En PC & Nätverksteknikers tankar

Säkerhetsföretaget Sophos varnar för att delar av BusinessWeek är preparerad med skadlig kod. Angripare har utnyttjat sig av en SQL-injektion och hundratals sidor på deras rekryteringsportal har infekterats. När man besöker siten, så körs ett skadligt script från en rysk site, vilket gör att datorn riskerar att infekteras.

- BusinessWeek, och många andra företag som drabbats av SQL-injektioner, måste snabbt inte bara ta bort de skadliga scripten, men också försäkra sig om att de inte infekteras igen. Företag vars webbsiter blivit utsatta för en sådan attack rensar ofta bara bort det från databasen, för att bara några timmar senare infekteras igen, säger Graham Cluley på Sophos.

Enligt Sophos så infekteras uppemot 16 000 sidor varje dag, varav de allra flesta är att betrakta som legitima siter, där angriparna fått in den skadliga koden exempelvis genom att utnyttja en sårbarhet.

Källa: Techworld.

Malware spridana provar ständigt nya sätt, för att försöka få trojaner och annan skadlig programvara. Tidigare i veckan har det rapporterats på bland annat på IDG att CNN utnyttjats för att sprida skadlig kod.

Nu har en annan stor nyhetsmedia drabbats, nämligen MSN och NBC's gemensamma siten MSNBC. I vad som framstår som ett legitimt nyhetsbrev, tills man tittar på avsändaradressen, får läsaren veta att Elizabeth Taylor hittats mördad eller att ett flygplan kraschat in i en skola.

Sophos skriver att det är ett spionprogram vid namn Mal/EncPk-DA som försöker leta sig in. Från den infekterade datorn kan sedan personliga uppgifter som användarnamn, lösenord och kontokortsnummer stjälas.

Också det svenska antispam företaget Trillian, som ligger bakom Spamdrain, skriver i sin blogg om angreppen.

- Den nuvarande attacken kommer från olika datorer runtom i världen och skickas även till användare både i Sverige och utländska mottagare, skriver Trillians Henric Müller i företagets blogg.

Det verkar som om bluff varningen "Burning Hard Disc/Olympic Torch" har återuppstått. Att det återigen börjat att cirkulera hänger troligtvis ihop med namnet "Olympic Torch" och det Olympiska spel som förnärvarande pågår. Om ni får en ett brev med någon av följande alternativ, så är det bara att skicka det direkt i papperskorgen.

Detta virus finns inte, utan det är bara en "Hoax".

Subject: Invitation.
Message: (Variation 1)
You should be alert during the next days:
Do not open any message with an attached filed called "Invitation"
regardless of who sent it .
It is a virus that opens an Olympic Torch which "burns" the whole hard disc C of your computer. This virus will be received from someone who has your e-mail address in his/her contact list, that is why you should send this e-mail to all your contacts. It is better to receive this message 25 times than to receive the virus and open it.

If you receive a mail called "invitation", though sent by a friend, do not open it and shut down your computer immediately.

This is the worst virus announced by CNN, it has been classified by Microsoft as the most destructive virus ever.
This virus was discovered by McAfee yesterday, and there is no repair yet for this kind of virus.
This virus simply destroys the Zero Sector of the Hard Disc, where the vital information is kept

Message: (Variation 2)
> > http://www.snopes.com/computer/virus/postcard.asp
Hi All, I checked with Norton Anti-Virus, and they are gearing up for this virus!
I checked Snopes (URL above:), and it is for real!!
Get this E-mail message sent around to your contacts ASAP;
PLEASE FORWARD THIS WARNING AMONG FRIENDS, FAMILY AND CONTACTS!

You should be alert during the next few days. Do not open any message with an attachment entitled "POSTCARD," regardless of who sent it to you. It is a virus which opens A POSTCARD IMAGE, which 'burns' the whole hard disc C of your computer. This virus will be received from someone who has your e-mail address in his/her contact list. This is the reason why you need to send this e-mail to all your contacts.

If you receive a mail called" POSTCARD," even though sent to you by a friend, do not open it! Shut down your computer immediately.

This is the worst virus announced by CNN. It has been classified by Microsoft as the most destructive virus ever. This virus was discovered by McAfee yesterday, and there is no repair yet for this kind of virus. This virus simply destroys the Zero Sector of the Hard Drive.

Med hjälp av en egen tillverkad trojan lyckades en 44-årig man på Cypern att styra en 17-årig flickas webbkamera. Utan flickans vetskap tog han därefter bilder på henne som han använde för att försöka utpressa. Om han inte fick naken bilder så skulle han sprida bilderna till hennes vänner.

Flickan valde dock istället att vända sig till polisen, vilket ledde att mannen 2005 kunde gripas. Efter en lång utredning har dom fallit, och den nu 47-årige mannen döms till fyra års fängelse. Den icke namngivna mannen ska ha arbetat som datatekniker i Nicosia.

Att trojaner används i liknande syfte är relativt ovanligt, men de senaste åren har ytterligare ett antal personer gripits misstänkta för dylika brott. Bland annat i Spanien, Kanada och Storbritannien.

- Större delen av spionprogrammen är skapade för att stjäla din identitet, dina lösenord, din bankkontouppgifter – men det är lika enkelt att skapa en trojan för att ta över din webbkamera, säger Graham Cluley, säkerhetsexpert på Sophos.

Googles Bloggspot.com är också en bidragande resurs för virusmakare och beräknas stå för ca 2% av alla infekterade sidor under juni 2008. Bloggsidorna används för att sprida skadlig kod och för att sprida länkar till skadliga webbsidor genom blogg kommentarer.

Samtidigt som SQL-injektioner är på frammarsch, har antalet infekterade e-postmeddelanden minskat under samma period. Under början av 2007 var 1 av 332 brev infekterade. Under samma period detta år har andelen minskat till 1 av 2500.

Nyligen togs en internationell liga som genom slugt nätfiske lurat tusentals personer på pengar. En internationell nätfisekliga, som främst opererat i USA och Rumänien, sprängdes nyligen av de båda ländernas myndigheter. Säkerhetsföretaget Sophos välkomnar nyheten och berättar att ligan stulit personuppgifter från tusentals privatpersoner och företag.

Ligan använde sig av nätfiske, där e-postmeddelanden skickades ut till intet ont anade privatpersoner och företag. Breven innehöll länkar till hemsidor som försökte efterlikna riktiga bankers hemsidor och när någon försökte logga in samlade hemsidan in inloggningsuppgifterna. Enligt amerikanska myndigheter skickade ligan ut över 1,3 miljoner meddelanden i en enda attack.

Efter att ligan, vars kärna tros finnas i Rumänien, fick in uppgifter om inlogningsuppgifter skickades de över till medarbetare i USA. Där skapades kreditkort med de erhållna uppgifterna som de sedan prövade att göra små uttag med i bankomater. Om korten fungerade tömdes kontona på pengar och en andel av pengarna skickades slutligen tillbaka till Rumänien.

– Det här var en ovanligt välorganiserad liga, som jobbade internationellt, och amerikanska och rumäniska myndigheter har gjort ett jättebra jobb med att spåra brottslingarna, säger Graham Cluley på Sophos.

En ny version av trojanen Bagle har börjat spridas. Den kommer som ett mail som kan innehålla exempelvis "New Year's Day", med mailet följer också en fil, paketerad i formatet zip.
Eftersom att trojanen smittar via e-post bör du undvika brev med följande bigogade filer: Jeffrye.zip, Sindony.zip och Katherine.zip vilka innehåller filen S3700020.exe

Trojanen heter Trojan.Lodear.E [Symantec], W32/Bagle.gen!D1511020 [McAfee], Troj/BagleDl-AN [Sophos] och gör följande på din datorn:

1) Kopierar sig själv till %System%\anti_troj.exe
2) Visar följande fil: ntimage.gif
3) Lägger sig själv i Windowsregistret:
anti_troj = %System%\anti_troj.exe
Under:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrent\Version\Run
och:
HKEY_CURRENT_USER\Software\FirstRRRun\FirstRRRun = 1
Så att trojanen autostartas när Windows startas.
4) Kontaktar ett antal olika servrar för att ladda hem en fil till katalogen %Windir%\exefld

Antivirustillverkaren Sophos brukar vara snabba med att kommentera vad som händer i virusutvecklingen. Företaget har nu noterat en trojan, som man gett namnet Yusufali-A.

Till skillnad från många andra trojaner som försöker komma åt personliga uppgifter så är syftet med Yusufali-A att få surfaren att hålla sig borta från pornografiska hemsidor. Går man in på en hemsida med ord som "penis", "sex" eller "teen" i titeln så minimeras fönstret. Ett nytt fönster öppnas upp med ett citat från Koranen, på arabiska.

- Naturligtvis är det möjligt att trojanen gör misstag och blockerar hemsidor som inte är pornografiska, som medicinska hemsidor eller sidor för tonåringar, sager Graham Cluley på Sophos.

När man stänger ned porrsidan så kommer det upp en ruta där man kan klicka på något av tre olika alternativ, LogOff, ShutDown eller Restart. Oavsett vad man väljer så stängs datorn ned. Cluley spekulerar vidare i att det hela kan röra sig om någon skrivit trojanen som ett skämt.

Onlinebedragare har satt i system att efter mänskliga katastrofer försöka lura folk på pengar. Så var det efter tsunamin i sydostasien, och så är också fallet efter orkanen som slagit till mot New Orelans.

Antivirusföretaget Sophos rapporterar om skräppost som cirkulerar om tragedin i södra USA. I skräpposten går att läsa om hur mer än 80 personer dött efter orkanen. Den som vill läsa mer uppmanas gå in på en länk, väl där kommer flera trojaner och spionprogram försöka installeras.

- Om användare klickar på länken i mailet hamnar man på en skadlig hemsida som försöker infektera datorn. I fall datorn infekterats så kan den kontrolleras av kriminella hackare som sedan kan använda den för att spionera, stjäla eller orsaka problem, säger Graham Cluley på Sophos hemsida.

Andra försök till bedrägerier består i hur folk uppmanas att sätta in pengar till PayPal-konton där pengarna påstås gå till naturkatastrofens offer. I själva verket går pengarna in på anonyma konton tillhörande bedragare som försöker profitera på människans vilja att hjälpa till.