En PC & Nätverksteknikers tankar

Thierry Zoller har upptäckt sårbarheter i flera av Trend Micros produkter. Sårbarheterna orsakas av bristande kontroll av CAB-, RAR- och ZIP-filer. Problemet finns även i ESETs Nod32 men då gäller det bara ZIP-filer. Även McAfee har samma säkerhetsbrist och i deras fall omfattar det RAR- och ZIP-filer.

Genom att utnyttja sårbarheterna kan en angripare kringgå virus skyddet och på så sätt få igenom specialformaterade filer som kan innehålla skadlig kod.

Påverkade versioner:

• Trend Micro, Client Server Messaging Suite 3.6
  
• Trend Micro, HouseCall 5.5 EN
  
• Trend Micro, OfficeScan 7.0
  
• Trend Micro, OfficeScan 7.3
  
• Trend Micro, OfficeScan 8.0
  
• Trend Micro, ServerProtect 5.58
  
• Trend Micro, ServerProtect 5.7
  
• Trend Micro, ServerProtect Linux
  
• Trend Micro, Worry-Free Business Security 5.0
• ESET, DELL STORAGE SERVERS
  
• ESET, File Security
  
• ESET, Mail Security
  
• ESET, NOD32 Antivirus 4
  
• ESET, NOD32 Antivirus 4 Business Edition
  
• ESET, NOD32 Antivirus
  
• ESET, NOD32 Antivirus for Exchange Server
  
• ESET, NOD32 Antivirus for Linux Gateway Devices
  
• ESET, NOD32 Antivirus for Lotus Domino Server
  
• ESET, Novell Netware
  
• ESET, Smart Security 4.0
  
• ESET, Smart Security 4.0 Business Edition
• McAfee Active Virus Defense
  
• McAfee Active VirusScan
  
• McAfee Internet Security Suite
  
• McAfee Internet Security Suite 2005
  
• McAfee Email Gateyway
  
• McAfee Internet Security
  
• McAfee Security for Email Servers
  
• McAfee Security for Microsoft Sharepoint
  
• McAfee SecurityShield for Microsoft ISA Server
  
• McAfee Total Protection
  
• McAfee Total Protection 2009
  
• McAfee Total Protection for Endpoint
  
• McAfee VirusScan Command Line
  
• McAfee VirusScan Enterprise
  
• McAfee VirusScan Enterprise for SAP
  
• McAfee VirusScan Enterprise for Storage
  
• McAfee VirusScan Enterprise Linux
  
• McAfee VirusScan Plus 2009
  
• McAfee VirusScan Professional
  
• McAfee VirusScan USB

Thierry Zoller har upptäckt sårbarheter i flera av Avira AntiVir produkter. Sårbarheterna orsakas av bristande kontroll av filer i CAB-format. En angripare kan utnyttja sårbarheten genom att specialformatera ett CAB-arkiv och sedan lura en användare att tanka ner arkivet.

Påverkade versioner:
Avira AntiVir Free (före AV7 7.9.0.148 / AV8/9: 8.2.0.148)
Avira AntiVir Premium (före AV7 7.9.0.148 / AV8/9: 8.2.0.148)
Avira AntiVir Premium Security Suite (före AV7 7.9.0.148 / AV8/9: 8.2.0.148)
Avira AntiVir Professional (Desktop) (före AV7 7.9.0.148 / AV8/9: 8.2.0.148)
Avira AntiVir Server (före AV7 7.9.0.148 / AV8/9: 8.2.0.148)
Avira AntiVir Exchange (före AV7 7.9.0.148 / AV8/9: 8.2.0.148)
Avira AntiVir SharePoint (före AV7 7.9.0.148 / AV8/9: 8.2.0.148)
Avira AntiVir ISA Server (före AV7 7.9.0.148 / AV8/9: 8.2.0.148)
Avira AntiVir MIMEsweeper (före AV7 7.9.0.148 / AV8/9: 8.2.0.148)
Avira AntiVir för KEN! 4 (före AV7 7.9.0.148 / AV8/9: 8.2.0.148)
Avira AntiVir Virus Scan Adapter för SAP NetWeaver®
Avira AntiVir Professional (Unix) (före AV7 7.9.0.148 / AV8/9: 8.2.0.148)
Avira AntiVir Server (Unix) (före AV7 7.9.0.148 / AV8/9: 8.2.0.148)
Avira AntiVir MailGate (före AV7 7.9.0.148 / AV8/9: 8.2.0.148)
Avira AntiVir WebGate (före AV7 7.9.0.148 / AV8/9: 8.2.0.148)

Källa: Security Focus

Två nya säkerhetsbrister funna av Nigel och Martin Olsen i ClamAV, den första sårbarheten beror på ett fel i funktionen cli_url_canon() som inte hanterar riggade URL:er på ett korrekt sätt, och kan medföra att program kan köras utan användarens vetskap. Den andra bristen beror på ett fel vid hanteringen av UPack-arkiv och kan leda till att ClamAV kraschar.

Påverkade versioner:
ClamAV versioner tidigare än 0.95.1

Källa: ClamAV

Tamas Feher har upptäckt en sårbarhet i F-Secure's produkter. Sårbarheten orsakas av bristfällig kontroll av arkiv-filer. Vid avsökning av vissa komprimerade arkiv kan en "buffer-overflow" skapas, vilket kan leda till att en angripare får kontroll över det sårbara systemet.

En angripare kan utnyttja sårbarheten genom att specialformatera ett arkiv innehållande kod som triggar sårbarheten

Påverkade versioner:
Klienter:

• F-Secure Internet Security 2008
• F-Secure Internet Security 2007 Second Edition
• F-Secure Internet Security 2007
• F-Secure Internet Security 2006
• F-Secure Anti-Virus 2008
• F-Secure Anti-Virus 2007 Second Edition
• F-Secure Anti-Virus 2007
• F-Secure Anti-Virus 2006
• F-Secure Client Security 7.12 samt tidigare versioner
• F-Secure Anti-Virus for Workstations 7.11 samt tidigare versioner
• F-Secure Linux Security 7.01 samt tidigare versioner
• F-Secure Anti-Virus Linux Client Security 5.54 samt tidigare versioner
• Solutions based on F-Secure Protection Service for Consumers version 8.00 samt tidigare versioner
• Solutions based on F-Secure Protection Service for Business version 3.10 samt tidigare versioner

• F-Secure Home Server Security 2009
• F-Secure Anti-Virus for Windows Servers 8.00 samt tidigare versioner
• F-Secure Anti-Virus for Citrix Servers 7.00 samt tidigare versioner
• F-Secure Linux Security 7.01 samt tidigare versioner
• F-Secure Anti-Virus Linux Server Security 5.54 samt tidigare versioner
• F-Secure Anti-Virus for Linux Servers 4.65

• F-Secure Anti-Virus for Microsoft Exchange 7.10 samt tidigare versioner
• F-Secure Internet Gatekeeper for Windows 6.61 samt tidigare versioner
• F-Secure Internet Gatekeeper for Linux 2.16 samt tidigare versioner
• F-Secure Anti-Virus for Linux Gateways 4.65
• F-Secure Anti-Virus for MIMEsweeper 5.61 samt tidigare versioner
• F-Secure Messaging Security Gateway 5.0.4 samt tidigare versioner F-Secure Internet Security 2008

Flera tillverkare av säkerhetsprogram varnar för AndromedaAV, ett så kallat "antivirusprogram" som snarare ställer till det för användaren än hjälper till att undvika skadlig kod. Den som installerar programmet möts av uppgifter att det finns en rad infekterade filer på datorn. För att råda bot måste man betala en licensavgift, men någon egentlig virus sökning görs inte. Meddelandena man får är oberoende av om systemet egentligen är infekterat eller ej.

Vad programmet mer orsakar för eventuell skada är oklart, men flera andra liknande falska säkerhetsprogram kännetecknas av återkommande popup-fönster och att orsaka instabilitet i datorn. Det finns också möjligheter för angriparen att lägga in malware som trojaner på den drabbades dator.

Även Computer Associates och F-Secure har liknande varningar. Rådet är att vara vaksam mot program som gör reklam via popup-fönster. För den som saknar antivirus program men inte har lust att betala för det finns det flera seriösa och kostnadsfria alternativ, som Avast, AVG och ClamAV.

Källa: Symantec.

Hanno Böck har upptäckt en säkerhetsbrist i ClamAV. Sårbarheten orsakas av en brist i libclamav/chmunpack.c, som hanterar kontrollen av felaktiga eller korrupta CHM-filer.

En angripare kan utnyttja sårbarheten genom att specialkonstruera CHM-filer, som vid uppackning allokerar en otillåten minnesarea och på så sätt får systemet att krascha.

Påverkade versioner:

• Versioner före 0.94

Ett av de vanligaste bedrägerierna just nu är ett falskt program som påstår sig ta bort olika typer av skadlig kod från din dator.

Ett av sätten som det falska anti-malware programmet XP Antivirus sprider sig är falska kommentarer i diskussionsfora på Internet. Det görs på samma sätt som en del skurkar lägger in länkar till sina egna sidor eller andras mot betalning i kommentarerna på bloggar. I XP Antivirus fall går länken till en falsk Google-sida.

Den som besöker länken ser först en "progress bar" som utger sig för att vara ett snällt program som ska kolla din dator mot skadlig kod. Sen ser användaren en välgjord fejk-varning där bakgrunden mörkas precis som i vanliga Windows och varningsrutan presenterar sig som XP Antivirus. Den talar om att det finns skadlig kod och ser riktigt trovärdig ut, för den som inte vet att XP Antivirus inte existeras.

Sen följer olika varningsrutor och små dialogrutor som dyker upp från nedre högra hörnet. Alla ser trovärdiga ut och har små rutor att klicka i. Ett varningstecken är dock att oavsett vad du trycker på kommer du tillbaka till en eller annan sida för att installera programmet eller betala för köpes-varianten. Ett annat varningstecken är att inget seriöst antivisrusföretag skulle trycka ut ett program till en dator utan att först berätta för användaren vad programmet gör och sen fråga om användaren vill ha det.

Filen som laddas ner är i själva verket Trojan-Downloader.Win32.FraudLoad.gen. Enligt Jesper M Johansson finns det förmodligen flera hundra varianter på en server, eller så körs den genom någon form av omvandlare för att försvåra för signaturbaserade skydd att upptäcka den.

Fake-programmet har en lång licenstext (som också ger ledtrådar om att det är fejk - men ytterst få människor läser licenstexter), egen hjälpsida, information om hur buggar kan rapporteras, priser för den fulla versionen anges tydligt och det finns försäkringar om att kreditkorts nummer och andra personuppgifter är skyddade eftersom kommunikationen är krypterad. Skurkarna säljer även support avtal och ett tilläggsprogram kallat FileShredder 2008.

Bedragarna har också skapat en egen version av Windows Security Center som är väldigt likt det legitima Security Center. Båda syns under Mina Program i Start-menyn. Den riktiga heter bara Security Center och dess hjälp-knappar leder till riktiga hjälpsidor. Fake-programmet heter Windows Security Center och dess hjälp-länkar leder till dess egna säljsidor.

Två andra tecken på den elaka koden är att det dyker upp varningsrutor om datorn lämnas i vila ett par minuter. Och texten i de varningsrutor som dyker upp från system-raden i nedre högra hörnet är skriven på dålig engelska. I övrigt är programmets dialogrutor välgjorda både vad gäller språk och form, enligt vad Jesper M Johansson skriver på The Register.

Hans analys visar inte på att programmet försöker installera någon annan form av skadlig kod, fjärrstyra datorn eller stjäla data. Men han skriver att det kan bero på att programmet känner att det befinner sig i en virtuell maskin och då håller tillbaka en del av sina fula trick för att inte underlätta analys.

Vistas UAC väcker heta känslor, och många menar att det bara är irriterande och bökigt, men tester nu att UAC faktiskt är bäst, på att hitta och förhindra att rootkits installeras på din dator.

Det är AV-test.org har gjort ett testför att testa hur bra marknadens olika ledande antivirusprogram är på att hitta kända rootkit. Testerna visade att det inte gick särskilt bra alls för de olika antivirusprogrammen, oavsett om de kördes på XP eller Vista. Av de 30 rootkit som användes i testet hittade inget av de sju antivirusprogramen alla 30, och samma hände med de webbaserade varianterna. Bara fyra av de 14 särskilda rootkitverktyg som också testades lyckades hitta alla 30 rootkit.

När det gäller Vista var det svårare att utvärdera eftersom bara 6 av 30 rootkit kunde köras på Vista, och för att ens kunna köra testerna på på de 6 rootkit som gick att installera på Vista fick UAC stängas av - då UAC reagerade på samtliga rootkit innan de ens installerats.

Efter att UAC inaktiverats visade det sig att bara tre av sjutton antivirusprogram - F-secure Anti-Virus 2008, Panda Security Antivirus 2008 och Norton Antivirus 2008 - lyckades både hitta och avinstallera rootkiten.

Källa: IDG News