Isi kandungan:
Video: Оценка 4,1 МЛН Черви Zone.io часть 42 (November 2024)
Kandungan
- Cacing ini Hanya Ingin Mendapatkan Kesihatan
- Ancaman Utama W32 / Nachi.B-cacing
- Top 10 E-Mail Virus
- Top 5 Kerentanan
- Petua Keselamatan
- Kemas kini Keselamatan Windows
- Jargon Buster
- Suapan Cerita Watch Keselamatan
Cacing ini Hanya Ingin Mendapatkan Kesihatan
Kami pertama kali menyaksikan letupan MyDoom.A, dan serangan Denial of Service yang seterusnya yang mengambil laman web Operasi Santa Cruz (sco.com) selama dua minggu. Kemudian di sepanjang datang MyDoom.B, yang menambah Microsoft.com sebagai sasaran serangan DoS. Walaupun MyDoom.A berundur dengan dendam, MyDoom.B, seperti filem "B", adalah tidak baik. Menurut Mark Sunner CTO di MessageLabs, MyDoom.B mempunyai bug dalam kod yang menyebabkan ia hanya berjaya dalam serangan SCO 70% masa itu, dan 0% ketika menyerang Microsoft. Dia juga berkata bahawa terdapat "lebih banyak peluang membaca tentang MyDoom.B, daripada menangkapnya."
Minggu lepas ini kita telah melihat letupan virus yang menunggang ekor mantel pengambilalihan MyDoom.A yang berjaya beratus-ratus ribu mesin. Yang pertama memukul tempat kejadian adalah Doomjuice.A (juga dipanggil MyDoom.C). Doomjuice.A, bukan satu lagi virus e-mel, tetapi ia mengambil kesempatan daripada backdoor yang MyDoom.A dibuka pada mesin yang dijangkiti. Doomjuice akan memuat turun ke mesin yang dijangkiti MyDoom, dan seperti MyDoom.B, memasang dan cuba untuk melakukan serangan DoS di Microsoft.com. Menurut Microsoft, serangan itu tidak menjejaskan mereka sekitar 9 dan 10, walaupun NetCraft mencatatkan bahawa laman Microsoft tidak dapat dicapai pada satu ketika.
Pakar antivirus percaya bahawa Doomjuice adalah karya pengarang MyDoom yang sama, kerana ia juga menjatuhkan salinan sumber MyDoom asli pada mesin korban. Mengikut siaran akhbar dari F-secure, ini mungkin cara untuk penulis untuk menutup jejak mereka. Ia juga mengeluarkan fail kod sumber kerja kepada penulis virus lain sama ada menggunakan atau mengubah suai. Jadi MyDoom.A dan MyDoom.B, seperti Microsoft Windows dan Office sendiri, kini telah menjadi platform untuk virus lain untuk disebarkan. Dalam minggu lalu, kami telah melihat kemunculan W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, eksploit-MyDoom - varian Trojan Proxy-Mitglieter, W32 / Deadhat.A, dan W32 / Deadhat.B, semua memasuki backdoor MyDoom. Vesser.worm / DeadHat.B, juga menggunakan rangkaian berkongsi fail SoulSeek P2P.
Pada 12 Feb, W32 / Nachi.B.worm ditemui. Seperti pendahulunya, W32 / Nachi.A.worm (juga dikenali sebagai Welchia), Nachi.B menyebarkan dengan memanfaatkan kelemahan RPC / DCOM dan WebDAV. Walaupun masih virus / cacing, Nachi.B cuba untuk mengalih keluar MyDoom dan menutup kerentanan. Pada hari Jumaat, 13 Feb, Nachi.B telah membuatnya ke tempat # 2 pada beberapa senarai ancaman vendor (Trend, McAfee). Kerana ia tidak menggunakan e-mel, ia tidak akan muncul pada senarai sepuluh e-mel virus MessageLabs kami. Mencegah jangkitan Nachi.B adalah sama seperti untuk Nachi.A, menggunakan semua tetingkap Windows Security semasa untuk menutup kerentanan. Lihat Ancaman Teratas kami untuk mendapatkan maklumat lanjut.
Pada hari Jumaat 13 Feb, kami melihat satu lagi tempurung MyDoom, W32 / DoomHunt.A. Virus ini menggunakan backdoor MyDoom.A, dan menutup proses dan memadam kekunci pendaftaran yang berkaitan dengan sasarannya. Tidak seperti Nachi.B, yang berfungsi secara senyap-senyap di latar belakang, DoomHunt.A muncul sebuah kotak dialog yang menyatakan "MyDoom Removal Worm (DDOS the RIAA)". Ia memasang dirinya dalam folder Windows System sebagai Worm.exe yang jelas, dan menambah kunci pendaftaran dengan nilai "Delete Me" = "worm.exe". Pembuangan adalah sama dengan mana-mana cacing, menghentikan proses worm.exe, imbasan dengan antivirus, padam fail Worm.exe dan mana-mana fail yang berkaitan, dan keluarkan kunci pendaftaran. Sudah tentu, pastikan anda mengemas kini mesin anda dengan patch keselamatan terkini.
Microsoft mengumumkan tiga lagi kelemahan dan mengeluarkan patch minggu ini. Dua adalah keutamaan tahap penting, dan satu adalah tahap kritikal. Kelemahan utama melibatkan pustaka kod di Windows yang penting untuk menjamin aplikasi web dan tempatan. Untuk maklumat lanjut tentang kelemahan, implikasinya dan apa yang perlu anda lakukan, lihat laporan khas kami. Dua lagi kelemahan yang berkaitan dengan perkhidmatan Windows Internet Naming Service (WINS), dan yang lainnya dalam versi Mac PC Virtual. Lihat bahagian Kemas Kini Keselamatan Windows kami untuk mendapatkan maklumat lanjut.
Jika ia kelihatan seperti itik, berjalan seperti itik, dan quacks seperti itik, itik itik, atau virus? Mungkin, mungkin tidak, tetapi AOL memberi amaran (Gambar 1) pengguna tidak mengklik mesej yang membuat pusingan melalui Instant Messenger minggu lepas.
Kemas kini: Minggu lepas kami memberitahu anda tentang laman web Jangan Jangan E-mel palsu, menjanjikan untuk mengurangkan spam, tetapi sebenarnya pengumpul alamat e-mel untuk spammer. Minggu ini, kisah Reuters melaporkan bahawa komisen Perdagangan Persekutuan Amerika Syarikat memberi amaran, "Pengguna tidak boleh menghantar alamat e-mel mereka ke laman web yang menjanjikan untuk mengurangkan" spam "yang tidak diingini kerana penipuan". Artikel ini diterangkan untuk menggambarkan laman web ini, dan mengesyorkan, seperti yang telah kita, untuk "menyimpan maklumat peribadi anda kepada diri sendiri - termasuk alamat e-mel anda - melainkan anda tahu siapa yang anda berurusan."
Pada hari Khamis 12 Feb, Microsoft mendapati beberapa kod sumbernya beredar di web. Mereka mengesannya ke MainSoft, sebuah syarikat yang membuat antara muka Windows-ke-Unix untuk pengatur cara aplikasi Unix. MainSoft telah melesenkan kod sumber Windows 2000, khususnya bahagian yang berkaitan dengan API (antara muka aplikasi aplikasi) Windows. Menurut kisah eWeek, kod itu tidak lengkap atau boleh disesuaikan. Walaupun API Windows diterbitkan dengan baik, kod sumber yang mendasarinya tidak. API adalah koleksi fungsi dan rutin kod yang menjalankan tugas menjalankan Windows, seperti meletakkan butang pada skrin, melakukan keselamatan, atau menulis fail ke cakera keras. Kebanyakan kelemahan dalam Windows berpunca dari penampan yang tidak terkawal dan parameter untuk fungsi ini. Seringkali kelemahan melibatkan melewati mesej atau parameter yang dibuat khas untuk fungsi-fungsi ini, menyebabkan mereka gagal dan membuka sistem untuk eksploitasi. Oleh kerana kebanyakan kod Windows 2000 juga dimasukkan dalam pelayan Windows XP dan Windows 2003, mempunyai kod sumber boleh membenarkan penulis virus dan pengguna berniat jahat untuk mencari lubang dalam rutin tertentu dan mengeksploitasi mereka. Walaupun kelemahan biasanya dikenalpasti oleh Microsoft atau sumber pihak ke-3 sebelum mereka menjadi awam, memberi masa untuk mengeluarkan patch, ini boleh mengubah prosedur di atas kepala, meletakkan penggodam dalam posisi mencari dan mengeksploitasi kelemahan sebelum Microsoft menemukan dan patch mereka.
