Domov Správy a analýza Tento červ sa chce liečiť iba

Tento červ sa chce liečiť iba

Obsah:

Video: YouTube Rewind: What Does 2013 Say? (November 2024)

Video: YouTube Rewind: What Does 2013 Say? (November 2024)
Anonim

obsah

  • Tento červ chce len liečiť
  • Najvyššia hrozba W32 / Nachi.B-červ
  • Top 10 e-mailových vírusov
  • Top 5 zraniteľností
  • Tip zabezpečenia
  • Aktualizácie zabezpečenia systému Windows
  • Jargon Buster
  • Krmivo bezpečnostných príbehov

Tento červ chce len liečiť

Prvýkrát sme boli svedkami výbuchu MyDoom.A a následného útoku Denial of Service, ktorý na dva týždne vyradil webovú stránku Santa Cruz Operation (sco.com). Potom prišiel MyDoom.B, ktorý pridal Microsoft.com ako cieľ útoku DoS. Zatiaľ čo MyDoom.A začal s pomstou, MyDoom.B, rovnako ako film „B“, bol chlap. Podľa Mark Sunner CTO v MessageLabs, MyDoom.B mal chyby v kóde, ktorý spôsobil, že bol úspešný iba pri útoku SCO 70% času a 0% pri útoku na spoločnosť Microsoft. Povedal tiež, že existuje „väčšia šanca na prečítanie o MyDoom.B, ako na to, aby ste ju chytili.“

Minulý týždeň sme zaznamenali explóziu vírusov, ktoré sa pohybovali na chvostoch srsti úspešného prevzatia stoviek tisícov počítačov MyDoom.A. Prvý, kto zasiahol scénu, bol Doomjuice.A (tiež nazývaný MyDoom.C). Doomjuice.A nebol ďalším e-mailovým vírusom, ale využil backdoor, ktorý sa MyDoom.A otvoril na infikovaných počítačoch. Doomjuice by si stiahol do počítača infikovaného MyDoom a podobne ako MyDoom.B nainštaloval a pokúsil sa vykonať útok DoS na serveri Microsoft.com. Podľa Microsoftu útok na ne nemal nepriaznivý vplyv okolo 9. a 10. dňa, hoci NetCraft zaznamenal, že stránka spoločnosti Microsoft bola v určitom okamihu nedostupná.

Antivírusoví odborníci sa domnievajú, že Doomjuice bol dielom toho istého autora (autorov) MyDoom, pretože na počítač obete tiež kvapí kópiu pôvodného zdroja MyDoom. Podľa tlačovej správy spoločnosti F-secure to môže byť spôsob, ako autori zakryjú svoje skladby. Vydáva tiež pracovný zdrojový kódový súbor iným vírusovým autorom na použitie alebo úpravu. MyDoom.A a MyDoom.B sa tak, podobne ako Microsoft Windows a samotný Office, stali platformou na šírenie ďalších vírusov. Počas posledného týždňa sme videli výskyt W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploate-MyDoom - trójsky variant verzie Proxy-Mitglieter., W32 / Deadhat.A a W32 / Deadhat.B, všetky vstupujúce do zadných dverí MyDoom. Vesser.worm / DeadHat.B, tiež používajú sieť na zdieľanie súborov SoulSeek P2P.

12. februára bol objavený červ W32 / Nachi.B. Rovnako ako jeho predchodca W32 / Nachi.A.worm (tiež známy ako Welchia), aj Nachi.B sa šíri využívaním zraniteľností RPC / DCOM a WebDAV. Zatiaľ čo vírus / červ sa stále pokúša, Nachi.B sa pokúša odstrániť MyDoom a uzavrieť zraniteľné miesta. V piatok 13. februára sa spoločnosť Nachi.B dostala na prvé miesto na zozname hrozieb dvoch predajcov (Trend, McAfee). Pretože nepoužíva e-mail, nebude sa zobrazovať na zozname desiatich najčastejších vírusov e-mailových správ MessageLabs. Prevencia infekcie Nachi.B je rovnaká ako v prípade Nachi.A. Na odstránenie slabých miest použite všetky súčasné opravy zabezpečenia systému Windows. Ďalšie informácie nájdete v časti Najvyššia hrozba.

V piatok 13. februára sme videli ďalšiu harpúnu MyDoom, W32 / DoomHunt.A. Tento vírus používa backdoor MyDoom.A a vypína procesy a odstraňuje kľúče registra spojené s jeho cieľom. Na rozdiel od Nachi.B, ktorý pracuje ticho na pozadí, DoomHunt.A zobrazí dialógové okno s vyhlásením „MyDoom Removal Worm (DDOS RIAA)“. Nainštaluje sa do zložky Windows System ako zjavný súbor Worm.exe a pridá kľúč databázy Registry s hodnotou „Delete Me“ = „worm.exe“. Odstránenie je rovnaké ako akýkoľvek červ, zastavte proces worm.exe, skenujte pomocou antivírusu, odstráňte súbor Worm.exe a všetky súvisiace súbory a odstráňte kľúč databázy Registry. Samozrejme nezabudnite aktualizovať svoje zariadenie najnovšími bezpečnostnými opravami.

Aj keď neexistuje žiadny spôsob, ako presne vedieť, odhady sa pohybovali od 50 000 do 400 000 aktívne infikovaných počítačov MyDoom.A. Doomjuice sa mohol šíriť iba prístupom k zadným dverám MyDoom, takže neinfikovaní užívatelia neboli ohrození a keď sa infekcie vyčistili, pole dostupných strojov by kleslo. Jedným nebezpečenstvom je však to, že zatiaľ čo MyDoom.A bolo naplánované zastaviť útoky DoS 12. februára, Doomjuice nemá časový limit. Minulý týždeň sme spomenuli, že sa pri animácii MessageLabs Flash rozvinula explózia MyDoom.A a sľúbili sme jej, že ju uvidia všetci. Tu to je.

Spoločnosť Microsoft oznámila ďalšie tri zraniteľné miesta a tento týždeň vydala opravy. Dva sú dôležitou prioritou úrovne a jedna kritická úroveň. Najvyššia zraniteľnosť spočíva v knižnici kódov v systéme Windows, ktorá je ústredným prvkom zabezpečeného webu a lokálnych aplikácií. Viac informácií o zraniteľnosti, jej dôsledkoch a tom, čo musíte urobiť, nájdete v našej osobitnej správe. Medzi ďalšie dve chyby zabezpečenia patrí služba Windows Internet Naming Service (WINS) a druhá je vo verzii Virtual PC pre počítače Mac. Ďalšie informácie nájdete v časti Aktualizácie zabezpečenia systému Windows.

Ak to vyzerá ako kačica, kráča ako kačica a šokuje ako kačica, je to kačica alebo vírus? Možno, že nie, ale AOL varoval používateľov (Obrázok 1), aby neklikli na správu, ktorá minulý týždeň uskutočňovala kolá cez Instant Messenger.

Správa obsahovala odkaz, ktorý nainštaluje hru, buď Capture Saddam alebo Night Rapter, v závislosti od verzie správy (obrázok 2). Hra obsahovala technológiu podobnú vírusu BuddyLinks, ktorá automaticky odosiela kópie správy každému na vašom zozname priateľov. Táto technológia robí vírusový marketing automatizovanou kampaňou správ a odosiela vám reklamu a môže uniesť (presmerovať) váš prehliadač. V piatok boli herné webové stránky (www.wgutv.com) aj stránky Buddylinks (www.buddylinks.net) vypnuté a spoločnosť Buddylinks so sídlom v Cambridge nevracala telefónne hovory.

Aktualizácia: Minulý týždeň sme vám povedali o falošnej webovej stránke neposielajúcej e-maily, ktorá sľubuje znížiť spam, ale v skutočnosti bola zberateľom e-mailovej adresy pre spamerov. Tento týždeň uvádza správa spoločnosti Reuters, že Federálna obchodná komisia USA varuje: „Spotrebitelia by nemali posielať svoje e-mailové adresy na webovú stránku, ktorá sľubuje zníženie nežiaduceho„ spamu “, pretože je podvodný. V článku sa ďalej opisuje web a v súlade s tým sa odporúča, aby ste si „uchovali vaše osobné informácie pre seba - vrátane vašej e-mailovej adresy - pokiaľ neviete, s kým máte čo do činenia“.

Vo štvrtok 12. februára spoločnosť Microsoft zistila, že časť jeho zdrojového kódu cirkuluje na webe. Sledovali ho po spoločnosti MainSoft, ktorá vyrába rozhranie Windows-Unix pre aplikačných programátorov Unix. MainSoft poskytuje licenciu na zdrojový kód systému Windows 2000, konkrétne na časť, ktorá sa týka rozhrania API (rozhranie aplikačných programov) systému Windows. Podľa príbehu eWeek nie je kód úplný alebo kompilovateľný. Kým je rozhranie API systému Windows dobre publikované, zdrojový kód v ňom nie je. Rozhranie API je zbierka kódových funkcií a rutín, ktoré vykonávajú úlohy spojené so spustením systému Windows, napríklad umiestňovanie tlačidiel na obrazovku, zabezpečenie alebo zapisovanie súborov na pevný disk. Mnoho zraniteľností v systéme Windows pramení z nekontrolovaných vyrovnávacích pamätí a parametrov týchto funkcií. Tieto zraniteľné miesta často zahŕňajú odovzdanie špeciálne vytvorených správ alebo parametrov týmto funkciám, čo spôsobuje ich zlyhanie a otvorenie systému na využitie. Pretože veľká časť kódu systému Windows 2000 je zahrnutá aj v serveroch Windows XP a Windows 2003, môže mať zdrojový kód možnosť, aby autori vírusov a škodliví používatelia ľahšie našli diery v konkrétnych rutinách a využívali ich. Hoci zraniteľné miesta sú zvyčajne identifikované zdrojmi Microsoftu alebo tretích strán skôr, ako sa stanú verejnými, čo dáva čas na vydávanie opráv, môže to tento proces zmeniť na jeho hlavu, čím sa hackeri dostanú do pozície objavovania a zneužívania zraniteľností skôr, ako ich spoločnosť Microsoft nájde a opraví.

Tento červ sa chce liečiť iba