Casa Notícies i anàlisi Aquest cuc només vol curar

Aquest cuc només vol curar

Taula de continguts:

Vídeo: A Show of Scrutiny | Critical Role: THE MIGHTY NEIN | Episode 2 (De novembre 2024)

Vídeo: A Show of Scrutiny | Critical Role: THE MIGHTY NEIN | Episode 2 (De novembre 2024)
Anonim

Contingut

  • Aquest cuc només vol curar
  • Amenaça superior W32 / cuc Nachi.B
  • 10 millors virus de correu electrònic
  • 5 vulnerabilitats més importants
  • Consell de seguretat
  • Actualitzacions de seguretat de Windows
  • Jargon Buster
  • Feed de la història de la història de seguretat

Aquest cuc només vol curar

Per primera vegada vam ser testimonis de l'explosió MyDoom.A i de l'atac posterior a la denegació de servei que va fer dues setmanes el lloc web de l'operació Santa Cruz (sco.com). Després va venir MyDoom.B, que va afegir Microsoft.com com a objectiu d'un atac de DoS. Mentre que MyDoom.A es va enlairar amb una venjança, MyDoom.B, com una pel·lícula "B", va ser un tiet. Segons Mark Sunner CTO a MessageLabs, MyDoom.B tenia errors en el codi que feien que només tingués èxit en un atac de SCO el 70% del temps i el 0% en atacar Microsoft. També va dir que hi havia "més possibilitats de llegir sobre MyDoom.B, que no pas capturar-ho".

La setmana passada, hem vist una explosió de virus muntant-se a la cua de la reeixida presa de cents de milers de màquines MyDoom.A El primer que va arribar a l'escena va ser Doomjuice.A (també anomenat MyDoom.C). Doomjuice.A, no va ser un altre virus de correu electrònic, però va aprofitar una porta del darrere que MyDoom.A va obrir en màquines infectades. Doomjuice es descarregaria a una màquina infectada per MyDoom i, com MyDoom.B, instal·laria i intentaria realitzar un atac de DoS a Microsoft.com. Segons Microsoft, l'atac no els va afectar cap al 9 i el 10, tot i que NetCraft va registrar que el lloc de Microsoft era inabarcable en un moment.

Els experts antivirus creuen que Doomjuice va ser obra del mateix autor (a) de MyDoom, perquè també deixa una còpia de la font original de MyDoom a la màquina de la víctima. Segons un comunicat de premsa de F-safe, aquesta pot ser una manera per als autors de cobrir les seves pistes. També allibera un fitxer de codi font de treball a altres escriptors de virus per utilitzar-los o modificar-los. Així, MyDoom.A i MyDoom.B, com Microsoft Windows i Office mateix, han esdevingut una plataforma per a la propagació d'altres virus. Durant la setmana passada hem vist l’aparició de W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom - una variant troiana de Proxy-Mitglieter, W32 / Deadhat.A, i W32 / Deadhat.B, tots entrant a la porta del darrere de MyDoom. Vesser.worm / DeadHat.B, també utilitza la xarxa de compartició de fitxers SoulSeek P2P.

El 12 de febrer es va descobrir el W32 / Nachi.B.worm. Igual que el seu predecessor, W32 / Nachi.A.worm (també conegut com a Welchia), Nachi.B es propaga aprofitant les vulnerabilitats RPC / DCOM i WebDAV. Encara segueix sent un virus / cuc, Nachi.B intenta eliminar MyDoom i tancar les vulnerabilitats. El divendres 13 de febrer, Nachi.B havia arribat al lloc número 2 en un parell de llistes d'amenaça de venedors (Trend, McAfee). Com que no utilitza el correu electrònic, no apareixerà a la llista de virus de deu missatges de correu electrònic de MessageLabs. Evitar que la infecció amb Nachi.B sigui la mateixa que per Nachi.A, apliqueu tots els pegats de seguretat de Windows actuals per tancar les vulnerabilitats. Consulteu la nostra amenaça superior per obtenir més informació.

El divendres 13 de febrer, vam veure un altre arpó MyDoom, W32 / DoomHunt.A. Aquest virus utilitza la porta del darrere MyDoom.A i tanca els processos i elimina les claus de registre associades a la destinació. A diferència de Nachi.B, que funciona en un segon pla en silenci, DoomHunt.A apareix un quadre de diàleg proclamant "Worm Removal MyDoom (DDOS the RIAA)". S'instal·la a la carpeta del sistema de Windows com a evident Worm.exe i afegeix una clau de registre amb el valor "Eliminar-me" = "worm.exe". L'eliminació és la mateixa que qualsevol cuc, atureu el procés worm.exe, escanegeu amb un antivirus, elimineu el fitxer Worm.exe i qualsevol fitxer associat i elimineu la clau de registre. Per descomptat, assegureu-vos d’actualitzar la vostra màquina amb els pedaços de seguretat més recents.

Tot i que no hi ha manera de saber-ho exactament, les estimacions oscil·laven entre 50.000 i fins a 400.000 màquines MyDoom.A infectades activament. Doomjuice només es va poder propagar accedint a la porta posterior de MyDoom, de manera que els usuaris desinfectats no corrien el risc i, a mesura que es netegessin les infeccions, el camp de les màquines disponibles es reduiria. Tot i això, l’únic perill és que, mentre que MyDoom.A estava programat per aturar els seus atacs de DoS el 12 de febrer, Doomjuice no té un temps de espera. La setmana passada vam mencionar veure l'explosió MyDoom.A es va desplegar en una animació Flash de MessageLabs i vam prometre que la veiessin. Aquí està.

Microsoft ha anunciat tres vulnerabilitats més i ha llançat pedaços aquesta setmana. Dues són prioritats de nivell importants, i una de nivell crític. La vulnerabilitat principal implica una biblioteca de codis a Windows que és central per protegir la web i les aplicacions locals. Per obtenir més informació sobre la vulnerabilitat, les seves implicacions i què heu de fer, consulteu el nostre informe especial. Les altres dues vulnerabilitats inclouen el servei WINS (Windows Internet Naming Service) i l’altra es troba a la versió Mac de PC virtual. Consulteu la nostra secció Actualitzacions de seguretat de Windows per obtenir més informació.

Si es veu com un ànec, camina com un ànec, i es mou com un ànec, és un ànec o un virus? Potser potser no, però els usuaris de AOL van advertir (Figura 1) que no van fer clic en un missatge que feia les rondes mitjançant Instant Messenger la setmana passada.

El missatge contenia un enllaç que instal·la un joc, ja sigui Capture Saddam o Night Rapter, segons la versió del missatge (figura 2). El joc incloïa BuddyLinks, una tecnologia com un virus que envia automàticament còpies del missatge a tothom de la vostra llista de companys. La tecnologia fa tant màrqueting viral amb la seva campanya automatitzada de missatges i us envia publicitat i pot segrestar (redirigir) el vostre navegador. A divendres, tant el lloc web del joc (www.wgutv.com) com el lloc de Buddylinks (www.buddylinks.net) estaven a la baixa i la companyia Buddylinks amb seu a Cambridge no tornava a trucar.

Actualització: La setmana passada us vam parlar sobre un lloc web fals de No Enviar correu electrònic, que prometia tallar el correu brossa, però en realitat era un col·leccionista d’adreces de correu electrònic per a spammers. Aquesta setmana, un reportatge de Reuters informa que la comissió federal de comerç dels Estats Units està advertint: "Els consumidors no haurien de enviar les seves adreces de correu electrònic a un lloc web que promet reduir el" spam "no desitjat perquè és fraudulent". L'article descriu el lloc i recomana, tal com hem estat, "mantenir les vostres dades personals, inclosa la vostra adreça de correu electrònic, a menys que sàpiga amb qui tracta".

Dijous 12 de febrer, Microsoft va assabentar-se que alguns dels seus codis font circulaven per la xarxa. El van traçar a MainSoft, una empresa que fa una interfície de Windows a Unix per als programadors d’aplicacions Unix. MainSoft ha estat llicència del codi font de Windows 2000, concretament la part que té a veure amb l’API (interfície del programa d’aplicació) de Windows. Segons una història d’eWeek, el codi no és complet ni compilable. Si bé l’API de Windows està ben publicada, el codi font subjacent no ho és. L’API és una col·lecció de funcions i rutines de codi que duen a terme les tasques d’execució de Windows, com ara posar botons a la pantalla, fer seguretat o escriure fitxers al disc dur. Moltes de les vulnerabilitats de Windows provenen de buffers i paràmetres no marcats a aquestes funcions. Sovint, les vulnerabilitats impliquen passar missatges o paràmetres especialment dissenyats a aquestes funcions, provocant que fallin i obrin el sistema a l’explotació. Com que gran part del codi Windows 2000 també s’incorpora al servidor Windows XP i Windows 2003, tenir el codi font pot permetre als escriptors de virus i usuaris maliciosos trobar més fàcilment forats en rutines específiques i explotar-les. Si bé les vulnerabilitats són identificades generalment per fonts de Microsoft o de tercers abans que es facin públics, donant temps per publicar pegats, això pot convertir aquest procediment al capdavant, posant els pirates informàtics en posició de descobrir i explotar vulnerabilitats abans que Microsoft els trobi i els faci patch.

Aquest cuc només vol curar