תוכן עניינים:
וִידֵאוֹ: ª (נוֹבֶמבֶּר 2024)
תוכן
- תולעת זו רק רוצה לרפא
- איום עליון W32 / Nachi.B- תולעת
- 10 הנגיפים המובילים בדואר אלקטרוני
- 5 הפגיעויות המובילות
- טיפ אבטחה
- עדכוני אבטחה של Windows
- ז'רגון באסטר
- עדכון סיפור האבטחה
תולעת זו רק רוצה לרפא
היינו עדים לראשונה לפיצוץ MyDoom.A והתקפת הכחשת השירות לאחר מכן הוציאה את אתר מבצע סנטה קרוז (sco.com) למשך שבועיים. אחר כך הגיע MyDoom.B, שהוסיף את Microsoft.com כמטרה להתקפת DoS. בעוד ש- MyDoom.A המריא בנקמה, MyDoom.B, כמו סרט "B", היה מעשה גס. על פי מארק סונר CTO ב- MessageLabs, ל- MyDoom.B היו קוד באגים שגרמו לו להצליח רק בהתקפה של SCO 70% מהזמן, ו- 0% בתקיפת מיקרוסופט. הוא גם אמר כי יש "יותר סיכוי לקרוא על MyDoom.B, מאשר לתפוס אותו."
השבוע האחרון ראינו פיצוץ של נגיפים הרוכבים על זנבות המעיל של ההשתלטות המוצלחת של MyDoom.A על מאות אלפי מכונות. הראשון שהופיע בזירה היה Doomjuice.A (נקרא גם MyDoom.C). Doomjuice.A, לא היה עוד נגיף דואר אלקטרוני, אך הוא ניצל את דלת האחורית ש- MyDoom.A פתח במכונות נגועות. Doomjuice היה מוריד למחשב נגוע ב- MyDoom, וכמו MyDoom.B, מתקין ומנסה לבצע פיגוע DoS ב- Microsoft.com. לטענת מיקרוסופט, התקיפה לא השפיע עליהם לרעה בסביבות ה- 9 והעשירית, אף כי נטקראפט רשמה כי אתר מיקרוסופט לא ניתן היה להגיע אליו בשלב מסוים.
מומחי אנטי-וירוס מאמינים שדומג'ויס הייתה יצירתם של אותם כותבים של MyDoom, מכיוון שהיא גם מפילה עותק של המקור של MyDoom המקורי במחשב הקורבן. על פי הודעה לעיתונות של F-secure, זו עשויה להיות דרך לסופרים לסקר את עקבותיהם. זה גם משחרר קובץ קוד מקור עובד לכותבי וירוסים אחרים לשימוש או לשינוי. אז MyDoom.A ו- MyDoom.B, כמו Microsoft Windows ו- Office עצמם, הפכו כעת לפלטפורמה להפיץ וירוסים אחרים. בשבוע האחרון ראינו את הופעתה של W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom - גרסה טרויאנית של פרוקסי-מיטגליאטר, W32 / Deadhat.A ו- W32 / Deadhat.B, כולם נכנסים לדלת האחורית של MyDoom. Vesser.worm / DeadHat.B, השתמש גם ברשת שיתוף הקבצים SoulSeek P2P.
ב- 12 בפברואר התגלה W32 / Nachi.B.worm. כמו קודמו W32 / Nachi.A.worm (הידוע גם בשם Welchia), Nachi.B מתפשטת על ידי ניצול פגיעויות RPC / DCOM ו- WebDAV. בעודו עדיין וירוס / תולעת, Nachi.B מנסה להסיר את MyDoom ולסגור פגיעויות. עד יום שישי, 13 בפברואר, הגיע Nachi B למקום השני ברשימת האיומים של ספקים (טרנד, מקאפי). מכיוון שהוא אינו משתמש בדואר אלקטרוני, הוא לא יופיע ברשימת הנגיפים המובילים של MessageLabs שלנו. מניעת זיהום Nachi.B זהה לזו של Nachi.A, החל את כל תיקוני האבטחה הנוכחיים של Windows על סגירת נקודות תורפה. ראה את האיום העליון שלנו למידע נוסף.
ביום שישי ה- 13 בפברואר ראינו עוד צלמת MyDoom, W32 / DoomHunt.A. וירוס זה משתמש בחלון האחורי של MyDoom.A ומכבה תהליכים ומוחק מפתחות רישום המשויכים למטרה שלו. שלא כמו Nachi.B, שעובד בשקט ברקע, DoomHunt.A מציגה תיבת דו-שיח המכריזה "תולעת הסרת MyDoom (DDOS ה- RIAA)". זה מתקין את עצמו בתיקיית מערכת Windows כ- Worm.exe ברור, ומוסיף מפתח רישום עם הערך "מחק אותי" = "worm.exe". ההסרה זהה לכל תולעת, עצור את תהליך worm.exe, סרוק עם אנטי-וירוס, מחק את קובץ Worm.exe ואת כל הקבצים המשויכים והסר את מפתח הרישום. כמובן, וודא שאתה מעדכן את המחשב שלך עם תיקוני האבטחה האחרונים.
מיקרוסופט הודיעה על שלוש פגיעויות נוספות ושחררה טלאים השבוע. שתיים הן בעדיפות ברמה חשובה, ואחת היא ברמה קריטית. הפגיעות העיקרית כוללת ספריית קוד ב- Windows שהיא מרכזית לאבטחת יישומים מקוונים ואינטרנט. למידע נוסף על הפגיעות, השלכותיה ומה שעליך לעשות, עיין בדוח המיוחד שלנו. שתי הפגיעויות האחרות כוללות שירות WINS (Windows Internet Naming Service) והשנייה בגירסת Mac של Virtual PC. עיין בסעיף עדכוני האבטחה של Windows למידע נוסף.
אם הוא נראה כמו ברווז, הולך כמו ברווז, ורועד כמו ברווז, האם זה ברווז או נגיף? אולי, אולי לא, אבל AOL הזהירה (איור 1) משתמשים שלא ילחצו על הודעה שעשתה את הסיבוב דרך Instant Messenger בשבוע שעבר.
ההודעה הכילה קישור שמתקין משחק, Capture Saddam או Night Rapter, תלוי בגירסת ההודעה (איור 2). המשחק כלל BuddyLinks, וירוס כמו טכנולוגיה ששולחת אוטומטית עותקים של ההודעה לכל מי שנמצא ברשימת החברים שלך. הטכנולוגיה עושה שיווק ויראלי באמצעות קמפיין ההודעות האוטומטי שלה, והיא שולחת לך פרסום ועלולה לחטוף (להפנות מחדש) את הדפדפן שלך. נכון ליום שישי, גם אתר המשחק (www.wgutv.com) וגם אתר Buddylinks (www.buddylinks.net) היו מושבתים, וחברת הבודלינקס מבוססת קיימברידג 'לא החזירה שיחות טלפון.עדכון: בשבוע שעבר סיפרנו לך על אתר מזויף אל תשלח דוא"ל והבטיחו לחתוך ספאם, אך למעשה היה אספן כתובות דוא"ל עבור דואר זבל. השבוע מדווח סיפור של רויטרס כי ועדת הסחר הפדרלית בארה"ב מתריעה כי "על הצרכנים לא להגיש את כתובות הדואר האלקטרוני שלהם לאתר אינטרנט שמבטיח לצמצם את ה"ספאם" הלא רצוי מכיוון שהוא הונאה. המאמר ממשיך ומתאר את האתר, וממליץ, כמו שהיינו, "לשמור לעצמך את המידע האישי שלך - כולל כתובת הדואר האלקטרוני שלך - אלא אם כן אתה יודע עם מי אתה מתמודד."
ביום חמישי, 12 בפברואר, גילתה מיקרוסופט שחלק מקוד המקור שלה מופץ ברשת. הם עקבו אחר זה ל- MainSoft, חברה שמייצרת ממשק Windows-to-Unix עבור מתכנתים ליישומי Unix. MainSoft רשיון קוד המקור של Windows 2000, במיוחד החלק שקשור ל- API (ממשק תוכנית היישומים) של Windows. על פי סיפור eWeek, הקוד אינו שלם או ניתן לאחידה. בעוד שממשק ה- API של Windows מתפרסם היטב, קוד המקור הבסיסי אינו. ממשק ה- API הוא אוסף של פונקציות קוד ושגרה המבצעים את המשימות של הפעלת Windows, כגון הצבת כפתורים על המסך, ביצוע אבטחה או כתיבת קבצים לדיסק הקשיח. רבות מהפגיעויות במערכת Windows נובעות מאגרים ופרמטרים לא מסומנים לפונקציות אלה. לעתים קרובות הפגיעויות כוללות העברת הודעות או פרמטרים מעוצבים במיוחד לפונקציות אלה, וגורמות להיכשל ולפתוח את המערכת לניצול. מכיוון שחלק גדול מקוד Windows 2000 משולב גם בשרת Windows XP ובשרת Windows 2003, ייתכן שקוד המקור יאפשר לכותבי וירוסים ומשתמשים זדוניים למצוא בקלות רבה יותר חורים בשגרות ספציפיות ולנצל אותם. בעוד שפגיעויות מזוהות בדרך כלל על ידי מקורות של מיקרוסופט או גורמי צד שלישי לפני שהן הופכות לציבוריות, ומפנות זמן להנפקה של טלאים, הדבר עשוי להפוך את ההליך על ראשה, ולהביא להאקרים את העמדה לגלות ולנצל פגיעויות לפני שמיקרוסופט תמצא ותתקן אותן.