolejnych zagrożeń. W zależności od wariantu Conficker może rozprzestrzeniać się za pośrednictwem załączników do poczty elektronicznej lub przenośnych dysków USB, wykorzystując do infekowania pliki automatycznego startu.

3. HTML/Iframe.B.Gen
To zagrożenia, ukrywające się na stronach WWW w postaci niewidocznych ramek, których kliknięcie powoduje przekierowanie do innego serwisu internetowego i zainfekowanie komputera nowym zagrożeniem.

4. Win32/Dorkbot
Win32/Dorkbot.A to robak rozprzestrzeniający się za pomocą wymiennych nośników danych. Zawiera on backdoor i może być kontrolowany zdalnie. Podczas gdy użytkownik przegląda różne witryny, robak zbiera podawane przez niego dane – m.in. nazwy użytkownika i hasła, a następnie wysyła zgromadzone informacje do zdalnej maszyny.

5. Win32/Sality
Sality to zagrożenie polimorficzne. Po zagnieżdżeniu się w komputerze swojej ofiary usuwa z rejestru klucze powiązane z aplikacjami zabezpieczającymi, a następnie tworzy w rejestrze wpis, dzięki któremu może uruchamiać się każdorazowo przy starcie systemu operacyjnego. Sality modyfikuje pliki z rozszerzeniami EXE oraz SCR.

6. HTML/ScrInject.B
ESET oznacza jako HTML/ScrInject.B wszystkie zagrożenia wykrywane na stronach HTML jako skrypty powodujące automatyczne pobieranie na komputer użytkownika kolejnych złośliwych programów.

7. Win32/Autoit
Robak internetowy, który rozprzestrzenia się za pośrednictwem nośników danych lub przez MSN. Win32/Autoit przedostaje się do komputera z zainfekowanej strony internetowej lub jako jeden z elementów innego złośliwego programu. Po zainfekowaniu systemu zagrożenie szuka na dysku wszystkich plików wykonywalnych i zastępuje je swoją kopią.

8. Win32/PSW.OnLineGames
Rodzina zagrożeń oznaczana przez laboratoria ESET jako Win32/PSW.OnLineGames to programy typu koń trojański, które działają również jako keyloggery oraz rootkity. Gromadzą one loginy oraz hasła, za pomocą których gracze logują się do gier typu MMORPG, takich jak Lineage, World of Warcraft czy Second Life, a następnie przesyłają je do hakera. Ten typ zagrożeń jest wyjątkowo popularny wśród polskich użytkowników.

9. JS/TrojanDownloader.Iframe.NKE
Koń trojański, który przekierowuje przeglądarkę na określony adres URL, pod którym mieści się złośliwe oprogramowanie. Kod złośliwego programu zwykle najczęściej się na stronach HTML.

10. Win32/Ramnit
Wirus infekuje pliki dll i exe oraz wyszukuje pliki htm i html, w które wpisuje złośliwe instrukcje. Program uruchamia się przy każdym starcie systemu. Wykorzystuje lukę systemu, pozwalającą na uruchomienie dowolnego kodu. Może być sterowany zdalnie i zapisywać zrzuty ekranu użytkownika, wysyłać zgromadzone informacje, ściągać pliki ze zdalnego komputera lub Internetu, a także uruchamiać pliki wykonywalne i uruchamiać lub wyłączać komputer.

Źródło: ESET

System komputerowy centrum kontroli lotów dronów został zainfekowany nieznanym wirusem, nad którym eksperci nie mogą zapanować. Nikt nie wie jak doszło do zainfekowania wirusem, który może śledzić każdy ruch latających bezzałogowych maszyn bojowych.

"Wirus zaraz po usunięciu wciąż uporczywie wraca" - mówi jeden z ekspertów.

Specjaliści do spraw bezpieczeństwa nie wiedzą czy malware dostał się do systemu celowo czy przez przypadek. Nikt nie wie także jak rozprzestrzenia się infekcja i jaki ma charakter.
Istnieje jedynie obawa, że tajne dane mogą być przechwytywane i upublicznione poprzez Internet.

Czytaj więcej w artykule: Exclusive: Computer Virus Hits U.S. Drone Fleet

Kaspersky Lab informuje o pojawieniu się fałszywych zaproszeń do testowania oczekiwanej gry Diablo III. Szkodliwa wiadomość docierająca do użytkowników nakłania do wypełnienia sfałszowanego formularza i tym samym pozwala cyberprzestępcom na kradzież kont oraz danych graczy.

Długo oczekiwane zamknięte testy beta Diablo III ruszyły, a firma Blizzard, producent gry, rozesłała już pierwsze zaproszenia do zarejestrowanych graczy na całym świecie. Aby znaleźć się w gronie szczęśliwców, którzy mogą zagrać w tę grę jeszcze przed premierą, trzeba posiadać konto Battle.Net oraz zapisać się do udziału w zamkniętym teście beta.

W nowym zagrożeniu odbiorca jest namawiany do kliknięcia określonego odsyłacza i wprowadzenia swoich danych uwierzytelniających na stronie docelowej, która stanowi replikę oryginalnej witryny atakowanej gry. W efekcie konto gracza zostaje skradzione.

Screen przedstawiający legalne zaproszenie od firmy Blizzard

Warto pamiętać, że oryginalna wiadomość z zaproszeniem, wysyłana przez firmę Blizzard, nie wymaga od użytkownika kliknięcia odsyłacza. Informuje go jedynie, że musi zalogować się do swojego konta Battle.Net i przejść do sekcji “Account”, aby kontynuować.

Atak przeszedł znaczną ewolucję i z biegiem czasu jakość sfałszowanych wiadomości bardzo się poprawiła. Problemy z ich identyfikacją mogą mieć nawet doświadczeni użytkownicy.

Źródło: Kaspersky Lab

PandaLabs informuje o wykryciu nowego trojana Ransom.AN, który rozprzestrzenia się głównie poprzez sieć Peer-to-Peer (P2P) oraz spam.
Aktywny trojan symuluje oryginalny komunikat Microsoft informując użytkowników, iż kopia systemu Windows jest nielegalna oraz jednocześnie grozi, że system zostanie uszkodzony, dane utracone a sam użytkownik zostanie pociągnięty do odpowiedzialności karnej.


Aby temu zapobiec, ofiara infekcji ma wpłacić 100 euro na konto poprzez zainfekowaną witrynę, a po wpłaceniu wymaganej kwoty otrzymać ma specjalny kod umożliwiający pozbycie się problemów.



Jeśli zostałeś zainfekowany a płacić nie chcesz, użyj kodu odblokowującego trojana Ransom.AN:
QRT5T5FJQE53BGXT9HHJW53YT

Źródło: pandalabs.pandasecurity.com - Ransomware posing as Microsoft

Zestawienie zagrożeń Top10 przedstawia procentowy udział najpopularniejszych zagrożeń, które pojawiają się w sieci.
Są to wyniki analizy z ostatnich 24 godzin.

1. Downloader.Agent.Family - 40%
Trojany z rodziny Downloader.Agent.Family to grupa trojanów instalujących się na komputerze i pobierająca z internetu inne trojany lub szkodliwe pliki.

2. Trojan.Gamethief.Magania - 18%
Obiekty z rodziny Gamethief.Magania mają zadanie wykradania istotnych informacji dotyczących aktywności użytkownika w grach online.

3. Worm.Autorun.Family - 15%
Rodzina robaków Worm.Autorun wykorzystuje do rozprzestrzeniania wykorzystywany powszechnie w systemach Windows mechanizm autoodtwarzania mediów. Zainfekowane nośniki (zwłaszcza napędy USB) zawierają specjalnie spreparowany plik autorun.inf, który odpowiada za automatycznie uruchomienie wskazanej aplikacji po podłączeniu napędu do komputera.

4. W32.Sality - 7%
Wirusy z rodziny W32.Sality to grupa wirusów polimorficznych. Potrafią one samodzielnie modyfikować swój kod deszyfrujący w trakcie każdej pojedynczej infekcji kolejnego pliku, co znacznie utrudnia ich wykrywanie przez programy antywirusowe.
Do infekcji dochodzi poprzez uruchomienie zainfekowanego pliku. Plik instaluje w pamięci komputera szkodliwy kod, który utrudnia użytkownikowi normalną pracę blokując dostęp do wybranych programów. Ogranicza to w znacznym stopniu możliwość wykrycia i usunięcia go przez użytkownika podczas pracy na zainfekowanym systemie Windows.

5. Sinowal.Nup - 5%
6. Packed.Krap.c - 3%
7. Trojan.Agent.Ehdh - 2%
Rodziny Trojan.Agent i Trojan.Dropper.Agent są licznymi rodzinami specjalnie przygotowanych programów składajacymi sie z wielu modułów, które zawierają w swoim kodzie funkcje szkodliwe dla użytkownika systemu komputerowego.

8. Mazben.gf - 2%
Trojany z rodziny Trojan.Mazgen posiadają cechy oprogramowania służacego do udostępniania niepowołanym osobom zaatakowanego systemu windows. Są to spakowane pliki uruchamialne PE, które dodają się do wykluczeń w Windows Firewall , aby ukryć swoje działanie.Dokonują tego za pomocą wpisu w kluczu rejestru Windows:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
C:\l392nedkw.exe = "C:\l392nedkw.exe:*:Enabled:ipsec"
(nazwa losowa l392nedkw.exe jest przykładowa)

Tworzy obiekt mutex w systemie o nazwie: qiwuyeiu2983 aby zapobiegać wielokrotnemu uruchomieniu swojego procesu.

Trojan próbuje łączyć się z adresami serwerów pocztowych po protokole SMTP:
mailin-01.mx.aol.com   
mailin-02.mx.aol.com   
mailin-03.mx.aol.com 
mailin-04.mx.aol.com   
mxs.mail.ru
mx1.yandex.ru 
mx2.yandex.ru 
imx1.rambler.ru
c.mx.mail.yahoo.com
d.mx.mail.yahoo.com
maila.microsoft.com

9. Trojan.Inject.Atvn - 2%
10. Packed.Klone.Bq - 2%
Packed.Klone to liczna rodzina programów pakujących stosowanych w celu utrudnienia wykrycia przez anty-wirusa.

Źródło: ArcaBit