Casa Notizie e analisi Questo worm vuole solo guarire

Questo worm vuole solo guarire

Sommario:

Video: Come pulire l'intestino (Novembre 2024)

Video: Come pulire l'intestino (Novembre 2024)
Anonim

Contenuto

  • Questo verme vuole solo guarire
  • Minaccia principale W32 / Nachi.B-worm
  • I 10 migliori virus e-mail
  • Le 5 principali vulnerabilità
  • Consiglio di sicurezza
  • Aggiornamenti di sicurezza di Windows
  • Jargon Buster
  • Feed sulla storia di Security Watch

Questo verme vuole solo guarire

Abbiamo assistito per la prima volta all'esplosione di MyDoom.A e al successivo attacco Denial of Service che ha portato il sito web dell'Operazione di Santa Cruz (sco.com) per due settimane. Poi è arrivato MyDoom.B, che ha aggiunto Microsoft.com come obiettivo di un attacco DoS. Mentre MyDoom.A decollò con una vendetta, MyDoom.B, come un film "B", era un disastro. Secondo Mark Sunner CTO di MessageLabs, MyDoom.B aveva dei bug nel codice che gli davano successo solo in un attacco SCO il 70% delle volte e lo 0% quando attaccava Microsoft. Ha anche detto che c'erano "maggiori possibilità di leggere su MyDoom.B, piuttosto che prenderlo".

La scorsa settimana abbiamo assistito a un'esplosione di virus sulle code del mantello di MyDoom. L'acquisizione riuscita di centinaia di migliaia di macchine. Il primo a colpire la scena è stato Doomjuice.A (chiamato anche MyDoom.C). Doomjuice.A, non era un altro virus di posta elettronica, ma sfruttava una backdoor che MyDoom.A apriva su macchine infette. Doomjuice si scarica su un computer infetto da MyDoom e, come MyDoom.B, installa e tenta di eseguire un attacco DoS su Microsoft.com. Secondo Microsoft, l'attacco non li stava influenzando negativamente intorno al 9 ° e 10 °, sebbene NetCraft registrasse che il sito Microsoft non era raggiungibile ad un certo punto.

Gli esperti di antivirus ritengono che Doomjuice fosse opera dello stesso autore o degli stessi autori di MyDoom, perché rilascia anche una copia dell'origine MyDoom originale sulla macchina vittima. Secondo un comunicato stampa di F-secure, questo potrebbe essere un modo per gli autori di seguire le loro tracce. Rilascia anche un file di codice sorgente funzionante su altri autori di virus da utilizzare o modificare. Quindi MyDoom.A e MyDoom.B, come Microsoft Windows e Office stessi, ora sono diventati una piattaforma per la propagazione di altri virus. Nell'ultima settimana abbiamo visto la nascita di W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom - una variante trojan di Proxy-Mitglieter, W32 / Deadhat.A e W32 / Deadhat.B, tutti entrando nella backdoor di MyDoom. Vesser.worm / DeadHat.B, usa anche la rete di condivisione di file P2P SoulSeek.

Il 12 febbraio è stato scoperto il worm W32 / Nachi.B. Come il suo predecessore, W32 / Nachi.A.worm (noto anche come Welchia), Nachi.B si propaga sfruttando le vulnerabilità RPC / DCOM e WebDAV. Mentre è ancora un virus / worm, Nachi.B tenta di rimuovere MyDoom e chiudere le vulnerabilità. Venerdì 13 febbraio, Nachi.B era arrivato al secondo posto in un paio di elenchi di minacce dei distributori (Trend, McAfee). Poiché non utilizza la posta elettronica, non verrà visualizzato nell'elenco dei dieci principali virus della posta elettronica di MessageLabs. Prevenire l'infezione da Nachi.B è la stessa di Nachi.A, applicare tutte le patch di sicurezza di Windows correnti per chiudere le vulnerabilità. Consulta la nostra minaccia principale per ulteriori informazioni.

Venerdì 13 febbraio abbiamo visto un altro arpione MyDoom, W32 / DoomHunt.A. Questo virus utilizza la backdoor MyDoom.A, arresta i processi ed elimina le chiavi di registro associate alla sua destinazione. A differenza di Nachi.B, che funziona silenziosamente in background, DoomHunt.A apre una finestra di dialogo che proclama "MyDoom Removal Worm (DDOS the RIAA)". Si installa nella cartella Sistema Windows come un ovvio Worm.exe e aggiunge una chiave di registro con il valore "Elimina me" = "worm.exe". La rimozione è uguale a qualsiasi worm, interrompe il processo worm.exe, esegue la scansione con un antivirus, elimina il file Worm.exe e tutti i file associati e rimuove la chiave di registro. Naturalmente, assicurati di aggiornare il tuo computer con le ultime patch di sicurezza.

Sebbene non ci sia modo di sapere esattamente, le stime vanno da 50.000 a 400.000 macchine MyDoom.A attivamente infette. Doomjuice poteva propagarsi solo accedendo alla porta sul retro di MyDoom, quindi gli utenti non infetti non erano a rischio e, mentre le infezioni venivano pulite, il campo delle macchine disponibili andava in giù. Tuttavia, l'unico pericolo è che mentre MyDoom.A era programmato per fermare i suoi attacchi DoS il 12 febbraio, Doomjuice non ha un timeout. La settimana scorsa abbiamo menzionato di aver visto l'esplosione di MyDoom: un'esplosione su un'animazione di MessageLabs Flash e la promessa di farla vedere a tutti. Ecco qui.

Microsoft ha annunciato altre tre vulnerabilità e rilasciato patch questa settimana. Due hanno una priorità di livello importante e uno è di livello critico. La principale vulnerabilità riguarda una libreria di codici in Windows fondamentale per proteggere le applicazioni Web e locali. Per ulteriori informazioni sulla vulnerabilità, le sue implicazioni e cosa devi fare, consulta il nostro rapporto speciale. Le altre due vulnerabilità riguardano il servizio WINS (Windows Internet Naming Service) e l'altra è nella versione Mac di Virtual PC. Consulta la nostra sezione Aggiornamenti di sicurezza di Windows per ulteriori informazioni.

Se sembra un'anatra, cammina come un'anatra e ciondola come un'anatra, è un'anatra o un virus? Forse, forse no, ma AOL stava avvertendo (Figura 1) gli utenti di non fare clic su un messaggio che stava facendo il giro tramite Instant Messenger la scorsa settimana.

Il messaggio conteneva un collegamento che installa un gioco, Capture Saddam o Night Rapter, a seconda della versione del messaggio (Figura 2). Il gioco includeva BuddyLinks, una tecnologia simile a un virus che invia automaticamente copie del messaggio a tutti i tuoi amici. La tecnologia fa sia marketing virale con la sua campagna di messaggi automatizzati, e ti invia pubblicità e può dirottare (reindirizzare) il tuo browser. A partire da venerdì, sia il sito Web del gioco (www.wgutv.com) sia il sito Buddylinks (www.buddylinks.net) erano inattivi e la società Buddylinks con sede a Cambridge non rispondeva alle telefonate.

Aggiornamento: la scorsa settimana vi abbiamo parlato di un sito Web Do Not Email falso, promettendo di tagliare lo spam, ma in realtà era un raccoglitore di indirizzi e-mail per spammer. Questa settimana, una storia di Reuters riporta che la commissione del commercio federale degli Stati Uniti sta avvertendo: "I consumatori non dovrebbero inviare i loro indirizzi e-mail a un sito Web che promette di ridurre lo" spam "indesiderato perché fraudolento". L'articolo continua descrivendo il sito e raccomanda, come siamo stati, di "mantenere le tue informazioni personali per te - incluso il tuo indirizzo e-mail - a meno che tu non sappia con chi hai a che fare".

Giovedì 12 febbraio, Microsoft ha scoperto che parte del suo codice sorgente circolava sul web. Lo hanno rintracciato in MainSoft, una società che crea un'interfaccia da Windows a Unix per i programmatori di applicazioni Unix. MainSoft ha concesso in licenza il codice sorgente di Windows 2000, in particolare la parte che ha a che fare con l'API (interfaccia del programma applicativo) di Windows. Secondo una storia di eWeek, il codice non è completo o compilabile. Mentre l'API di Windows è ben pubblicata, il codice sorgente sottostante non lo è. L'API è una raccolta di funzioni e routine di codice che svolgono le attività di esecuzione di Windows, come mettere pulsanti sullo schermo, fare sicurezza o scrivere file sul disco rigido. Molte delle vulnerabilità di Windows derivano da buffer e parametri non controllati per queste funzioni. Spesso le vulnerabilità implicano il passaggio di messaggi o parametri appositamente predisposti a queste funzioni, causandone il fallimento e aprendo il sistema allo sfruttamento. Poiché gran parte del codice di Windows 2000 è incorporato anche in Windows XP e Windows 2003 server, la presenza del codice sorgente può consentire a scrittori di virus e utenti malintenzionati di trovare più facilmente buchi in routine specifiche e sfruttarli. Sebbene le vulnerabilità siano in genere identificate da Microsoft o da fonti di terze parti prima che diventino pubbliche, dando il tempo di emettere patch, questo potrebbe rovesciare tale procedura, mettendo gli hacker nella posizione di scoprire e sfruttare le vulnerabilità prima che Microsoft le trovi e le patch.

Questo worm vuole solo guarire