Tämä mato vain haluaa parantua

Sisällys

• Tämä mato vain haluaa parantua
• Top Threat W32 / Nachi.B-mato
• 10 parasta sähköpostivirusta
• 5 suosituinta haavoittuvuutta
• Turvallisuusvinkki
• Windowsin tietoturvapäivitykset
• Jargon Buster
• Security Watchin tarinasyöte

Tämä mato vain haluaa parantua

Näimme ensimmäisen kerran MyDoom.A-räjähdyksen ja sitä seuranneen palvelunestohyökkäyksen, joka vei Santa Cruzin operaation (sco.com) verkkosivuston kahteen viikkoon. Sitten tuli MyDoom.B, joka lisäsi Microsoft.comin DoS-hyökkäyksen kohteeksi. Kun MyDoom.A aloitti koson, MyDoom.B, kuten "B" -elokuva, oli hämärtävä. Mark Sunner CTO: n mukaan MessageLabsissa MyDoom.B: llä oli virheitä koodissa, joka sai sen onnistumaan vain 70%: n SCO-hyökkäyksessä ja 0%: n hyökkäyksessä Microsoftin kohdalla. Hän sanoi myös, että "enemmän mahdollisuuksia lukea MyDoom.B: stä kuin saada kiinni" oli enemmän.

Viime viikolla olemme nähneet viruksen räjähdyksen räjähtävän MyDoom.A: n takin hännän päähän. Satojen tuhansien koneiden onnistunut haltuunotto. Ensimmäinen kohtaus kohtaus oli Doomjuice.A (kutsutaan myös MyDoom.C). Doomjuice.A ei ollut uusi sähköpostivirus, mutta siinä hyödynnettiin takaovia, jonka MyDoom.A avasi tartunnan saaneissa koneissa. Doomjuice lataa MyDoom-tartunnan saaneeseen koneeseen, ja kuten MyDoom.B, asentaa ja yrittää suorittaa DoS-hyökkäyksen Microsoft.comiin. Microsoftin mukaan hyökkäys ei vaikuttanut heihin haitallisesti yhdeksännen ja kymmenennen välisenä aikana, vaikka NetCraft totesi, että Microsoftin sivusto oli saavuttamaton yhteen pisteeseen.

Virustorjunta-asiantuntijat uskovat, että Doomjuice oli saman MyDoom-kirjoittajan työ, koska se pudottaa myös kopion alkuperäisestä MyDoom-lähteestä uhrin koneelle. F-Securen lehdistötiedotteen mukaan tämä voi olla tapa kirjoittajille kattaa kappaleensa. Se julkaisee myös toimivan lähdekooditiedoston muille viruksentekijöille joko käyttämistä tai muokkaamista varten. Joten MyDoom.A: sta ja MyDoom.B: sta, kuten itse Microsoft Windowsista ja Officeista, on tullut alusta muiden virusten leviämiselle. Viime viikolla olemme nähneet W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom - troijalainen variantti Proxy-Mitglieteristä., W32 / Deadhat.A ja W32 / Deadhat.B, kaikki menevät MyDoomin takaoviin. Vesser.worm / DeadHat.B, käytä myös SoulSeek P2P-tiedostojenjakoverkkoa.

W32 / Nachi.B.mato löydettiin 12. helmikuuta. Kuten edeltäjänsä, W32 / Nachi.A.worm (tunnetaan myös nimellä Welchia), Nachi.B leviää hyödyntämällä RPC / DCOM- ja WebDAV-haavoittuvuuksia. Vaikka Nachi.B on edelleen virus / mato, hän yrittää poistaa MyDoomin ja sulkea haavoittuvuudet. Perjantaihin, 13. helmikuuta mennessä, Nachi.B oli päässyt kärkipaikkaan parilla myyjien uhkaluetteloilla (Trend, McAfee). Koska se ei käytä sähköpostia, se ei tule näkyviin MessageLabsin kymmenen suurimman sähköpostivirusluettelon joukkoon. Nachi.B-tartunnan estäminen on sama kuin Nachi.A: lla, poista kaikki nykyiset Windowsin tietoturvakorjaukset haavoittuvuuksien poistamiseksi. Katso lisätietoja kohdasta Top Threat.

Perjantaina 13. helmikuuta näimme toisen MyDoom-harpuunin, W32 / DoomHunt.A. Tämä virus käyttää MyDoom.A-takaovia, ja se sammuttaa prosessit ja poistaa kohteeseen liittyvät rekisteriavaimet. Toisin kuin Nachi.B, joka toimii hiljaa taustalla, DoomHunt.A aukeaa valintaikkuna, joka julistaa "MyDoomin poisto-mato (DDOS the RIAA)". Se asentaa itsensä Windows System -kansioon ilmeisenä Worm.exe-tiedostona ja lisää rekisteriavaimen, jonka arvo on "Poista minut" = "worm.exe". Poistaminen on sama kuin mikä tahansa mato. Pysäytä mato.exe-prosessi, skannaa virustorjuntaohjelmalla, poista Worm.exe-tiedosto ja siihen liittyvät tiedostot ja poista rekisteriavain. Varmista tietysti, että päivität koneesi uusimmalla tietoturvakorjauksella.

Vaikka ei ole mitään tapaa tietää tarkalleen, arviot vaihtelivat 50 000: sta jopa 400 000: seen aktiivisesti saastuneesta MyDoom.A-koneesta. Doomjuice saattoi levitä vain pääsemällä MyDoomiin takaoviin, joten tartunnan saaneet käyttäjät eivät olleet vaarassa, ja kun infektiot puhdistettiin, käytettävissä olevien koneiden pinta vähenee. Yksi vaara on kuitenkin, että vaikka MyDoom.A: n oli määrä lopettaa DoS-hyökkäykset 12. helmikuuta, Doomjuicella ei ole aikakatkaisua. Viime viikolla mainitsimme MyDoom.A-räjähdyksen näkevän esiin MessageLabs Flash -animaatiossa ja lupasimme saada sen kaikkien nähtäväksi. Tässä se on.

Microsoft ilmoitti tällä viikolla vielä kolme haavoittuvuutta ja julkaisi korjaustiedostoja. Kaksi niistä on tärkeä tason prioriteetti ja yksi kriittinen taso. Suurimpaan haavoittuvuuteen liittyy Windows-koodikirjasto, joka on keskeinen verkko- ja paikallisten sovellusten suojaamiseksi. Lisätietoja haavoittuvuudesta, sen vaikutuksista ja tekemistäsi on erityiskertomuksessamme. Kaksi muuta haavoittuvuutta liittyy Windows Internet Naming Service (WINS) -palveluun, ja toinen on Virtual PC: n Mac-versiossa. Katso lisätietoja Windowsin tietoturvapäivitykset -osiosta.

Jos se näyttää ankolta, kävelee kuin ankka ja sammuu kuin ankka, onko se ankka vai virus? Ehkä ei, mutta ei, mutta AOL varoitti (kuva 1) käyttäjiä olematta napsauttamassa viestiä, joka teki kierroksia Instant Messengerin kautta viime viikolla.

Viesti sisälsi linkin, joka asentaa pelin, joko Capture Saddam tai Night Rapter viestin versiosta riippuen (kuva 2). Peli sisälsi BuddyLinks, viruksen kaltaisen tekniikan, joka lähettää automaattisesti kopion viestistä kaikille kaveriluettelossasi. Teknologia harjoittaa sekä virusmarkkinointia automaattisen viestikampanjansa avulla, ja se lähettää sinulle mainontaa ja voi kaappaa (ohjata) selaimesi. Perjantaista lähtien sekä pelisivusto (www.wgutv.com) että Buddylinks-sivusto (www.buddylinks.net) olivat alhaalla, ja Cambridgessa sijaitseva Buddylinks-yritys ei vastannut puheluita.

Päivitys: Viime viikolla kerroimme sinulle väärentävästä Älä lähetä -sivustosta, joka lupaa leikata roskapostia, mutta oli itse asiassa roskapostittajien sähköpostiosoitteiden kerääjä. Tällä viikolla Reutersin tarina kertoo Yhdysvaltain liittovaltion kauppakomission varoittavan: "Kuluttajien ei pitäisi lähettää sähköpostiosoitteitaan verkkosivustolle, joka lupaa vähentää ei-toivottua" roskapostia ", koska se on vilpillinen". Artikkelissa kuvataan sivustoa edelleen, ja siinä suositellaan "pitämään henkilökohtaiset tietosi itsellesi - mukaan lukien sähköpostiosoitteesi - ellet tiedä kenen kanssa käsittelet", kuten olemme olleet.

Torstaina 12. helmikuuta Microsoft sai selville, että osa sen lähdekoodista oli liikkeellä verkossa. He jäljittivät sen MainSoftille, yritykselle, joka tekee Windows-Unix-käyttöliittymän Unix-sovellusohjelmoijille. MainSoft on lisensoinut Windows 2000 -lähdekoodin, erityisesti sen osan, joka liittyy Windowsin sovellusliittymään (sovellusohjelmarajapinta). EWeek-tarinan mukaan koodi ei ole täydellinen tai käännettävissä. Vaikka Windows API on hyvin julkaistu, taustalla oleva lähdekoodi ei ole. Sovellusliittymä on kokoelma koodifunktioita ja rutiineja, jotka suorittavat Windowsin käyttötehtävät, kuten painikkeiden asettaminen näytölle, tietoturvan tekeminen tai tiedostojen kirjoittaminen kiintolevylle. Monet Windowsin haavoittuvuuksista johtuvat tarkistamattomista puskureista ja näiden toimintojen parametreista. Usein haavoittuvuuksiin kuuluu erityisesti muotoiltujen viestien tai parametrien siirtäminen näihin toimintoihin, aiheuttaen niiden epäonnistumisen ja järjestelmän avaamisen hyväksikäyttöön. Koska suuri osa Windows 2000 -koodista on sisällytetty myös Windows XP: hen ja Windows 2003 -palvelimeen, lähdekoodin saaminen voi antaa viruksen kirjoittajille ja pahantahtoisille käyttäjille löytää helpommin reikiä tietyissä rutiineissa ja hyödyntää niitä. Vaikka Microsoft tai kolmannen osapuolen lähteet tunnistavat yleensä haavoittuvuudet ennen niiden julkistamista, jolloin annetaan aikaa laatia korjauksia, tämä saattaa kääntää kyseisen menettelyn päähän, asettamalla hakkerit mahdollisuuteen löytää ja hyödyntää haavoittuvuuksia, ennen kuin Microsoft löytää ja korjaa ne.