Cuprins:
Video: Irina Rimes - Ce S-a Intamplat Cu Noi | Official Video (Noiembrie 2024)
Cuprins
- Acest vierme doar vrea să se vindece
- Top Threat W32 / Nachi.B-vierme
- Top 10 E-Mail Viruses
- Top 5 vulnerabilități
- Sfat de securitate
- Actualizări de securitate Windows
- Jargon Buster
- Informații despre securitate
Acest vierme doar vrea să se vindece
Am asistat pentru prima oară la explozia MyDoom.A și la atacul ulterior de refuz de serviciu, care a scos site-ul web Operațiunea Santa Cruz (sco.com) timp de două săptămâni. Apoi a apărut MyDoom.B, care a adăugat Microsoft.com ca țintă a unui atac DoS. În timp ce MyDoom.A a decolat cu o răzbunare, MyDoom.B, ca un film „B”, a fost un dud. Conform Mark Sunner CTO de la MessageLabs, MyDoom.B a avut bug-uri în codul care a făcut ca acesta să aibă succes doar într-un atac de SCO 70% din timp, și 0% când ataca Microsoft. El a mai spus că există „mai multe șanse de a citi despre MyDoom.B, decât să-l prind”.
Saptamana trecuta am vazut o explozie de virusi calare pe cozile de la MyDoom.A preluarea cu succes a sutelor de mii de masini. Primul care a intrat în scenă a fost Doomjuice.A (numit și MyDoom.C). Doomjuice.A, nu a fost un alt virus de e-mail, dar a profitat de un backdoor pe care MyDoom.A l-a deschis pe mașinile infectate. Doomjuice s-ar descărca pe un aparat infectat MyDoom și, cum ar fi MyDoom.B, ar instala și încerca să efectueze un atac DoS pe Microsoft.com. Potrivit Microsoft, atacul nu i-a afectat negativ în jurul orei 9 și 10, deși NetCraft a înregistrat că site-ul Microsoft a fost de neatins la un moment dat.
Experții antivirus sunt de părere că Doomjuice a fost opera aceluiași autor (i) al MyDoom, deoarece, de asemenea, aruncă o copie a sursei originale MyDoom pe mașina victimă. Potrivit unui comunicat de presă de la F-secur, acesta poate fi o modalitate pentru autori de a-și acoperi piesele. De asemenea, eliberează un fișier de cod sursă de lucru către alți scriitori de virus pentru a-l utiliza sau modifica. Așadar, MyDoom.A și MyDoom.B, precum Microsoft Windows și Office în sine, au devenit acum o platformă pentru propagarea altor viruși. În ultima săptămână am observat apariția W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom - o variantă troiană a Proxy-Mitglieter, W32 / Deadhat.A și W32 / Deadhat.B, toate intrând în backdoorul MyDoom. Vesser.worm / DeadHat.B, utilizați, de asemenea, rețeaua de partajare a fișierelor SoulSeek P2P.
Pe 12 februarie, W32 / Nachi.B.worm a fost descoperit. Ca și predecesorul său, W32 / Nachi.A.worm (cunoscut și sub denumirea de Welchia), Nachi.B se propagă prin exploatarea vulnerabilităților RPC / DCOM și WebDAV. În timp ce este încă un virus / vierme, Nachi.B încearcă să elimine MyDoom și să închidă vulnerabilitățile. Până vineri, 13 februarie, Nachi.B ajunsese la locul 2 pe o listă de amenințări a câtorva vânzători (Trend, McAfee). Deoarece nu utilizează e-mail-ul, acesta nu va apărea în lista principală de zece e-mailuri ale mesajelor noastre MessageLabs. Prevenirea infecției Nachi.B este aceeași ca în cazul Nachi.A, aplicați toate corecțiile de securitate Windows actuale pentru a închide vulnerabilitățile. Vedeți amenințarea noastră principală pentru mai multe informații.
Vineri, 13 februarie, am văzut un alt harpon MyDoom, W32 / DoomHunt.A. Acest virus folosește backdoor-ul MyDoom.A și închide procesele și șterge cheile de registru asociate cu ținta sa. Spre deosebire de Nachi.B, care funcționează liniștit în fundal, DoomHunt.A apare o casetă de dialog care proclamă „MyDoom Removal Worm (DDOS the RIAA)”. Se instalează în folderul Sistemului Windows ca Worm.exe evident și adaugă o cheie de registru cu valoarea „Șterge-mă” = „worm.exe”. Eliminarea este aceeași ca orice vierme, opriți procesul worm.exe, scanați cu un antivirus, ștergeți fișierul Worm.exe și orice fișiere asociate și eliminați cheia de registru. Desigur, asigurați-vă că actualizați mașina cu cele mai recente corecții de securitate.
Microsoft a anunțat încă trei vulnerabilități și a lansat patch-uri în această săptămână. Două sunt priorități de nivel importante, iar unul este nivel critic. Vulnerabilitatea de top implică o bibliotecă de coduri în Windows care este centrală pentru securizarea aplicațiilor web și locale. Pentru mai multe informații despre vulnerabilitate, implicațiile sale și ce trebuie să faceți, consultați raportul nostru special. Celelalte două vulnerabilități implică serviciul Windows Waming (Windows Internet Naming Service), iar cealaltă se află în versiunea Mac a PC-ului virtual. Consultați secțiunea Actualizări de securitate Windows pentru mai multe informații.
Dacă arată ca o rață, umblă ca o rață și se aruncă ca o rață, este o rață sau un virus? Poate, poate nu, dar AOL avertiza utilizatorii (Figura 1) să nu facă clic pe un mesaj care făcea runda prin Instant Messenger săptămâna trecută.
Mesajul conținea un link care instalează un joc, fie Capture Saddam sau Night Rapter, în funcție de versiunea mesajului (figura 2). Jocul a inclus BuddyLink, o tehnologie de tip virus care trimite automat copii ale mesajului tuturor celor de pe lista de amici. Tehnologia realizează atât marketingul viral cu campania sa automatizată de mesaje și vă trimite publicitate și poate deturna (redirecționa) browserul. Începând de vineri, atât site-ul jocului (www.wgutv.com), cât și site-ul Buddylinks (www.buddylinks.net) erau în scădere, iar compania Buddylinks din Cambridge nu returna apelurile telefonice.Actualizare: Săptămâna trecută v-am povestit despre un site fals Do Not Email, care promite să reducă spamul, dar a fost de fapt un colecționar de adrese de e-mail pentru spameri. În această săptămână, o poveste Reuters raportează că comisia federală a comerțului american avertizează: „Consumatorii nu ar trebui să-și trimită adresele de e-mail pe un site Web care promite să reducă„ spamul ”nedorit, deoarece este fraudulos. Articolul continuă să descrie site-ul și recomandă, așa cum am fost noi, „să vă păstrați informațiile personale pentru dvs. - inclusiv adresa dvs. de e-mail - decât dacă știți cu cine aveți de-a face”.
Joi, 12 februarie, Microsoft a aflat că o parte din codul său sursă circula pe web. Au urmărit-o către MainSoft, o companie care realizează o interfață Windows-to-Unix pentru programatorii de aplicații Unix. MainSoft a licențiat codul sursă Windows 2000, în special partea care are legătură cu API-ul (interfața programului de aplicație) din Windows. Conform unei povești eWeek, codul nu este complet sau compilabil. În timp ce API-ul Windows este bine publicat, codul sursă de bază nu este. API-ul este o colecție de funcții de cod și rutine care îndeplinesc sarcinile de a rula Windows, precum punerea butoanelor pe ecran, efectuarea securității sau scrierea fișierelor pe hard disk. Multe dintre vulnerabilitățile din Windows decurg din bufferele și parametrii neselectați pentru aceste funcții. Deseori vulnerabilitățile implică transmiterea de mesaje sau parametri special concepute la aceste funcții, determinându-le să eșueze și să deschidă sistemul spre exploatare. Deoarece o mare parte din codul Windows 2000 este de asemenea încorporat în serverul Windows XP și Windows 2003, codul sursă poate permite scriitorilor de virus și utilizatorilor rău intenționat să găsească mai ușor găuri în rutine specifice și să le exploateze. În timp ce vulnerabilitățile sunt identificate în mod obișnuit de surse Microsoft sau terțe părți înainte de a deveni publice, oferind timp pentru a emite patch-uri, acest lucru poate transforma acea procedură pe cap, punând hackerii în poziția de a descoperi și exploata vulnerabilitățile înainte ca Microsoft să le găsească și să le patch.