Denne orm vil kun heles

Indhold

• Denne orm vil kun heles
• Toptrussel W32 / Nachi.B-orm
• Top 10 e-mail-vira
• Top 5 sårbarheder
• Sikkerhedstip
• Windows sikkerhedsopdateringer
• Jargon Buster
• Feed for sikkerhedssaghistorie

Denne orm vil kun heles

Vi var først bevidst om MyDoom.A-eksplosionen og det efterfølgende angreb på Denial of Service, der fjernede webstedet Santa Cruz Operation (sco.com) i to uger. Derefter fulgte MyDoom.B, som tilføjede Microsoft.com som et mål for et DoS-angreb. Mens MyDoom.A startede med hævn, var MyDoom.B, ligesom en "B" -film, en fyr. Ifølge Mark Sunner CTO hos MessageLabs havde MyDoom.B fejl i koden, der fik den til kun at få succes i et angreb på SCO 70% af tiden, og 0%, da han angreb Microsoft. Han sagde også, at der var "større chance for at læse om MyDoom.B end at fange det."

I den sidste uge har vi set en eksplosion af vira, der kører på frakkehalene på MyDoom.As succesrige overtagelse af hundreder af tusinder af maskiner. Den første til at ramme scenen var Doomjuice.A (også kaldet MyDoom.C). Doomjuice.A, var ikke en anden e-mailvirus, men det udnyttede en bagdør, som MyDoom.A åbnede på inficerede maskiner. Doomjuice ville downloade til en MyDoom-inficeret maskine og ligesom MyDoom.B installere og forsøge at udføre et DoS-angreb på Microsoft.com. Ifølge Microsoft påvirkede angrebet dem ikke negativt omkring 9. og 10., selvom NetCraft registrerede, at Microsoft-webstedet på et tidspunkt ikke kunne nås.

Antiviruseksperter mener, at Doomjuice var værket af den / de samme forfatter (e) af MyDoom, fordi den også slipper en kopi af den originale MyDoom-kilde på offermaskinen. Ifølge en pressemeddelelse fra F-sikker kan dette muligvis være en måde for forfatterne at dække deres spor på. Det frigiver også en fungerende kildekodefil til andre virusforfattere til enten at bruge eller ændre. Så MyDoom.A og MyDoom.B, ligesom Microsoft Windows og Office selv, er nu blevet en platform for andre viraer at sprede. I løbet af den sidste uge har vi set fremkomsten af ​​W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom - en trojansk variant af Proxy-Mitglieter, W32 / Deadhat.A og W32 / Deadhat.B, alle ind i MyDooms bagdør. Vesser.worm / DeadHat.B, bruger også SoulSeek P2P-fildelingsnetværket.

Den 12. februar blev W32 / Nachi.B.worm opdaget. Som sin forgænger W32 / Nachi.A.worm (også kendt som Welchia), formerer Nachi.B sig ved at udnytte sårbarhederne RPC / DCOM og WebDAV. Mens der stadig er en virus / orm, forsøger Nachi.B at fjerne MyDoom og lukke sårbarheder. Senest fredag ​​den 13. februar var Nachi.B nået til nr. 2 på et par leverandørers truslister (Trend, McAfee). Da den ikke bruger e-mail, vises den ikke på vores MessageLabs's top ti e-mail-virusliste. Forebyggelse af Nachi.B-infektion er det samme som for Nachi.A, anvend alle aktuelle Windows Security-patches for at lukke sårbarheder. Se vores Top Threat for mere information.

Fredag ​​den 13. februar så vi en anden MyDoom-harpun, W32 / DoomHunt.A. Denne virus bruger MyDoom.A-bagdøren og lukker processer og sletter registernøgler, der er tilknyttet dens mål. I modsætning til Nachi.B, der fungerer roligt i baggrunden, dukker DoomHunt.A en dialogboks op, der erklærer "MyDoom Removal Worm (DDOS the RIAA)". Det installerer sig selv i Windows System-mappen som et indlysende Worm.exe og tilføjer en registreringsdatabase nøgle med værdien "Delete Me" = "worm.exe". Fjernelse er den samme som enhver orm, stop worm.exe-processen, scanning med en antivirus, slet Worm.exe-filen og eventuelle tilknyttede filer, og fjern registreringsdatabasenøglen. Sørg selvfølgelig for, at du opdaterer din maskine med de nyeste sikkerhedsrettelser.

Selvom der ikke er nogen måde at vide nøjagtigt, varierede estimater fra 50.000 til så høje som 400.000 aktivt inficerede MyDoom.A-maskiner. Doomjuice kunne kun forplantes ved at åbne bagdøren til MyDoom, så uinficerede brugere var ikke i fare, og da infektioner blev renset, ville feltet med tilgængelige maskiner gå ned. Den eneste fare er imidlertid, at mens MyDoom.A var planlagt til at stoppe sine DoS-angreb den 12. februar, har Doomjuice ikke en timeout. I sidste uge nævnte vi, at MyDoom.A-eksplosionen udfolder sig på en MessageLabs Flash-animation, og lovede at få det for alle at se. Her er det.

Microsoft annoncerede tre yderligere sårbarheder og frigav patches denne uge. To er et vigtigt niveau, og det ene er et kritisk niveau. Den øverste sårbarhed involverer et kodebibliotek i Windows, der er centralt for at sikre web- og lokale applikationer. For mere information om sårbarheden, dens implikationer og hvad du skal gøre, se vores specialrapport. De andre to sårbarheder involverer Windows Internet Naming Service (WINS) -tjenesten, og den anden er i Mac-versionen af ​​Virtual PC. Se vores Windows sikkerhedsopdateringer for mere information.

Hvis det ligner en and, går som en and, og kvæver som en and, er det da en and eller en virus? Måske måske ikke, men AOL advarede (figur 1) brugere om ikke at klikke på en meddelelse, der foretog runderne via Instant Messenger i sidste uge.

Meddelelsen indeholdt et link, der installerer et spil, enten Capture Saddam eller Night Rapter, afhængigt af meddelelsens version (figur 2). Spillet inkluderede BuddyLinks, en viruslignende teknologi, der automatisk sender kopier af beskeden til alle på din venneliste. Teknologien udfører både viral markedsføring med sin automatiske meddelelseskampagne og sender dig reklame og kan kapre (omdirigere) din browser. Fra fredag ​​var både spilwebstedet (www.wgutv.com) og Buddylinks-webstedet (www.buddylinks.net) nede, og det Cambridge-baserede Buddylinks-selskab returnerede ikke telefonopkald.

Opdatering: I forrige uge fortalte vi dig om et falsk websted, ikke e-mail, hvor vi lovede at skære spam, men var faktisk en e-mail-adresseindsamler for spammere. Denne uge rapporterer en Reuters-historie, at den amerikanske føderale handelskommission advarer, "Forbrugerne bør ikke indsende deres e-mail-adresser til et websted, der lover at reducere uønsket" spam ", fordi det er svigagtig". Artiklen beskriver webstedet og anbefaler, som vi har været, at "holde dine personlige oplysninger til dig selv - inklusive din e-mail-adresse - medmindre du ved, hvem du har at gøre med."

Torsdag den 12. februar fandt Microsoft ud af, at nogle af dens kildekoder cirkulerede på nettet. De spores det til MainSoft, et firma, der opretter en Windows-til-Unix-grænseflade til Unix-applikationsprogrammører. MainSoft har licenseret Windows 2000-kildekoden, specifikt den del, der har at gøre med API (applikationsprogramgrænsefladen) for Windows. Ifølge en eWeek-historie er koden ikke komplet eller kompilerbar. Selvom Windows API er godt offentliggjort, er den underliggende kildekode ikke. API er en samling af kodefunktioner og rutiner, der udfører opgaverne med at køre Windows, såsom at sætte knapper på skærmen, udføre sikkerhed eller skrive filer til harddisken. Mange af sårbarhederne i Windows stammer fra ukontrollerede buffere og parametre til disse funktioner. Ofte involverer sårbarhederne videregivelse af specielt udformede meddelelser eller parametre til disse funktioner, hvilket får dem til at mislykkes og åbne systemet for udnyttelse. Da meget af Windows 2000-koden også er inkorporeret i Windows XP og Windows 2003-serveren, kan det at have kildekoden muligvis virusforfattere og ondsindede brugere lettere finde huller i specifikke rutiner og udnytte dem. Mens sårbarheder typisk identificeres af Microsoft eller tredjepartskilder, inden de bliver offentlige, hvilket giver tid til at udstede programrettelser, kan dette muligvis vende denne procedure på hovedet, hvilket sætter hackere i stand til at opdage og udnytte sårbarheder, før Microsoft finder og lapper dem.