Ta črv se želi samo zdraviti

Vsebina

• Ta črv se želi samo zdraviti
• Top Threat W32 / Nachi.B-črv
• Top 10 e-poštnih virusov
• Top 5 Ranljivosti
• Varnostni nasvet
• Posodobitve varnosti Windows
• Žargon Buster
• Viri o varnostni straži

Ta črv se želi samo zdraviti

Najprej smo bili priča eksploziji MyDoom.A in kasnejšemu napadu zavračanja storitve, ki je dva tedna uničil spletno stran Santa Cruz Operation (sco.com). Nato je prišel MyDoom.B, ki je Microsoft.com dodal kot tarčo napada DoS. Medtem ko se je MyDoom.A maščeval z maščevanjem, je bil MyDoom.B, podobno kot "B" film, bedak. Po poročanju CTO Marka Sunnerja v MessageLabs-u je imel MyDoom.B napake v kodi, zaradi katerih je bil uspešen le v napadu SCO 70% časa in 0% pri napadu na Microsoft. Povedal je tudi, da je "več možnosti za branje o MyDoom.B., kot pa ulov."

Pretekli teden smo videli eksplozijo virusov, ki se vozijo po plaščih restavracije MyDoom. Uspešen prevzem sto tisoč strojev. Prvi, ki je prišel na sceno, je bil Doomjuice.A (imenovan tudi MyDoom.C). Doomjuice.A, ni bil drug e-poštni virus, je pa izkoristil zakulisje, ki ga je MyDoom.A odprl na okuženih strojih. Doomjuice bi prenesel na računalnik, okužen z MyDoom, in podobno kot MyDoom.B namestil in poskusil izvesti napad DoS na Microsoft.com. Po Microsoftovem mnenju napad ni vplival nanje okoli 9. in 10. ure, čeprav je NetCraft zapisal, da je Microsoftovo spletno mesto v enem trenutku nedosegljivo.

Strokovnjaki za protivirusne sisteme menijo, da je Doomjuice delo istega avtorja (-e) MyDoom-a, saj na žrtev stroj spusti tudi kopijo originalnega vira MyDoom. Kot piše v sporočilu za javnost podjetja F-secure, lahko avtorji na ta način zakrijejo svoje skladbe. Drugim piscem virusov izdaja tudi datoteko delujoče izvorne kode, ki jo lahko uporabljajo ali spremenijo. Tako sta MyDoom.A in MyDoom.B, kot sta Microsoft Windows in Office, zdaj postala platforma za širjenje drugih virusov. V zadnjem tednu smo videli pojav W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom - trojanska različica Proxy-Mitglieter, W32 / Deadhat.A in W32 / Deadhat.B, vsi vstopajo v zakulisje MyDooma. Vesser.worm / DeadHat.B, uporabite tudi omrežje za izmenjavo datotek SoulSeek P2P.

12. februarja so odkrili W32 / Nachi.B.worm. Tako kot predhodnik W32 / Nachi.A.worm (znan tudi kot Welchia), tudi Nachi.B propagira z izkoriščanjem ranljivosti RPC / DCOM in WebDAV. Medtem ko je še vedno virus / črv, Nachi.B poskuša odstraniti MyDoom in zapreti ranljivosti. Nachi.B se je do petka, 13. februarja, uvrstil na drugo mesto na parih groženj prodajalcev (Trend, McAfee). Ker ne uporablja e-pošte, se ne bo prikazal na seznamu najboljših desetih e-poštnih virusov v našem sporočilu. Preprečevanje okužbe z Nachi.B je enako kot za Nachi.A, da zaprete ranljivosti, uporabite vse trenutne varnostne popravke Windows. Oglejte si našo Top Threat za več informacij.

V petek, 13. februarja, smo videli še eno luko MyDoom, W32 / DoomHunt.A. Ta virus uporablja zaledje MyDoom.A in izklopi procese in izbriše registrske ključe, povezane z njegovim ciljem. Za razliko od Nachi.B, ki v ozadju mirno deluje, DoomHunt.A pokaže pogovorno okno, ki razglaša "MyDoom Removal Worm (DDOS the RIAA)". V mapo Windows System se namesti kot očiten Worm.exe in doda registrski ključ z vrednostjo "Delete Me" = "worm.exe". Odstranjevanje je enako kot kateri koli črv, ustavite worm.exe postopek, skenirajte s protivirusnim programom, izbrišite datoteko Worm.exe in vse povezane datoteke ter odstranite registrski ključ. Seveda posodobite svoj računalnik z najnovejšimi varnostnimi popravki.

Čeprav ni mogoče natančno vedeti, so bile ocene od 50.000 do 400.000 aktivno okuženih strojev MyDoom.A. Doomjuice se je lahko širil le z dostopom do zadnjih vrat MyDooma, zato neokuženi uporabniki niso bili ogroženi in ker se okužbe čistijo, bi se polje razpoložljivih strojev zmanjšalo. Toda ena nevarnost je, da medtem ko naj bi MyDoom.A 12. februarja zaustavila napade DoS, Doomjuice nima časovne omejitve. Prejšnji teden smo omenili, da se je na animaciji MessageLabs Flash odvijala eksplozija MyDoom.A in obljubili, da jo bomo videli za vse. Tukaj je.

Microsoft je ta teden napovedal še tri ranljivosti in izdal popravke. Dve sta pomembni prednostni ravni, ena pa je kritična. Glavna ranljivost vključuje knjižnico kod v sistemu Windows, ki je osrednja za zaščito spletnih in lokalnih aplikacij. Za več informacij o ranljivosti, njenih posledicah in o tem, kaj morate storiti, glejte naše posebno poročilo. Drugi dve ranljivosti vključujeta storitev Windows Internet Nameing Service (WINS), druga pa je v različici Mac Virtual PC. Za več informacij glejte razdelek Varnostne posodobitve sistema Windows.

Če je videti kot raca, hodi kot raca in grdi kot raca, je to raca ali virus? Mogoče, morda ni, toda AOL je uporabnike opozarjal (Slika 1), naj prejšnji teden ne kliknejo sporočila, ki je krožilo prek Instant Messengerja.

Sporočilo je vsebovalo povezavo, ki namesti igro, Capture Saddam ali Night Rapter, odvisno od različice sporočila (slika 2). Igra je vključevala BuddyLinks, tehnologijo, podobno virusu, ki samodejno pošlje kopije sporočila vsem na seznamu prijateljev. Tehnologija tako virusno trženje izvaja s svojo avtomatizirano oglaševalsko kampanjo in vam pošilja oglaševanje in lahko ugrabi (preusmeri) vaš brskalnik. Do petka sta tako spletna stran za igre (www.wgutv.com) kot tudi spletna stran Buddylinks (www.buddylinks.net) propadla, podjetje Buddylinks s sedežem v Cambridgeu pa ni vrnilo telefonskih klicev.

Posodobitev: Prejšnji teden smo vam povedali o ponarejenem spletnem mestu Ne pošiljajte e-pošte, ki je obljubljalo zmanjšanje neželene pošte, vendar je bil v resnici zbiralec e-poštnih naslovov za neželeno pošto. Ta teden zgodba Reutersa poroča, da ameriška zvezna trgovinska komisija opozarja: "Potrošniki ne bi smeli pošiljati svojih elektronskih naslovov na spletno mesto, ki obljublja, da bo zmanjšalo neželeno" nezaželeno pošto ", ker je goljufivo". Članek opisuje spletno mesto in priporoča, kot smo bili doslej, "svoje osebne podatke hranite pri sebi - vključno z e-poštnim naslovom - razen če veste, s kom imate opravka."

Microsoft je v četrtek, 12. februarja, ugotovil, da nekaj njegove izvorne kode kroži po spletu. Izsledili so ga v MainSoftu, podjetju, ki izdeluje vmesnik Windows-to-Unix za aplikacijske programerje Unix. MainSoft licencira izvorno kodo sistema Windows 2000, zlasti tisti del, ki je povezan z API-jem (vmesnikom aplikacijskega programa) sistema Windows. Glede na zgodbo o eWeeku koda ni popolna ali sestavljiva. Čeprav je sistem Windows API dobro objavljen, osnovna izvorna koda ni. API je zbirka kodnih funkcij in rutin, ki izvajajo naloge operacijskega sistema Windows, kot so postavljanje gumbov na zaslon, varnost ali pisanje datotek na trdi disk. Mnogo ranljivosti v operacijskem sistemu Windows izhaja iz nepreverjenih medpomnilnikov in parametrov za te funkcije. Pogosto ranljivosti vključujejo posredovanje posebej izdelanih sporočil ali parametrov tem funkcijam, zaradi česar ne uspejo in odprejo sistem za izkoriščanje. Ker je velik del kode Windows 2000 vključen tudi v strežniku Windows XP in strežniku Windows 2003, lahko izvorna koda piscem virusov in zlonamernim uporabnikom lažje najde luknje v določeni rutini in jih izkoristi. Medtem ko ranljivosti običajno odkrijejo Microsoftovi ali tretji viri, preden postanejo javni, kar daje čas za izdajo popravkov, lahko ta postopek obrne na glavo in hekerje postavi v položaj za odkrivanje in izkoriščanje ranljivosti, preden jih Microsoft najde in popravi.