Inhoudsopgave:
Video: Hoe genees je een depressie: praten of pillen? (November 2024)
Inhoud
- Deze worm wil alleen genezen
- Top Threat W32 / Nachi.B-worm
- Top 10 e-mailvirussen
- Top 5 kwetsbaarheden
- Beveiligingstip
- Windows-beveiligingsupdates
- Jargon Buster
- Security Watch Story Feed
Deze worm wil alleen genezen
We waren voor het eerst getuige van de MyDoom.A-explosie en de daaropvolgende Denial of Service-aanval waarbij de Santa Cruz Operation (sco.com) -website twee weken lang werd uitgeschakeld. Toen kwam MyDoom.B, waarmee Microsoft.com werd toegevoegd als doelwit van een DoS-aanval. Terwijl MyDoom.A wraak vertrok, was MyDoom.B, net als een "B" -film, een kerel. Volgens Mark Sunner CTO van MessageLabs had MyDoom.B bugs in de code die ervoor zorgden dat het alleen succesvol was in een aanval van SCO 70% van de tijd en 0% bij het aanvallen van Microsoft. Hij zei ook dat er "meer kans was om over MyDoom.B te lezen dan te vangen."
De afgelopen week zagen we een explosie van virussen op de vachtstaarten van MyDoom.A's succesvolle overname van honderdduizenden machines. De eerste die de scène bereikte was Doomjuice.A (ook MyDoom.C genoemd). Doomjuice.A, was geen ander e-mailvirus, maar het profiteerde van een achterdeur die MyDoom.A op geïnfecteerde machines heeft geopend. Doomjuice zou downloaden naar een met MyDoom geïnfecteerde machine, en zoals MyDoom.B, installeren en proberen een DoS-aanval op Microsoft.com uit te voeren. Volgens Microsoft had de aanval geen nadelige gevolgen voor hen rond de 9e en 10e, hoewel NetCraft vaststelde dat de Microsoft-site op een gegeven moment onbereikbaar was.
Antivirus-experts geloven dat Doomjuice het werk was van dezelfde auteur (s) van MyDoom, omdat het ook een kopie van de originele MyDoom-bron op de slachtoffermachine zet. Volgens een persbericht van F-secure kan dit voor de auteurs een manier zijn om hun tracks te verslaan. Het geeft ook een werkend broncodebestand vrij aan andere virusschrijvers om te gebruiken of te wijzigen. Dus MyDoom.A en MyDoom.B, zoals Microsoft Windows en Office zelf, zijn nu een platform geworden voor andere virussen om zich te verspreiden. In de afgelopen week hebben we de opkomst van W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B gezien, exploit-MyDoom - een Trojaanse variant van Proxy-Mitglieter, W32 / Deadhat.A en W32 / Deadhat.B, allemaal binnenkomend in de achterdeur van MyDoom. Vesser.worm / DeadHat.B, gebruik ook het SoulSeek P2P-bestandsuitwisselingsnetwerk.
Op 12 februari werd W32 / Nachi.B.worm ontdekt. Net als zijn voorganger, W32 / Nachi.A.worm (ook bekend als Welchia), propageert Nachi.B door misbruik te maken van RPC / DCOM en WebDAV-kwetsbaarheden. Hoewel het nog steeds een virus / worm is, probeert Nachi.B MyDoom te verwijderen en kwetsbaarheden te sluiten. Op vrijdag 13 februari had Nachi.B de nummer 2 plek bereikt op de lijsten met bedreigingen van een aantal leveranciers (Trend, McAfee). Omdat het geen e-mail gebruikt, wordt het niet weergegeven in de top tien van onze MessageLabs-lijst met e-mailvirussen. Het voorkomen van Nachi.B-infectie is hetzelfde als voor Nachi.A, pas alle huidige Windows-beveiligingspatches toe om kwetsbaarheden te sluiten. Zie onze Top Threat voor meer informatie.
Op vrijdag 13 februari zagen we nog een MyDoom-harpoen, W32 / DoomHunt.A. Dit virus maakt gebruik van de MyDoom.A-achterdeur en sluit processen af en verwijdert registersleutels die aan het doel zijn gekoppeld. In tegenstelling tot Nachi.B, dat stil op de achtergrond werkt, verschijnt DoomHunt.A in een dialoogvenster met de melding "MyDoom Removal Worm (DDOS the RIAA)". Het installeert zichzelf in de map Windows System als een voor de hand liggende Worm.exe en voegt een registersleutel toe met de waarde "Delete Me" = "worm.exe". Verwijdering is hetzelfde als elke worm, stop het worm.exe-proces, scan met een antivirus, verwijder het Worm.exe-bestand en alle bijbehorende bestanden en verwijder de registersleutel. Zorg er natuurlijk voor dat u uw machine bijwerkt met de nieuwste beveiligingspatches.
Microsoft heeft deze week nog drie kwetsbaarheden aangekondigd en patches vrijgegeven. Twee zijn belangrijke niveau-prioriteit, en één is kritisch niveau. De grootste kwetsbaarheid betreft een codebibliotheek in Windows die centraal staat voor het beveiligen van web- en lokale applicaties. Zie ons speciale rapport voor meer informatie over het beveiligingslek, de implicaties en wat u moet doen. De andere twee kwetsbaarheden betreffen de Windows Internet Naming Service (WINS) -service en de andere bevindt zich in de Mac-versie van Virtual PC. Zie onze sectie Windows-beveiligingsupdates voor meer informatie.
Als het eruit ziet als een eend, loopt als een eend en kwakzalvers als een eend, is het dan een eend of een virus? Misschien, misschien niet, maar AOL waarschuwde gebruikers (Afbeelding 1) om niet op een bericht te klikken dat vorige week via Instant Messenger de ronde deed.
Update: vorige week hebben we je verteld over een nep-Do Not Email-website, die belooft spam te verminderen, maar eigenlijk een verzamelaar van e-mailadressen was voor spammers. Deze week meldt een verhaal van Reuters dat de Amerikaanse Federal Trade Commission waarschuwt: "Consumenten moeten hun e-mailadressen niet indienen op een website die belooft ongewenste" spam "te verminderen omdat deze frauduleus is". Het artikel gaat verder met het beschrijven van de site en beveelt, zoals we zijn geweest, aan "uw persoonlijke informatie voor uzelf te houden - inclusief uw e-mailadres - tenzij u weet met wie u te maken hebt."
Op donderdag 12 februari kwam Microsoft erachter dat een deel van de broncode op internet circuleerde. Ze hebben het getraceerd naar MainSoft, een bedrijf dat een Windows-naar-Unix-interface maakt voor Unix-applicatieprogrammeurs. MainSoft heeft een licentie verleend voor de Windows 2000-broncode, met name het gedeelte dat te maken heeft met de API (applicatieprogramma-interface) van Windows. Volgens een eWeek-verhaal is de code niet volledig of compileerbaar. Hoewel de Windows API goed is gepubliceerd, is de onderliggende broncode dat niet. De API is een verzameling codefuncties en routines waarmee Windows wordt uitgevoerd, zoals knoppen op het scherm plaatsen, beveiliging uitvoeren of bestanden naar de harde schijf schrijven. Veel van de kwetsbaarheden in Windows komen voort uit niet-gecontroleerde buffers en parameters voor deze functies. Vaak gaan de kwetsbaarheden gepaard met het doorgeven van speciaal vervaardigde berichten of parameters aan deze functies, waardoor ze mislukken en het systeem wordt geëxploiteerd. Aangezien een groot deel van de Windows 2000-code ook is opgenomen in Windows XP en Windows 2003-server, kan het hebben van de broncode ervoor zorgen dat virusschrijvers en kwaadwillende gebruikers gemakkelijker gaten in specifieke routines vinden en misbruiken. Hoewel kwetsbaarheden doorgaans door Microsoft of externe bronnen worden geïdentificeerd voordat ze openbaar worden, waardoor tijd wordt vrijgemaakt om patches uit te geven, kan dit deze procedure op zijn kop zetten, waardoor hackers kwetsbaarheden kunnen ontdekken en exploiteren voordat Microsoft deze vindt en patcht.
