En PC & Nätverksteknikers tankar

Säkerhetsföretaget Kaspersky har sammanställt en topplista av årets hitintills vanligaste skadliga programvaror som upptäckts av deras senaste säkerhetslösning.

• Virus - Sprider sig till filer lagrade på den infekterade datorn och följer med infekterade filer när de överförs till andra datorer.
• Mask/Worm - Sprider sig via datornätverk mellan datorer.
• Trojansk häst/Trojan - Utger sig för att göra en sak, men utför andra saker vanligen dolda för en användare, t.ex nedladdning av spionprogram.
• Logisk bomb - Utför en (skadlig) handling under speciella villkor, till exempel att ett visst datum infinner sig.
• Spionprogram/Spyware - Spionerar på privat information på infekterade datorer, och skickar informationen över internet.
• Annonsprogram/Adware - Visar annonser på infekterade datorer.
• Keylogger - Registrerar information om de tangenter som trycks på datorn, till exempel lösenord, och lagrar informationen lokalt för senare åtkomst eller skickar den via internet.

Tillmann Werner och Felix Leder vid The Honeynet Project har tillsammans med Dan Kaminsky listat ut ett sätt att upptäcka Conficker-infekterade maskiner.

Conficker modifierar delar av Windows, närmare bestämt NetpwPathCanonicalize(), på ett sådant sätt att det går att skilja en Conficker-infekterad maskin från både en opatchad maskin och en maskin som är patchad med MS08-067. Gallringen sker genom att man kan analysera felkoder från specialkonstruerade RPC-meddelanden.

Mer information och "proof-of-concept"-kod finns på The Honeynet Project och Doxpara.

För mer information om Conficker så kan du läsa SRI Internationals analys och Conficker Working Groups FAQ, eller The Honeynet Projects "Know Your Enemy: Containing Conficker" samt instruktioner för att scanna efter Conficker med nmap hittar du på Skullsecurity och Seclists.

Ett plug-in till Nessus finns också att ladda hem.

Det finns tillfällen då datorn är så infekterad av virus eller spionprogram att Operativsystemet knappt fungerar. Det kan verka som om att installera om allt är det enda alternativet, även om det innebär att förlora alla filer sedan den senaste säkerhetskopieringen. Med F-Secure Rescue CD är du ett steg före och slipper detta.

Nedladdningen är en ISO-fil som skall användas för att skapa en startbar CD. Kopiera filen till en CD fungerar inte, så lite extra programvara krävs. Till exempel Nero Burning ROM, Daemon Tools Pro eller liknande brännarprogram.

När CD-skivan har skapats, sätt den i den första optiska enheten av den smittade datorn och starta om. Datorn ska starta från cd i stället för hårddisken.

Rescue CD'n skannar av hårddiskar och USB-enheter anslutna till datorn, oavsett om de är formaterade med FAT-eller NTFS. All malware filer som hittas blir omdöpt till .virus.

Förteckningen över virusdefinitioner uppdateras automatiskt om den smittade datorn är ansluten till Internet. Annars är det möjligt att ladda ner uppdateringar till ett USB-minne.

På en sund dator skriv in http://download.f-secure.com/latest/fsdbupdate.run i adressfältet i en webbläsare. Spara filen på ett USB-minne nyckel och anslut sedan USB-minnet till den smittade datorn för att uppdatera programvaran. Det är nog bäst att använda ett USB-minne utan några viktiga filer för detta.

Slutligen finns det en PDF-manual ingår i hämtningen med mer information om hur du använder Rescue CD.

Ladda hem skivan från F-Secure

Asus har bekräftat och officiellt bett sina kunder om ursäkt för att ha levererat Eee datorer med virus.

Viruset som skall av misstag ha levererats med Eee's interna 80GB hårdisk, finns dolt på enhetens D: root-partition och när hårddisken aktiveras så försöker viruset att infektera C: och flyttbara enheter.

Enligt Symantec är det troligtvis masken W32/Wsbalex, vilken skapar en "autorun.inf" för att automatiskt kunna köra filen "recycled.exe" på D:. Men även masken W32/Taterf har blivit funnen på vissa av Asus Eee datorerna.

Om nyligen har köpt en Asus Eee och är oroligt om även du har blivit drabbad så har Asus identifierat följande modeller som utsatta:

Model nummer: EEEBOXB202-B; UPC code: 610839761807
Model nummer: EEEBOXB202-W; UPC code: 610839761814
Model nummer: EBXB202BLK/VW161D; UPC code: 610839530526
Model nummer: EBXB202WHT/VW161D-W; UPC code: 610839531202
Model nummer: EBXB202BLK/VK191T; UPC code: 610839547753

Säkerhetsorganisationen CERT varnar för att en elak linux mask vid namn Phalanx2, håller på att sprida sig över nätet och samla in SSH-nycklar.

Hackaren tar sig in i ett system via OpenSSH med hjälp av nycklar de kommit över. Även om Debians säkerhetsbrist inte nämns i sammanhanget är det troligt att hackaren tagit sig in i olika system den vägen och sedan fortsatt.

Debian hade missat att implementera en slumptalsfunktion när nya nycklar plockades fram och som källa användes bara ett tal mellan 1 och 65535. Att gissa en nyckel kunde därmed gå riktigt snabbt.

Efter ett lyckat intrång används en lokal säkerhetsbrist (local exploit) för att masken skall få administrativa rättigheter.

Masken som går under namnet Phalanx2 är en modifierad variant av ett rootkit vid namn Phalanx, och tar sig in i kärnan, gömmer sina filer, processer, sockets och öppnar upp en TTY i ditt system.

Phalanx2 är extra elak eftersom koden har utformats för att söka igenom ditt system efter andra SSH-nycklar och använda dem för att sedan hoppa till fler system.

Masken är ändå enkel att upptäcka. Om du kan ändra aktuell katalog till /etc/khubd.p2 så har du problem. (Katalogen syns inte i en ls-listning). Det kan även ligga filer som masken använt under /dev/shm.

CERT rekommenderar administratörer att bekräfta sina SSH-nycklar med starka lösenord för att minska stöldrisken.

Källa: HEP @ University of Chicago/CERT

Det verkar som om bluff varningen "Burning Hard Disc/Olympic Torch" har återuppstått. Att det återigen börjat att cirkulera hänger troligtvis ihop med namnet "Olympic Torch" och det Olympiska spel som förnärvarande pågår. Om ni får en ett brev med någon av följande alternativ, så är det bara att skicka det direkt i papperskorgen.

Detta virus finns inte, utan det är bara en "Hoax".

Subject: Invitation.
Message: (Variation 1)
You should be alert during the next days:
Do not open any message with an attached filed called "Invitation"
regardless of who sent it .
It is a virus that opens an Olympic Torch which "burns" the whole hard disc C of your computer. This virus will be received from someone who has your e-mail address in his/her contact list, that is why you should send this e-mail to all your contacts. It is better to receive this message 25 times than to receive the virus and open it.

If you receive a mail called "invitation", though sent by a friend, do not open it and shut down your computer immediately.

This is the worst virus announced by CNN, it has been classified by Microsoft as the most destructive virus ever.
This virus was discovered by McAfee yesterday, and there is no repair yet for this kind of virus.
This virus simply destroys the Zero Sector of the Hard Disc, where the vital information is kept

Message: (Variation 2)
> > http://www.snopes.com/computer/virus/postcard.asp
Hi All, I checked with Norton Anti-Virus, and they are gearing up for this virus!
I checked Snopes (URL above:), and it is for real!!
Get this E-mail message sent around to your contacts ASAP;
PLEASE FORWARD THIS WARNING AMONG FRIENDS, FAMILY AND CONTACTS!

You should be alert during the next few days. Do not open any message with an attachment entitled "POSTCARD," regardless of who sent it to you. It is a virus which opens A POSTCARD IMAGE, which 'burns' the whole hard disc C of your computer. This virus will be received from someone who has your e-mail address in his/her contact list. This is the reason why you need to send this e-mail to all your contacts.

If you receive a mail called" POSTCARD," even though sent to you by a friend, do not open it! Shut down your computer immediately.

This is the worst virus announced by CNN. It has been classified by Microsoft as the most destructive virus ever. This virus was discovered by McAfee yesterday, and there is no repair yet for this kind of virus. This virus simply destroys the Zero Sector of the Hard Drive.

Säkerhetsföretaget Websense har undersökt hur skadlig kod lyckats nästla sig in på Internets hundra mest populära siter. Enligt undersökningen så spred sextio av siterna någon gång under perioden januari till juni i år skadlig kod. Antingen genom att koden låg på själva siten, eller att den på något annat sett bidrog till spridandet.

Som ett exempel på hur legitima siter utnyttjas nämns i april, då hundratusentals sidor, däribland en FN-site, Wired och ZDNet, infekterades. En annan trend som Websense ser är att CAPTCHAS, det vill säga tekniken som används för att förhindra att botar fyller i registreringsformulär, har knäckts för de flesta större e-postleverantörerna, däribland Yahoo!, Microsoft Live Mail och Gmail. Det gör att samma e-postadress kan användas för färre spam utskick, vilket försvårar för spam filtren.

Omkring en tiondel av siterna preparerades genom olika "paket" för virus skapande, vilket är en minskning mot förra året. En orsak till det, enligt Websense, kan vara att skadlig kod anpassas mer efter den specifika siten. Därigenom vill man undvika att detekteras av säkerhetsprogrammens signaturfiler.

Vidare tar Websense rapport upp att de flesta sidor hämtar innehåll från ett stort antal servrar. Det gör att själva URL:en i sig inte säger särskilt mycket om säkerheten på siten. Om angriparen lyckas infektera några av alla dessa servrar så är det möjligt att infektera besökaren med skadlig kod. Vanliga metoder är genom sårbarheter i webbläsare samt Adobe Flash.

Källa: Websense

Sårbarheten beror på otillräcklig indata kontroll i en JavaScript-method, och kan medföra installation av virus, trojaner eller andra oönskade program. I bästa fall så kraschar bara programmet.

Problemet är rättat i Adobe Acrobat 8.1.2 Security Update 1. Uppdateringen är ännu inte tillgänglig via den automatiska uppdateringen, utan måste laddas ner och installeras manuellt. Enligt uppgift utnyttjas sårbarheten aktivt.

Upptäckten av sårbarheten tillskrivs Johns Hopkins University Applied Physics Laboratory.

• Adobe Reader 8.0-8.1.2
  
• Adobe Reader 7.0.9 och tidigare
  
• Adobe Acrobat Professional, 3D och Standard 8.0-8.1.2
  
• Adobe Acrobat Professional, 3D och Standard 7.0.9 eller tidigare
  

Det nyligen väckta viruset Gpcode.ak uppmärksamhet eftersom det krypterar filer på offrets dator och sen begär en lösensumma. Nu berättar IT-säkerhetsföretaget Kaspersky om en metod att återskapa filerna som krypterats.

Kasperskys metod utnyttjar en svaghet i hur viruset krypterar filerna som det tar som gisslan. Innan viruset krypterar en fil skapar det en ny fil som kommer att innehålla den krypterade versionen av filen. Efter det raderar viruset originalfilen. Eftersom båda filerna existerar samtidigt är de inte skrivna på samma plats på hårddisken. Viruset gör inget för att skriva över det utrymme där den okrypterade originalfilen fanns. Det gör att originalfilen kan återskapas med hjälp av ett vanligt filräddningsprogram.

Kaspersky Labs har testat olika gratis filräddningsprogram och rekommenderar PhotoRec som utvecklats av Christophe Grenier och distribueras under GPL-licens. Det ska klara att återskapa Microsoft Office-dokument, PDF-filer, körbara filer samt text dokument.

Kaspersky Lab meddelar att de har fixat ett låg risk problem i sin kl1.sys drivrutin, en säkerhetsbrist som konstaterats av iDefence.

kl1.sys drivrutinen har underlåtit att korrekt kontrollera en buffert storlek, och på så sätt har skadlig kod kunna verkställas lokalt.

Denna sårbarhet påverkar följande Kaspersky Lab produkter för Windows:

* Kaspersky Anti-Virus 6,0 och 7,0
* Kaspersky Internet Security 6,0 och 7,0
* Kaspersky Anti-Virus 6,0 for Windows Workstations

En relevant uppdatering finns tillgänglig för alla användare av utsatta produkter via den inbyggda automatiska uppdateringen.

Kaspersky varnar för ett nytt virus som med 1024 bitars RSA-algoritm krypterar dina filer. För att få tillgång till dem krävs att du betalar lösensumma.
En av de mer allvarligare formerna av skadlig kod är så kallad ransomware, som ”kidnappar” dina filer med hjälp av kryptering. För att åter få tillgång till dem så måste du betala en lösensumma. Vanligen brukar dock antivirusföretagen utveckla verktyg som knäcker krypteringen och gör att du får tillgång till filerna igen.

Ett nytt exempel på ransomware rapporteras nu från säkerhetsföretaget Kaspersky. Det är en variant av det tidigare kända Gpcode och har fått beteckningen Virus.Win32.Gpcode.ak. Viruset har utvecklats genom att göra krypteringen starkare. Tidigare versioner var skyddade med en 660 bitar lång nyckel, den nya versionen är 1024 bitar. Dessutom har en rad brister i tidigare versioner åtgärdats.

Kaspersky uppger att man arbetar på att utveckla ett verktyg så att den drabbade kan komma åt sina filer igen. Men att knäcka den 1024 bitar starka krypteringen genom råstyrka är i praktiken omöjligt. Istället koncentrerar man sig på att försöka hitta någon brist i implementationen.

I nuläget finns alltså förmodligen inget sätt att gå till väga på för att återfå filerna. Kaspersky uppmanar dock folk att inte ta kontakt med ”kidnapparna”, då detta förmodligen skulle leda till fler liknande angrepp i framtiden.

Viruset krypterar filer med bland annat ändelserna doc, txt, pdf, xls, jpg, png, och cpp. Dessa får istället filändelsen ._CRYPT. I katalogen ligger det också en readme-fil, i vilken kidnapparna berättar vad som har hänt och om man vill få tillgång till filerna så ska man höra av sig till en e-postadress. Användaren får även upp en dialogruta med samma budskap.

Källa: Kaspersky

En undersökning utförd av det internationella samarbetsorganet OECD visar att så många som 59 miljoner datorer i USA är smittade med någon form av skadlig kod. Det utgör ungefär en fjärdedel av de 216 miljoner datorer som beräknas vara internetanslutna i USA idag.

Organet OECD har nyligen släppt en säkerhetsrapport som givits den något allvarsamma titeln ”Malicious Software (malware): A Security Threat to the Internet Economy” och uppskattar att var fjärde amerikansk internetanvändare använder datorer som blivit smittade av skadlig kod.

De skadliga program som anses utgöra det störa hotet med internetekonomin består av botnät, och trojaner, som kan både angripa hela system och exponera känsliga data för ytterligare angrepp eller vinning. Det är ett avsteg från virus som under nittiotalet utgjorde ett av de största hoten och som har en längre historia än exempelvis botnät.

Samtidigt tar rapporten upp hur även regeringar och myndigheter i princip också kan använda sig av skadlig kod för att säkra egna intressen och att angrepp i framtiden därför inte nödvändigtvis behöver härröra från kriminella hackergrupper.

Det första datorviruset som kallades ”Brain” skapades 1986, medan den första masken, Morris, gjorde sin entré två år senare. Masken infekterade 6000 datorer och skapade stor oreda i systemen. På nittiotalet kom maskarna Melissa och MyDoom som hade stor spridning via e-post och lärde oss att betrakta bilagor med misstänksamhet.

Idag är läget dock ännu allvarligare, menar rapporten, då angrepp blivit bättre organiserade och även använder sig skadlig kod injekterad i populära sajter för maximal effekt. Exempelvis går det köpa adresser till smittade datorer för omkring 100 dollar, motsvarande drygt 600 kronor. Det ger då enligt uppgift adresser till 10 miljoner datorer som i sin tur går att använda för angrepp via botnät.

Rapporten rekommenderar avslutningsvis att man använder sig av antivirusprogram och brandväggar för skydda sig och för att upptäcka misstänkta angrepp så snabbt som möjligt.

Källa: The Sydney Morning Herald

Botnätet Asprox har tidigare mest användts för phishing. De senaste dagarna har det byggts om för att infektera webbsidor och därifrån smitta besökare.

Ett botnät som tidigare mest använts för phishing har börjat infektera webbsidor. Den nya versionen av de små program som utgör klienterna i botnätet Asprox har utrustats med funktionen att leta efter sårbara webbsidor skrivna i Active Server Pages, ASP. När det skadliga programmet hittar en sån sårbar ASP-installation lägger det in en attack-kod i ASP-sidan som försöker smitta webbsidans besökare genom en SQL-injektion.

Den senaste månaden har en liknande attack med trojaner som stjäl lösenord till online-spel infekterat cirka en halv miljon Windowsdatorer. Den attacken ska enligt en talesman för IT-säkerhetsföretaget Secure Works ha kommit från hackare i Kina. Samma talesman, Joe Stewart, säger att den attack som nu sker via botnätet Asprox ser ut som ett sätt att härma attacken som infekterat en halv miljon datorer. Det är dock första gången han sett ett botnät användas för att sprida en SQL-baserad attack. Han tror också att den kommer från Östeuropa.

Själva attacken på webbplatsen sker genom att lägga in en iFrame i sidans kod coh sen smitta besökare med ett skadligt Javascript från domänen "direct84.com". I går hade Asprox infekterat över tusen webbplatser på det sättet, enligt nyhetstjänsten Dark Reading.

Asprox använder också attacken för att rekrytera nya botar till nätverket. Idagsläget består det av cirka 15 000 smittade datorer. Det skickar också ut "scare ware" det vill säga att det varnar för att datorn är smittad och uppmanar användaren att köpa ett program som tar bort smittan. Enligt Stewart är det inte klart vad det är i programmet som användaren köper, det hanteras av ett partner-företag till Asprox. Däremot ger det Asprox-ägaren lite extra pengar och kreditikortsnumret till folk som går att lura på det sättet.

Enligt Virus Total är det idag bara ett fåtal antivirusprogram som upptäcker den typ av attack som Asprox använder.

Har du problem med virus, maskar eller trojaner som hela tiden återkommer oavsätt vad du gör? Här är några tips på hur du blir av med dem.

• Starta om datorn i felsäkert-läge (F8 tangenten under uppstarten).
  Gör en fullständig virus genomsökning.
  Starta om datorn normalt.
• Höger klicka på "Den här datorn" och välj "Egenskaper".
  Klicka på fliken "Systemåterställning" och kryssa i rutan "Inaktivera ..."
  Starta om datorn, och gör om proceduren fast denna gång väljer du att "Aktivera ..."

Många gånger kommer dessa från hemsidor som du har besökt tidigare och installerats via så kallade "drive by", utan din vetskap. Detta kan undvikas genom att inte använda Internet Explorer som webläsare, utan byta till t.ex. Mozilla Firefox eller Opera. Själv använder jag Firefox eftersom att det är enkelt att installera filter som t.ex. blockerar reklam och oönskade sidor. En annan fördel med Firefox är möjligheten att surfa på flera olika platser i samma fönster, d.v.s via flikar.

Vill man dock forfarande använda sig av Internet Explorer, så kan man inaktivera ActiveX kontroller och Javascript i läsarens inställningar. Detta är dock inte någon bra lösning eftersom att man förlorar många bra funktioner i Internet Explorer.

Ett stort antal av e-postmasken Warezov har postats under de första timmarna på Måndagen. Den laddar ner ytterligare komponenter från en webbsida vid namn ertinmdesachlion.com. Mer info finns på: http://www.f-secure.com/v-descs/warezov.shtml

Nu varnar antivirusföretaget McAfee för ytterligare en ny version av viruset Sober, denna version heter Sober@MM!M681.Viruset har blev klassad som medium risk den 22 november, efter den stora mängden SPAM som viruset skickar. Exempel på brev som innehåller detta virus:

Bifogade filer:

• reg_pass-data.zip
• reg_pass.zip
• question_list.zip
• mailtext.zip
• mail_body.zip
• mail.zip
• list.zip
• email_text.zip

Den zippade filen innehåller en fil med namnet file-packed_datainfo.exe [55,390 bytes].

Som vanligt gäller det att ej öppna bifogade filer om man ej vet vem som har skickat dem, samt att antivirusprogrammet är uppdaterat.