En PC & Nätverksteknikers tankar

Säkerhetsföretaget Kaspersky har sammanställt en topplista av årets hitintills vanligaste skadliga programvaror som upptäckts av deras senaste säkerhetslösning.

Virus/Adware/PUP

Virus/Maskar/Trojaner

Net-Worm.Win32.Kido.ih (Conficker/Downadup) Virus.Win32.Sality.aa Trojan.Win32.Autoit.ci Trojan-Downloader.Win32.VB.eql Packed.Win32.Krap.g Worm.Win32.AutoRun.dui Packed.Win32.Krap.b Packed.Win32.Black.a Trojan-Dropper.Win32.Flystud.ko Virus.Win32.Sality.z Worm.Win32.Mabezat.b Virus.Win32.Alman.b Worm.Win32.Autoit.ar Trojan.JS.Agent.ty Email-Worm.Win32.Brontok.q Worm.Win32.Autoit.i Virus.Win32.VB.bu Packed.Win32.Katusha.a Trojan.Win32.RaMag.a Trojan.Win32.Autoit.xp

Virus.Win32.Sality.aa Worm.Win32.Mabezat.b Virus.Win32.Virut.ce Net-Worm.Win32.Nimda Virus.Win32.Xorer.du Virus.Win32.Sality.z Virus.Win32.Alman. Virus.Win32.Parite. Virus.Win32.Virut.q Trojan-Downloader.HTML.Agent.ml Virus.Win32.Small.l Email-Worm.Win32.Runouce.b Net-Worm.Win32.Kido.ih (Conficker/Downadup) Virus.Win32.Virut.n Virus.Win32.Parite.a Virus.Win32.Hidrag.a Trojan-Clicker.HTML.IFrame.acy P2P-Worm.Win32.Bacteraloh.h Worm.Win32.Otwycal.g Worm.Win32.Fujack.k

Det som är intressantast är att masken Nimda fortfarande ligger som fjärde plats pålistan trots att det har funnits i 8 år, medan den senaste faran Conficker endast ligger på 13 plats.

För er som inte vet skillnaden kommer här en kort definition av vad som skiljer mellan olika typer av skadlig programvara (Malware).

• Virus - Sprider sig till filer lagrade på den infekterade datorn och följer med infekterade filer när de överförs till andra datorer.
• Mask/Worm - Sprider sig via datornätverk mellan datorer.
• Trojansk häst/Trojan - Utger sig för att göra en sak, men utför andra saker vanligen dolda för en användare, t.ex nedladdning av spionprogram.
• Logisk bomb - Utför en (skadlig) handling under speciella villkor, till exempel att ett visst datum infinner sig.
• Spionprogram/Spyware - Spionerar på privat information på infekterade datorer, och skickar informationen över internet.
• Annonsprogram/Adware - Visar annonser på infekterade datorer.
• Keylogger - Registrerar information om de tangenter som trycks på datorn, till exempel lösenord, och lagrar informationen lokalt för senare åtkomst eller skickar den via internet.

Tillmann Werner och Felix Leder vid The Honeynet Project har tillsammans med Dan Kaminsky listat ut ett sätt att upptäcka Conficker-infekterade maskiner.

Conficker modifierar delar av Windows, närmare bestämt NetpwPathCanonicalize(), på ett sådant sätt att det går att skilja en Conficker-infekterad maskin från både en opatchad maskin och en maskin som är patchad med MS08-067. Gallringen sker genom att man kan analysera felkoder från specialkonstruerade RPC-meddelanden.

Mer information och "proof-of-concept"-kod finns på The Honeynet Project och Doxpara.

För mer information om Conficker så kan du läsa SRI Internationals analys och Conficker Working Groups FAQ, eller The Honeynet Projects "Know Your Enemy: Containing Conficker" samt instruktioner för att scanna efter Conficker med nmap hittar du på Skullsecurity och Seclists.

Ett plug-in till Nessus finns också att ladda hem.

Det är hög tid att installera uppgraderingen MS08-067, som släpptes för en månad sedan. Flera maskvarianter, exempelvis W32/Conficker.worm, utnyttjar hålet aktivt. Det är ännu endast Windows 2000 som är drabbat.

Då masken har infekterat ett system laddar den ner ytterligare elak kod. För att sprida sig installeras en webbserver som lyssnar på slumpmässiga portar. Därefter scannar masken efter sårbara system som kan ladda ner en kopia av masken från det infekterade systemets webbserver.

Jag rekommenderar följande skydd:

1. Installera uppdateringen MS08-067 som finns tillgänglig på Windows Update.
2. Blocka TCP-portarna 139 och 445 i brandväggen.

Via ett meddelande på Facebook sprids masken Net-Worm.Win32.Koobface.bp, om man följer en länk som postats av en "vän". Klickar man på länken så skickas man vidare till en site med adressen hi5.com, där man blir informerad att din nuvarande version av Flash Player måste uppdateras., för att du skall kunna se filmen.

Ett av meddelandet på Facebook ser ut på detta sätt:
"oSmebody has uploaded a video with you on utubee. You should seeee."

Säkerhetsorganisationen CERT varnar för att en elak linux mask vid namn Phalanx2, håller på att sprida sig över nätet och samla in SSH-nycklar.

Hackaren tar sig in i ett system via OpenSSH med hjälp av nycklar de kommit över. Även om Debians säkerhetsbrist inte nämns i sammanhanget är det troligt att hackaren tagit sig in i olika system den vägen och sedan fortsatt.

Debian hade missat att implementera en slumptalsfunktion när nya nycklar plockades fram och som källa användes bara ett tal mellan 1 och 65535. Att gissa en nyckel kunde därmed gå riktigt snabbt.

Efter ett lyckat intrång används en lokal säkerhetsbrist (local exploit) för att masken skall få administrativa rättigheter.

Masken som går under namnet Phalanx2 är en modifierad variant av ett rootkit vid namn Phalanx, och tar sig in i kärnan, gömmer sina filer, processer, sockets och öppnar upp en TTY i ditt system.

Phalanx2 är extra elak eftersom koden har utformats för att söka igenom ditt system efter andra SSH-nycklar och använda dem för att sedan hoppa till fler system.

Masken är ändå enkel att upptäcka. Om du kan ändra aktuell katalog till /etc/khubd.p2 så har du problem. (Katalogen syns inte i en ls-listning). Det kan även ligga filer som masken använt under /dev/shm.

CERT rekommenderar administratörer att bekräfta sina SSH-nycklar med starka lösenord för att minska stöldrisken.

Källa: HEP @ University of Chicago/CERT

Cross-site scripting, XSS, är ett datorrelaterat säkerhetsproblem. Ofta handlar det om att stjäla information som annars inte visas, eller förstöra en webbsidas utseende.

XSS kan också användas för att "lura" till sig information. Exempelvis kan vi tänka oss en community där man kan skicka meddelanden till varandra. Om sajten inte är skyddad mot XSS så kan användaren X skicka ett meddelande till användare Y och få honom att klicka på en länk som automatiskt skickar hemlig information om användaren Y till användaren X. Med den informationen kan exempelvis användare X logga in som användare Y och därmed förstöra.

---

DoS är en förkortning för Denial of Service i datasäkerhetstermer. Dvs. en överbelastningsattack mot ett datasystem i syfte att se till att inte någon annan får tillgång till systemet. Det finns tre olika tillvägagångssätt att genomföra ett överbelastningsangrepp: att man missbrukar en sårbarhet eller svaghet som får systemets programvara att krascha; att man sänder (överbelastar) så mycket trafik att deras system eller applikation kollapsar; att man sänder så mycket skräptrafik så att legal/giltig trafik hindras att komma fram. De första kända överbelastningsangrepp är de mot Ebay, Amazon och CNN under februari 2000. Därefter har överbelastningsangrepp drabbat olika sektorer som spel/bettingföretag, banker och finansiella institut.

---

DDoS (Distributed Denial of Service) är en teknik som används mot ett datorsystem eller nätverk för att konsumera all tillgänglig bandbredd. Detta orsakar en uppkopplingsstörning för användarna genom att överbelasta resurserna på det utsatta systemet. Oftast kommer denna attack från datorer som blivit infekterade av en Trojan. Trojanen används sedan för att "anfalla" ett specifikt system. Detta orskar en Denial of Service (DoS), vilket leder till att nätverket slås ut.

En DDoS-attack bygger på att en stor mängd anrop, med en relativt liten mängd data, samtidigt och kontinuerligt från flera datorer skickas till ett datorsystem eller nätverk. Det utsatta systemet överbelastas av den stora mängden anrop vilket "stryper" övrig kommunikation.

Det enda som behövs för en attack är målvärdens IP-adress, vilken är relativt enkel att få tag på när datorn väl kopplat upp sig mot Internet.

---

Internetmask är en form av omformaterande datorprogram, som själv sprider sig från dator till dator över Internet, utan att behöva hjälp från någon oförsiktig användare. Detta är vad som skiljer en mask från ett datorvirus. Maskar är därför oftast beroende av någon form av säkerhetshål för att kunna spridas.

Många maskar gör inget annat än att sprida sig själva, men har i princip full kontroll över den infekterade datorn. Bara genom sin spridning kan de dock orsaka stor skada och höga kostnader. Ibland har maskar använts för att utföra DoS attacker mot stora webbplatser från infekterade datorer.

Den första Internetmasken var den så kallade Morrismasken, som spreds den 2 november 1988.

---

En trojansk häst eller trojan är ett datorprogram som utger sig för att vara till nytta, men som orsakar skada när det lurat en användare att installera det. Det kan vara frågan om ett program skrivet för ändamålet eller en modifierad version av ett annat program.

Kanske inte precis vad världen behöver, men nu finns i alla fall ett nytt verktyg för att snabbt och enkelt skapa och distribuera trojaner.

Det nya verktyget kallas T2W, Trojan2Worm, och ska kunna göra vilken körbar fil som helst till en mask som sprider sig själv. Enligt IT-säkerhetsföretaget Panda som beskrivit verktyget ska det vara mycket enkelt att använda.

Det ska ha funktioner för att komprimera smittsamma filer och att mutera dess innehåll. Detta för att kunna lura olika former av filter mot skadlig kod. Verktyget kan även låsa "Task Manager", Windows register-editor och vissa webbläsare. Och allt detta genom enkla knapptryckningar, ingen programmering krävs.

Panda tror att verktyget utvecklats i Spanien eftersom dess språkstöd för engelska, spanska, portugisiska och katalanska.

Botnätet Asprox har tidigare mest användts för phishing. De senaste dagarna har det byggts om för att infektera webbsidor och därifrån smitta besökare.

Ett botnät som tidigare mest använts för phishing har börjat infektera webbsidor. Den nya versionen av de små program som utgör klienterna i botnätet Asprox har utrustats med funktionen att leta efter sårbara webbsidor skrivna i Active Server Pages, ASP. När det skadliga programmet hittar en sån sårbar ASP-installation lägger det in en attack-kod i ASP-sidan som försöker smitta webbsidans besökare genom en SQL-injektion.

Den senaste månaden har en liknande attack med trojaner som stjäl lösenord till online-spel infekterat cirka en halv miljon Windowsdatorer. Den attacken ska enligt en talesman för IT-säkerhetsföretaget Secure Works ha kommit från hackare i Kina. Samma talesman, Joe Stewart, säger att den attack som nu sker via botnätet Asprox ser ut som ett sätt att härma attacken som infekterat en halv miljon datorer. Det är dock första gången han sett ett botnät användas för att sprida en SQL-baserad attack. Han tror också att den kommer från Östeuropa.

Själva attacken på webbplatsen sker genom att lägga in en iFrame i sidans kod coh sen smitta besökare med ett skadligt Javascript från domänen "direct84.com". I går hade Asprox infekterat över tusen webbplatser på det sättet, enligt nyhetstjänsten Dark Reading.

Asprox använder också attacken för att rekrytera nya botar till nätverket. Idagsläget består det av cirka 15 000 smittade datorer. Det skickar också ut "scare ware" det vill säga att det varnar för att datorn är smittad och uppmanar användaren att köpa ett program som tar bort smittan. Enligt Stewart är det inte klart vad det är i programmet som användaren köper, det hanteras av ett partner-företag till Asprox. Däremot ger det Asprox-ägaren lite extra pengar och kreditikortsnumret till folk som går att lura på det sättet.

Enligt Virus Total är det idag bara ett fåtal antivirusprogram som upptäcker den typ av attack som Asprox använder.

Internet Storm Center går nu ut med en varning om en ny mask som smittar webbsajter innehållandes SQL-databaser. Genom att utföra en enkel sökning på t.ex. Google kan du kontrollera om din sajt har drabbats.

Internet Storm Center arbetar med att spåra webbhot, och har nu hittat en ny mask som har siktat in sig på sajter med SQL-databaser. Ännu så länge har den endast infekterat ca 4 000 sajter, inte så allvarligt för att vara en web-attack, men detta är bara början.

Om du vill kontrollera om din sajt har smittats kan du göra en enkel sökning med Google. I sökrutan skriver du då "site:www.dindomän.se winzipices.cn". Får du då en eller flera träffar på denna sökning så bör du informera den som är ansvarig för sajten.

Källa: Computerworld

Jag vill varna för programmet XP-Shield, eftersom att det är ett program som rapporterar falskt när det gäller hur infekterad din dator är av virus, trojaner och annan malware.

För att sedan kunna tabort programmen måste du betala en full licens.







När programmet installeras skapas följande:

• %UserProfile%\Desktop\XP-Shield.lnk
• %UserProfile%\Local Settings\Temp\XPShieldSetup.exe
• %UserProfile%\Start Menu\Programs\XPShield\XP-Shield Web Site.lnk
• %UserProfile%\Start Menu\Programs\XPShield\XP-Shield.lnk
• %ProgramFiles%\XPShield\INSTALL.LOG
• %ProgramFiles%\XPShield\UNWISE.EXE
• %ProgramFiles%\XPShield\XP-Shield Web Site.url
• %ProgramFiles%\XPShield\XP-Shield.exe

Sedan skapar programmet följande registernycklar, vilket medför att XP-Shield startas automatiskt när du startar Windows:

• HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Run\"XPShield" = %ProgramFiles%\XPShield\XP-Shield.exe"
• HKEY_ALL_USERS\Software\XPShield
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XP-Shield

Liknande program är:
AntiVirProtect, WinSpyKiller, TheSpyBot, SpyWatchE, and WinXProtector

Den 15 November uppdaterade SANS Institute sin lista över de 20 allvarligaste säkerhetsriskerna, en lista som är baserad på fler än tre dussin säkerhetsforskares och organisationers åsikter, däribland US Cert och Departement of Homeland Security.

Den senaste trenden visar att hackarna allt mer avlägsnar sig från högprofilmetoder som virus och maskar för att i stället jobba mer i det fördolda med hjälp av trojaner och andra typer av diskret skadlig kod, uppgav Alan Paller, forskningschef på SANS, när listan presenterades.

Han få medhåll av Roger Cumming, chef för brittiska National Infrastructure Security Coordination Center, som konstaterar att hans organisation publicerat allt färre varningar om de mer traditionella hoten. Han säger att NISCC i stället sett en markant uppgång i antalet attacker med så kallade trojaner, som ofta kommer med filer som bifogats med e-postmeddelanden. Enligt honom utvecklar hackarna, på uppdrag av ligaledare, nu mer kod med speciella mål i sikte.

- Ligaledarna har inte själva de färdigheterna så värvar folk och betalar stora summor till hackare, säger Roger Cumming.

Han anser att det här gör det extra viktigt för företagen att fokusera på att riskhanteringmetoder som har tyngdpunkten på dataskydd.

Enligt Amol Sarwate, chef för Qualys sårbarhetslaboratorium, visar data från över tio miljoner nätverksskanningar att allt fler sårbarheter upptäcks i Microsofts Office-tillämpningar och att antalet attacker mot dessa ökar. Hittills i år har man hittat tre gånger så många sårbarheter i Office som man gjorde under hela 2005, uppger han. 45 av de säkerhetsbrister som hittats i år är att beteckna som allvarliga eller kritiska och 9 utnyttjades för så kallade nolldagarsattacker, det vill säga de användes för attacker innan det fanns några patchar att skydda sig med. Oftast utförs de här attackerna genom att skadlig kod lagts in i Word-, Excel eller Powerpoint-dokument som sedan sprids via e-post.

Många andra attacker utförs dock direkt via webben, genom att den utsatte helt enkelt luras att besöka en smittad sida. Den här typen av attacker har ökat kraftigt gör det nödvändigt för företagen att hålla ögonen på dem, säger Johannes Ullrich, teknikchef på SANS.

Webbapplikationer är ett annat problem område. Enligt Johannes Ullrich utförs inte attacker mot dessa bara för att komma åt den bakomliggande informationen utan också för att hackarna ska kunna använda webbservrarna för vidare attacker.

- De här applikationerna är ofta en Akilleshäl för många storföretag, säger Johannes Ullrich.

- Webbapplikationerna är ofta åtkomliga utifrån och de är inte sällan hastiga hopkok där man inte lagt speciellt mycket fokus på säkerheten, förklarar Johanns Ullrich.

När det gäller nolldagarsattackerna så riktas många av dessa mot Microsoft-produkter, speciellt Internet Explorer, Word och Powerpoint och många verkar utföras från Kina, uppger SANS i sin rapport. Av de 20 man har med i rapporten var fem riktade mot Internet Explorer, tre mot Powerpoint och fyra mot Apples webbläsare Safari och företagets operativsystem.

Men på SANS lista över säkerhetsrisker var också för första gången den mänskliga faktorn, som ofta utnyttjades på så kallade med mycket riktade ljusterfiskeattacker. Till den här problemkategorin hör också problemen med att företagen ofta ger sina användare för stora rättigheter och att ser genom fingrarna när det gäller användandet av ickeauktoriserade enheter i företagets nätverk.

Listan finns här.

Har du problem med virus, maskar eller trojaner som hela tiden återkommer oavsätt vad du gör? Här är några tips på hur du blir av med dem.

• Starta om datorn i felsäkert-läge (F8 tangenten under uppstarten).
  Gör en fullständig virus genomsökning.
  Starta om datorn normalt.
• Höger klicka på "Den här datorn" och välj "Egenskaper".
  Klicka på fliken "Systemåterställning" och kryssa i rutan "Inaktivera ..."
  Starta om datorn, och gör om proceduren fast denna gång väljer du att "Aktivera ..."

Många gånger kommer dessa från hemsidor som du har besökt tidigare och installerats via så kallade "drive by", utan din vetskap. Detta kan undvikas genom att inte använda Internet Explorer som webläsare, utan byta till t.ex. Mozilla Firefox eller Opera. Själv använder jag Firefox eftersom att det är enkelt att installera filter som t.ex. blockerar reklam och oönskade sidor. En annan fördel med Firefox är möjligheten att surfa på flera olika platser i samma fönster, d.v.s via flikar.

Vill man dock forfarande använda sig av Internet Explorer, så kan man inaktivera ActiveX kontroller och Javascript i läsarens inställningar. Detta är dock inte någon bra lösning eftersom att man förlorar många bra funktioner i Internet Explorer.

Linux masken Lupper har börjat spridas med större utsträckning. Masken utnyttjar bland annat awstats.pl och xmlrpc.php

Masken Lupper finns även i en ELF komplierad version för I386 och sprider sig via AWStats Rawlog Plugin och XML-PHP. På en angipen dator öppnas någon av portarna 7111,7222,7555 för UDP trafik, och möjliggör fjärrstyrning av datorn.

Masken angiper genom bland annat ansluta till:
/cgi-bin/awstats.pl
/awstats/awstats.pl
/cgi-bin/awstats/awstats.pl
/cgi/awstats/awstats.pl
/scripts/awstats.pl
/cgi-bin/stats/awstats.pl
/stats/awstats.pl


och utnyttja en känd säkerhetsbrist i XML-PHP genom att skriva över filen xmlrpc.php i:
/xmlrpc.php
/xmlrpc/xmlrpc.php
/xmlsrv/xmlrpc.php
/blog/xmlrpc.php
/drupal/xmlrpc.php
/community/xmlrpc.php
/blogs/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogtest/xmlsrv/xmlrpc.php
/b2/xmlsrv/xmlrpc.php
/b2evo/xmlsrv/xmlrpc.php
/wordpress/xmlrpc.php
/phpgroupware/xmlrpc.php


Ett enkelt sätt att skydda sig är att lägga till följande i .htaccess filen eller i server konfigurationen.


order deny,allow
deny from all
OnDeny http://www.fbi.gov

Masken, som av Panda getts namnet P2Load.A, kopierar sig själv till den katalog man delar ut, och döper sig där till "Knights of the Old Republic 2". Knights of the Old Republic 2 är ett Star Wars-spel gjort av Lucas Arts. Den som tror att han laddar ned spelet laddar alltså i själva verket ned masken.

Den som är drabbad får upp ett fönster där han informeras om att filen "vb2.dll" löpt ut. För att uppdatera kan man sedan klicka på OK.

Masken är skapad av strikt ekonomiska skäl utan ha som primärt syfte att förstöra. Genom att ändra inställningarna i hosts-filen så hamnar man fel när man ska gör en sökning på Google. Sidan ser på ytan ut som man är van vid, men sökresultaten förändras. Istället för att visa sökresultaten från det riktiga Google så visas länkar som maskens skapare vill att personen ska besöka. Även inställningarna i Windows-registret ändras så att masken körs varje gång operativsystemet startar.

Förutom att leda in till fel Google så förändras även startsidan och nya länkar läggs till i Favoriter.

P2Load.A är 45 117 byte stor och skriven i Delphi. Masken drabbar personer som kör Windows 2003/XP/2000/NT/ME/98. För att skydda sig rekommenderas ett uppdaterat antivirusprogram.

Omkring 3 700 mp3-spelare som Creative prånglat ut på marknaden innehåller masken W32.Wullik.B. Mp3-spelarna tros ha blivit smittade från datorer under tillverkningsprocessen.

Enligt F-Secure så är masken inte av den mest aggressiva typen, men när man kopplar in den i datorn och går in i mappen där masken finns så finns det risk att den sprider sig. Vid spridning kopieras den till slumpmässigt valda platser på datorn och kan också slingra sig ut till andra delar av nätverket. Väl i aktion så används masken för att skicka ut skräppost.

Creative har nu kontaktat sina återförsäljare och kallat tillbaka mp3-spelaren. Den drabbade spelaren är av modellen Neon och den som har ett serienummer från M1PF1230528000001M till M1PF1230533001680Q kan vara drabbad. Av Creative uppmanas kunderna att med ett antivirusprogram ta bort viruset eller att manuellt ta bort filen där masken lagts in. I de infekterade spelarna så har masken gömt sig i filen Winfile, som är en del av spelarens filsystem.

För ett par kvällar sedan kunde CNN:s tittare se hur de vanliga inslagen avbröts för närmast hysteriska virusvarningar. Runt hela USA började datorer med Windows 2000 och tidiga Windows XP-versioner löpa amok och starta om sig själva. Dessa virus har nu börjat infektera datorer i Sverige rapporterar både McAfee och Symantec.

Nu visar det sig att konstruktörerna av maskar och trojanska hästar ofta utnyttjar Microsofts uppdateringar för att skapa sina maskar. Eftersom det dröjer ett tag innan huvuddelen av alla datorer är uppdaterade kan virusskaparna få sina maskar att spridas till en stor mängd datorer. Och de blir farligare och farliga.

Generellt sett är det bra att alla hål kan täppas till så snart som möjligt. Men det är klart att det är en risk med att man går ut med information om ett nytt hål. Det ger virusskapare information som de inte har haft tidigare. Genom att analysera säkerhetsuppdateringen kan de se exakt hur säkerhetshålet ska utnyttjas, säger Joakim von Braun, säkerhetsrådgivare på Symantec.

Mycket handlar om att syftet med angreppen har ändrats. De senaste åren har vi sett att allt fler virusskapare slår sina påsar ihop med ekonomiska brottslingar. Förut var syftet snarare att skapa uppmärksamhet. Nu gör man det för att tjäna pengar. Utpressning mot Internet-baserade företag är också vanligt, där man försöker tvinga dem till att betala en lösensumma för att inte bli utsatta för så kallade DOS-attacker (Denial of Service). Betalar de inte utnyttjar man nätverk med kapade datorer för att få webbservrarna att drunkna under trafik. Och för ett företag som är beroende av sin e-handel är det förstås förödande.

Mängden virus, maskar och trojanska hästar ökar hela tiden. Det dyker upp i snitt en riktigt farlig mask om året. Men den allmänna situationen försämras hela tiden. För tre år sedan upptäckte vi 400 nya maskar på ett halvår. Sista halvåret 2004 upptäckte vi 7 500. Och ökningen fortsätter.Att det blir fler virus, maskar och trojaner att skydda sig mot står alltså klart. Frågan är vad de kan ställa till med. Man kan tänka sig många scenarier. Och många allvarliga tillbud har redan skett. 2004 tog sig en databasmask in i ett amerikanskt kärnkraftverk. Reaktorn var tagen ur drift just då ? i annat fall hade man antagligen varit tvungen att nödstoppa den. Och både kanadensiskt och amerikansk polis har blivit utsatta för attacker som gjort att inte kunnat ta emot larm. Hittills har det inte funnits någon anledning för virusskapare att ställa till med mer skadegörelse än så. Vad terrorister med ett annat syfte kan göra kan man bara spekulera i.

Det bästa man kan göra för att undvika virus är att inhandla ett känt antivirus skydd som Norton Antivirus, McAfee eller F-Secure. Men det är även viktigt att hålla sitt operativsystem välstädat och uppdaterat. Mac har funktionen Programuppdatering, Linux har apt-get eller Yum och Windows har Microsoft Update. Men det hjälper inte mot diverse spyware, adware, modemkapning etc, där måste du ha ett program som är specifikt för detta.

Den senaste versionen av Stinger fråm McAfee är nu uppdaterad så att den hittar och raderar dessa nya virus:

1. BackDoor-AQJ
2. BackDoor-ALI
3. BackDoor-CEB
4. BackDoor-JZ
5. Bat/Mumu.worm
6. Downloader-DN.a
7. Exploit-DcomRpc
8. Exploit-LSASS
9. Exploit-MS04-011
10. HideWindow
11. IPCScan
12. IRC/Flood.ap.dr
13. IRC/Flood.bi.dr
14. IRC/Flood.cd
15. NTServiceLoader
16. ProcKill
17. PWS-Narod
18. PWS-Sincom.dll
19. W32/Anig.worm
20. W32/Bagle@MM
21. W32/Blaster.worm (Lovsan)
22. W32/Bropia.worm
23. W32/Bugbear@MM
24. W32/Deborm.worm.gen
25. W32/Doomjuice.worm
26. W32/Dumaru
27. W32/Elkern.cav
28. W32/Fizzer.gen@MM
29. W32/FunLove
30. W32/IRCbot.worm
31. W32/Klez
32. W32/Korgo.worm
33. W32/Lirva
34. W32/Lovgate
35. W32/Mimail
36. W32/MoFei.worm
37. W32/Mumu.b.worm
38. W32/MyDoom
39. W32/Nachi.worm
40. W32/Netsky
41. W32/Nimda
42. W32/Pate
43. W32/Polybot
44. W32/Sasser.worm
45. W32/Sdbot.worm.gen
46. W32/SirCam@MM
47. W32/Sober
48. W32/Sobig
49. W32/SQLSlammer.worm
50. W32/Swen@MM
51. W32/Yaha@MM
52. W32/Zafi
53. W32/Zindos.worm
54. W32/Zotob.worm
55. Med Flera...

Stinger hittar du på McAfee och är helt kostnadsfri.