Denne ormen vil bare leges

innhold

• Denne ormen vil bare leges
• Topptrussel W32 / Nachi.B-orm
• Topp 10 e-postvirus
• Topp 5 sårbarheter
• Sikkerhetstips
• Windows sikkerhetsoppdateringer
• Jargon Buster
• Security Watch Story Feed

Denne ormen vil bare leges

Vi ble først vitne til MyDoom.A-eksplosjonen og det påfølgende angrepet på Denial of Service som tok ut nettstedet Santa Cruz Operation (sco.com) i to uker. Så kom MyDoom.B, som la Microsoft.com til som et mål for et DoS-angrep. Mens MyDoom.A tok av med hevn, var MyDoom.B, som en "B" -film, en frekk. I følge Mark Sunner CTO hos MessageLabs hadde MyDoom.B feil i koden som fikk den til å bare lykkes i et angrep på SCO 70% av tiden, og 0% når han angrep Microsoft. Han sa også at det var "større sjanse for å lese om MyDoom.B, enn å fange det."

Den siste uken har vi sett en eksplosjon av virus som rir på pelshalene til MyDoom.As vellykkede overtakelse av hundretusener av maskiner. Den første som traff scenen var Doomjuice.A (også kalt MyDoom.C). Doomjuice.A, var ikke et annet e-postvirus, men det utnyttet en bakdør som MyDoom.A åpnet på infiserte maskiner. Doomjuice vil laste ned til en MyDoom-infisert maskin, og i likhet med MyDoom.B, installere og forsøke å utføre et DoS-angrep på Microsoft.com. Ifølge Microsoft påvirket ikke angrepet dem negativt rundt 9. og 10. trinn, selv om NetCraft registrerte at Microsoft-nettstedet var utilgjengelig på et tidspunkt.

Antiviruseksperter mener at Doomjuice var arbeidet til samme forfatter (e) av MyDoom, fordi det også slipper en kopi av den originale MyDoom-kilden på offermaskinen. I følge en pressemelding fra F-secure kan dette være en måte for forfatterne å dekke sporene sine på. Den gir også ut en fungerende kildekodefil til andre virusforfattere for å enten bruke eller endre. Så MyDoom.A og MyDoom.B, som Microsoft Windows og Office selv, har nå blitt en plattform for andre virus å forplante seg. I løpet av den siste uken har vi sett fremveksten av W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom - en trojansk variant av Proxy-Mitglieter, W32 / Deadhat.A, og W32 / Deadhat.B, alle inn i MyDooms bakdør. Vesser.worm / DeadHat.B, bruker også SoulSeek P2P fildelingsnettverket.

12. februar ble W32 / Nachi.B.worm oppdaget. Som forgjengeren W32 / Nachi.A.worm (også kjent som Welchia), formerer Nachi.B seg ved å utnytte RPC / DCOM og WebDAV sårbarheter. Mens han fremdeles er et virus / orm, prøver Nachi.B å fjerne MyDoom og lukke sårbarheter. Senest fredag ​​13. februar hadde Nachi.B kommet til nr. 2 på et par leverandørers trusselister (Trend, McAfee). Fordi den ikke bruker e-post, vil den ikke vises på MessageLabs topp ti e-postvirusliste. Å forhindre Nachi.B-infeksjon er det samme som for Nachi.A, bruk alle gjeldende Windows Security-lapper for å lukke sårbarheter. Se vår topptrussel for mer informasjon.

Fredag ​​13. februar så vi en annen MyDoom-harpun, W32 / DoomHunt.A. Dette viruset bruker MyDoom.A-bakdøren, og slår av prosesser og sletter registernøkler tilknyttet målet. I motsetning til Nachi.B, som fungerer stille i bakgrunnen, dukker DoomHunt.A opp en dialogboks som forkynner "MyDoom Removal Worm (DDOS the RIAA)". Den installerer seg i Windows System-mappen som en åpenbar Worm.exe, og legger til en registernøkkel med verdien "Delete Me" = "worm.exe". Fjerning er den samme som enhver orm, stopp worm.exe-prosessen, skann med et antivirus, slett Worm.exe-filen og eventuelle tilknyttede filer, og fjern registernøkkelen. Sørg selvfølgelig for at du oppdaterer maskinen din med de siste sikkerhetsoppdateringene.

Selv om det ikke er noen måte å vite nøyaktig, varierte anslagene fra 50 000 til så høye som 400 000 aktivt infiserte MyDoom.A-maskiner. Doomjuice kunne bare forplante seg ved å få tilgang til bakdøren til MyDoom, så uinfiserte brukere var ikke i faresonen, og etter hvert som infeksjoner ble renset, ville feltet med tilgjengelige maskiner gå ned. Imidlertid er den eneste faren at mens MyDoom.A skulle planlegge å stoppe sine DoS-angrep 12. februar, har Doomjuice ingen timeout. I forrige uke nevnte vi å se MyDoom.A-eksplosjonen utfolde seg på en MessageLabs Flash-animasjon, og lovet å få den for alle å se. Her er det.

Microsoft kunngjorde tre flere sårbarheter og ga ut patcher denne uken. To er viktig nivåprioritet, og ett er kritisk nivå. Den øverste sårbarheten innebærer et kodebibliotek i Windows som er sentralt for å sikre nett- og lokale applikasjoner. For mer informasjon om sårbarheten, dens implikasjoner og hva du trenger å gjøre, se spesialrapporten. De to andre sårbarhetene inkluderer Windows Internet Naming Service (WINS) -tjeneste, og den andre er i Mac-versjonen av Virtual PC. Se delen Sikkerhetsoppdateringer i Windows for mer informasjon.

Hvis det ser ut som en and, går som en and, og kvakker som en and, er det en and, eller et virus? Kanskje, kanskje ikke, men AOL varslet (figur 1) brukere om ikke å klikke på en melding som var i ferd med å gjøre rundene via Instant Messenger forrige uke.

Meldingen inneholdt en lenke som installerer et spill, enten Capture Saddam eller Night Rapter, avhengig av versjonen av meldingen (figur 2). Spillet inkluderte BuddyLinks, et viruslignende teknologi som automatisk sender kopier av meldingen til alle på vennelisten din. Teknologien gjør både viral markedsføring med sin automatiske meldingskampanje, og sender deg reklame og kan kapre (omdirigere) nettleseren din. Fra fredag ​​var både spillnettstedet (www.wgutv.com) og Buddylinks-nettstedet (www.buddylinks.net) nede, og det Cambridge-baserte Buddylinks-selskapet returnerte ikke telefonsamtaler.

Oppdatering: I forrige uke fortalte vi deg om et falsk nettsted som ikke e-post, og lovet å kutte spam, men var faktisk en e-postadressesamler for spammere. Denne uken melder en Reuters-historie at den amerikanske føderale handelskommisjonen varsler: "Forbrukere skal ikke sende e-postadressene sine til et nettsted som lover å redusere uønsket" spam "fordi det er uredelig". Artikkelen fortsetter med å beskrive nettstedet, og anbefaler, som vi har vært, å "holde din personlige informasjon til deg selv - inkludert e-postadressen din - med mindre du vet hvem du har å gjøre med."

Torsdag 12. februar fant Microsoft ut at noe av kildekoden sirkulerte på nettet. De sporet det til MainSoft, et selskap som lager et Windows-til-Unix-grensesnitt for Unix-programmeringsprogrammer. MainSoft har lisensiert Windows 2000-kildekoden, spesielt den delen som har med API (applikasjonsprogramgrensesnitt) til Windows. I følge en eWeek-historie er koden ikke fullstendig eller kompilerbar. Selv om Windows API er godt publisert, er den underliggende kildekoden ikke. API er en samling kodefunksjoner og rutiner som utfører oppgavene med å kjøre Windows, for eksempel å sette knapper på skjermen, gjøre sikkerhet eller skrive filer til harddisken. Mange av sårbarhetene i Windows stammer fra ukontrollerte buffere og parametere til disse funksjonene. Ofte innebærer sårbarhetene å overføre spesiallagde meldinger eller parametere til disse funksjonene, noe som får dem til å mislykkes og åpne systemet for utnyttelse. Siden mye av Windows 2000-koden også er integrert i Windows XP og Windows 2003-serveren, kan det å ha kildekoden gjøre det mulig for virusskribenter og ondsinnede brukere lettere å finne hull i spesifikke rutiner og utnytte dem. Selv om sårbarheter vanligvis blir identifisert av Microsoft eller tredjepartskilder før de blir offentlige, og gir tid til å utstede oppdateringer, kan dette snu den prosedyren på hodet og sette hackere i stand til å oppdage og utnytte sårbarheter før Microsoft finner og lapper dem.