Denna mask vill bara läka

Innehåll

• Denna mask vill bara läka
• Top Threat W32 / Nachi.B-worm
• Topp 10 e-postvirus
• Topp 5 sårbarheter
• Säkerhetstips
• Windows säkerhetsuppdateringar
• Jargon Buster
• Security Watch Story Feed

Denna mask vill bara läka

Vi bevittnade först MyDoom.A-explosionen och den efterföljande attacken Denial of Service som tog ut webbplatsen Santa Cruz Operation (sco.com) i två veckor. Därefter kom MyDoom.B, som tilllade Microsoft.com som ett mål för en DoS-attack. Medan MyDoom.A tog fart med hämnd, var MyDoom.B, som en "B" -film, en dud. Enligt Mark Sunner CTO på MessageLabs hade MyDoom.B fel i koden som orsakade att den bara lyckades i en attack av SCO 70% av tiden och 0% när han attackerade Microsoft. Han sa också att det fanns "större chans att läsa om MyDoom.B, än att fånga det."

Den senaste veckan har vi sett en explosion av virus som rider på täcken på MyDoom.A: s framgångsrika övertagande av hundratusentals maskiner. Den första som träffade scenen var Doomjuice.A (även kallad MyDoom.C). Doomjuice.A, var inte ett e-postvirus, men det utnyttjade en bakdörr som MyDoom.A öppnade på infekterade maskiner. Doomjuice skulle ladda ner till en MyDoom-infekterad maskin, och som MyDoom.B, installera och försöka genomföra en DoS-attack på Microsoft.com. Enligt Microsoft påverkade inte attacken dem negativt runt nionde och tionde, även om NetCraft spelade in att Microsofts webbplats inte kunde nås vid en tidpunkt.

Antivirusexperter tror att Doomjuice var arbetet för samma författare till MyDoom, eftersom det också tappar en kopia av den ursprungliga MyDoom-källan på offermaskinen. Enligt ett pressmeddelande från F-safe kan detta vara ett sätt för författarna att täcka sina spår. Det släpper också en fungerande källkodfil till andra virusförfattare för att antingen använda eller modifiera. Så MyDoom.A och MyDoom.B, som Microsoft Windows och Office själva, har nu blivit en plattform för andra virus att sprida. Under den senaste veckan har vi sett uppkomsten av W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom - en trojansk variant av Proxy-Mitglieter, W32 / Deadhat.A och W32 / Deadhat.B, alla kommer in i MyDooms bakdörr. Vesser.worm / DeadHat.B, använd också SoulSeek P2P-fildelningsnätverket.

Den 12 februari upptäcktes W32 / Nachi.B.worm. Liksom föregångaren W32 / Nachi.A.worm (även känd som Welchia), förökar Nachi.B genom att utnyttja RPC / DCOM och WebDAV sårbarheter. Även om det fortfarande är ett virus / mask, försöker Nachi.B ta bort MyDoom och stänga sårbarheter. Senast fredag ​​13 februari hade Nachi.B nått till plats nr 2 på ett par säljares hotlistor (Trend, McAfee). Eftersom det inte använder e-post kommer det inte att visas i vår MessageLabs tio topplista med e-postvirus. Att förhindra Nachi.B-infektion är detsamma som för Nachi.A, använd alla aktuella Windows-säkerhetsuppdateringar för att stänga sårbarheter. Se vår topphot för mer information.

På fredagen 13 februari såg vi en annan MyDoom harpun, W32 / DoomHunt.A. Det här viruset använder MyDoom.A-bakdörren och stänger av processer och raderar registernycklar som är associerade med dess mål. Till skillnad från Nachi.B, som fungerar tyst i bakgrunden, dyker DoomHunt.A upp en dialogruta som utropar "MyDoom Removal Worm (DDOS the RIAA)". Den installerar sig i Windows System-mappen som ett uppenbart Worm.exe och lägger till en registernyckel med värdet "Delete Me" = "worm.exe". Borttagning är densamma som alla maskar, stoppa worm.exe-processen, skanna med ett antivirusprogram, ta bort Worm.exe-filen och eventuella tillhörande filer och ta bort registernyckeln. Se naturligtvis till att du uppdaterar din maskin med de senaste säkerhetsfixerna.

Det finns inget sätt att veta exakt, men beräkningarna varierade från 50 000 till så höga som 400 000 aktivt infekterade MyDoom.A-maskiner. Doomjuice kunde bara sprida sig genom att komma åt bakdörren till MyDoom, så oinfekterade användare var inte i riskzonen och när infektioner städades skulle fältet för tillgängliga maskiner falla ner. Den ena faran är dock att medan MyDoom.A planerades att stoppa sina DoS-attacker den 12 februari, har Doomjuice ingen timeout. Förra veckan nämnde vi att se MyDoom.A-explosionen utvecklas på en MessageLabs Flash-animation, och lovade att få den för alla att se. Här är det.

Microsoft meddelade ytterligare tre sårbarheter och släppte korrigeringar denna vecka. Två är viktiga nivåprioriteringar, och en är kritisk nivå. Den översta sårbarheten innebär ett kodbibliotek i Windows som är centralt för att säkra webb och lokala applikationer. Mer information om sårbarheten, dess konsekvenser och vad du behöver göra finns i vår specialrapport. De andra två sårbarheterna omfattar Windows Internet Naming Service (WINS) -tjänsten, och den andra finns i Mac-versionen av Virtual PC. Se vårt avsnitt om säkerhetsuppdateringar för Windows för mer information.

Om det ser ut som en anka, går som en anka och kvakar som en anka, är det en anka eller ett virus? Kanske, kanske inte, men AOL varnade (figur 1) användare att inte klicka på ett meddelande som gjorde rundorna via Instant Messenger förra veckan.

Meddelandet innehöll en länk som installerar ett spel, antingen Capture Saddam eller Night Rapter, beroende på meddelandets version (figur 2). Spelet inkluderade BuddyLinks, ett virusliknande teknik som automatiskt skickar kopior av meddelandet till alla på din kompislista. Tekniken gör både viral marknadsföring med sin automatiska meddelandekampanj, och skickar annonsering och kan kapa (omdirigera) din webbläsare. Från och med fredagen var både spelwebbplatsen (www.wgutv.com) och Buddylinks-webbplatsen (www.buddylinks.net) nere, och det Cambridge-baserade Buddylinks-företaget återvände inte telefonsamtal.

Uppdatering: Förra veckan berättade vi om en falsk webbplats som inte e-post, vilket lovade att skära skräppost, men var faktiskt en e-postadresssamlare för spammare. Den här veckan rapporterar en Reuters-berättelse att den amerikanska federala handelskommissionen varnar, "Konsumenter bör inte skicka in sina e-postadresser till en webbplats som lovar att minska oönskat" spam "eftersom det är bedrägligt". Artikeln fortsätter med att beskriva webbplatsen och rekommenderar, som vi varit, att "hålla din personliga information till dig själv - inklusive din e-postadress - såvida du inte vet vem du har att göra med."

Torsdagen den 12 februari fick Microsoft reda på att en del av dess källkod cirkulerade på webben. De spårade det till MainSoft, ett företag som skapar ett Windows-till-Unix-gränssnitt för Unix-applikationsprogrammerare. MainSoft har licenserat Windows 2000-källkoden, speciellt den del som har att göra med API (applikationsprogramgränssnitt) för Windows. Enligt en eWeek-berättelse är koden inte fullständig eller kompilerbar. Även om Windows API är publicerat är den underliggande källkoden inte. API är en samling kodfunktioner och rutiner som utför uppgifterna att köra Windows, till exempel att sätta knappar på skärmen, göra säkerhet eller skriva filer till hårddisken. Många av sårbarheterna i Windows härrör från okontrollerade buffertar och parametrar till dessa funktioner. Ofta innebär sårbarheterna att specialskrivna meddelanden eller parametrar överförs till dessa funktioner, vilket gör att de misslyckas och öppnar systemet för exploatering. Eftersom mycket av Windows 2000-koden också är integrerad i Windows XP och Windows 2003-servern, kan källkoden tillåta virusförfattare och skadliga användare att lättare hitta hål i specifika rutiner och utnyttja dem. Medan sårbarheter vanligtvis identifieras av Microsoft eller tredjepartskällor innan de blir offentliga, vilket ger tid att utfärda korrigeringar, kan detta göra det förfarandet på huvudet och sätta hackare i stånd att upptäcka och utnyttja sårbarheter innan Microsoft hittar och korrigerar dem.