Con sâu này chỉ muốn chữa lành

Nội dung

• Con giun này chỉ muốn chữa lành
• Mối đe dọa hàng đầu W32 / Nachi.B-worm
• 10 loại virus hàng đầu
• 5 lỗ hổng hàng đầu
• Mẹo bảo mật
• Cập nhật bảo mật Windows
• Thuật ngữ khó hiểu
• Bảo mật Xem Story Feed

Con giun này chỉ muốn chữa lành

Chúng tôi lần đầu tiên chứng kiến ​​vụ nổ MyDoom.A và cuộc tấn công từ chối dịch vụ sau đó đã đưa trang web của Santa Cruz Operation (sco.com) ra ngoài trong hai tuần. Sau đó, MyDoom.B đã bổ sung Microsoft.com làm mục tiêu tấn công DoS. Trong khi MyDoom.A cất cánh với sự báo thù, MyDoom.B, giống như một bộ phim "B", là một người siêng năng. Theo Mark Sunner CTO tại MessageLabs, MyDoom.B có lỗi trong mã khiến nó chỉ thành công trong một cuộc tấn công SCO 70% thời gian và 0% khi tấn công Microsoft. Ông cũng nói rằng "có nhiều cơ hội đọc về MyDoom.B hơn là bắt nó".

Tuần trước, chúng ta đã chứng kiến ​​sự bùng nổ của virus trên đuôi áo của MyDoom.A. Việc tiếp quản thành công hàng trăm ngàn máy móc. Người đầu tiên quay cảnh là Doomjuice.A (còn được gọi là MyDoom.C). Doomjuice.A, không phải là một vi-rút e-mail khác, nhưng nó đã tận dụng một cửa hậu mà MyDoom.A đã mở trên các máy bị nhiễm. Doomjuice sẽ tải xuống máy bị nhiễm MyDoom, và như MyDoom.B, cài đặt và cố gắng thực hiện một cuộc tấn công DoS trên Microsoft.com. Theo Microsoft, cuộc tấn công đã không ảnh hưởng xấu đến họ vào khoảng ngày 9 và 10, mặc dù NetCraft đã ghi lại rằng trang web của Microsoft không thể truy cập được tại một thời điểm.

Các chuyên gia chống vi-rút tin rằng Doomjuice là tác phẩm của cùng một tác giả của MyDoom, vì nó cũng làm rơi một bản sao của nguồn MyDoom gốc trên máy nạn nhân. Theo thông cáo báo chí từ F-safe, đây có thể là một cách để các tác giả trình bày các bản nhạc của họ. Nó cũng phát hành một tệp mã nguồn làm việc cho các tác giả virus khác để sử dụng hoặc sửa đổi. Vì vậy, MyDoom.A và MyDoom.B, giống như Microsoft Windows và Office, giờ đây đã trở thành một nền tảng cho các loại virus khác lan truyền. Trong tuần trước, chúng ta đã thấy sự xuất hiện của W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, khai thác-MyDoom - một biến thể Trojan của Proxy-Mitglieter, W32 / Deadhat.A và W32 / Deadhat.B, tất cả đều vào cửa sau của MyDoom. Vesser.worm / DeadHat.B, cũng sử dụng mạng chia sẻ tệp P2P SoulSeek.

Vào ngày 12 tháng 2, W32 / Nachi.B.worm đã được phát hiện. Giống như người tiền nhiệm của nó, W32 / Nachi.A.worm (còn được gọi là Welchia), Nachi.B tuyên truyền bằng cách khai thác các lỗ hổng RPC / DCOM và WebDAV. Mặc dù vẫn là virus / sâu, Nachi.B cố gắng loại bỏ MyDoom và đóng các lỗ hổng. Vào thứ Sáu, ngày 13 tháng 2, Nachi.B đã đứng ở vị trí số 2 trong danh sách mối đe dọa của một số nhà cung cấp (Trend, McAfee). Vì nó không sử dụng e-mail, nên nó sẽ không hiển thị trong danh sách mười e-mail hàng đầu của MessageLabs. Ngăn chặn nhiễm trùng Nachi.B cũng giống như đối với Nachi.A, áp dụng tất cả các bản vá Windows Security hiện tại để đóng các lỗ hổng. Xem Mối đe dọa hàng đầu của chúng tôi để biết thêm thông tin.

Vào thứ Sáu ngày 13 tháng 2, chúng tôi đã thấy một harpoon MyDoom khác, W32 / DoomHunt.A. Virus này sử dụng cửa hậu MyDoom.A và tắt các quy trình và xóa các khóa đăng ký liên quan đến mục tiêu của nó. Không giống như Nachi.B, hoạt động lặng lẽ trong nền, DoomHunt.A bật lên một hộp thoại thông báo "MyDoom Removal Worm (DDOS the RIAA)". Nó tự cài đặt trong thư mục Hệ thống Windows dưới dạng Worm.exe rõ ràng và thêm khóa đăng ký với giá trị "Xóa tôi" = "worm.exe". Việc xóa cũng giống như bất kỳ sâu nào, dừng quá trình worm.exe, quét bằng phần mềm chống vi-rút, xóa tệp Worm.exe và mọi tệp liên quan và xóa khoá đăng ký. Tất nhiên, đảm bảo bạn cập nhật máy của mình với các bản vá bảo mật mới nhất.

Mặc dù không có cách nào để biết chính xác, ước tính dao động từ 50.000 đến cao tới 400.000 máy MyDoom.A bị nhiễm tích cực. Doomjuice chỉ có thể tuyên truyền bằng cách truy cập vào cửa sau của MyDoom, vì vậy người dùng không bị nhiễm bệnh không gặp rủi ro và vì nhiễm trùng đã được làm sạch, lĩnh vực máy móc có sẵn sẽ đi xuống. Tuy nhiên, một điều nguy hiểm là trong khi MyDoom.A đã được lên kế hoạch để ngăn chặn các cuộc tấn công DoS của nó vào ngày 12 tháng 2, Doomjuice không có thời gian chờ. Tuần trước, chúng tôi đã đề cập đến việc nhìn thấy vụ nổ MyDoom.A diễn ra trên hoạt hình MessageLabs Flash và hứa sẽ đưa nó cho tất cả mọi người xem. Nó đây rồi

Microsoft đã công bố thêm ba lỗ hổng và phát hành bản vá trong tuần này. Hai là mức độ ưu tiên quan trọng, và một là mức độ quan trọng. Lỗ hổng hàng đầu liên quan đến một thư viện mã trong Windows là trung tâm để bảo mật các ứng dụng web và cục bộ. Để biết thêm thông tin về lỗ hổng, ý nghĩa của nó và những gì bạn cần làm, xem báo cáo đặc biệt của chúng tôi. Hai lỗ hổng khác liên quan đến dịch vụ Windows Internet Naming Service (WINS) và cái còn lại là trong phiên bản Mac của Virtual PC. Xem phần Cập nhật bảo mật Windows của chúng tôi để biết thêm thông tin.

Nếu nó trông giống như một con vịt, đi như một con vịt, và quạ giống như một con vịt, thì đó là một con vịt, hay virus? Có thể, có thể không, nhưng AOL đã cảnh báo người dùng (Hình 1) không nhấp vào tin nhắn đang thực hiện các vòng qua Instant Messenger tuần trước.

Thông báo chứa một liên kết cài đặt một trò chơi, hoặc Capture Saddam hoặc Night R CHƯƠNG, tùy thuộc vào phiên bản của thông báo (Hình 2). Trò chơi bao gồm BuddyLinks, một loại virus giống như công nghệ tự động gửi các bản sao của tin nhắn cho mọi người trong danh sách bạn bè của bạn. Công nghệ thực hiện cả tiếp thị lan truyền với chiến dịch tin nhắn tự động và gửi cho bạn quảng cáo và có thể chiếm quyền điều khiển (chuyển hướng) trình duyệt của bạn. Kể từ thứ Sáu, cả trang web trò chơi (www.wgutv.com) và trang Buddylinks (www.buddylinks.net) đều ngừng hoạt động và công ty Buddylinks có trụ sở tại Cambridge đã không trả lời các cuộc gọi điện thoại.

Cập nhật: Tuần trước chúng tôi đã nói với bạn về một trang web Do not Email giả mạo, hứa sẽ cắt thư rác, nhưng thực sự là một công cụ thu thập địa chỉ email cho những kẻ gửi thư rác. Tuần này, một câu chuyện của Reuters báo cáo rằng ủy ban Thương mại Liên bang Hoa Kỳ đang cảnh báo, "Người tiêu dùng không nên gửi địa chỉ e-mail của họ đến một trang web hứa hẹn sẽ giảm" thư rác "không mong muốn vì nó là lừa đảo. Bài báo tiếp tục mô tả trang web và khuyến nghị, như chúng tôi đã từng, "giữ thông tin cá nhân của bạn cho riêng bạn - bao gồm cả địa chỉ email của bạn - trừ khi bạn biết bạn đang giao dịch với ai."

Vào thứ năm ngày 12 tháng 2, Microsoft phát hiện ra rằng một số mã nguồn của nó đang lưu hành trên web. Họ truy tìm MainSoft, một công ty sản xuất giao diện Windows-Unix cho các lập trình viên ứng dụng Unix. MainSoft đã được cấp phép mã nguồn Windows 2000, cụ thể là phần phải làm với API (giao diện chương trình ứng dụng) của Windows. Theo một câu chuyện của eWeek, mã này không đầy đủ hoặc có thể biên dịch được. Mặc dù API Windows được xuất bản tốt, nhưng mã nguồn cơ bản thì không. API là tập hợp các chức năng và thói quen mã thực hiện các tác vụ chạy Windows, chẳng hạn như đặt các nút trên màn hình, thực hiện bảo mật hoặc ghi tệp vào đĩa cứng. Nhiều lỗ hổng trong Windows xuất phát từ các bộ đệm và tham số không được kiểm soát đối với các chức năng này. Thông thường các lỗ hổng liên quan đến việc truyền các thông điệp hoặc tham số được chế tạo đặc biệt cho các chức năng này, khiến chúng bị lỗi và mở hệ thống để khai thác. Do phần lớn mã Windows 2000 cũng được tích hợp trong máy chủ Windows XP và Windows 2003, nên có mã nguồn có thể cho phép người viết virus và người dùng độc hại dễ dàng tìm thấy lỗ hổng trong các thói quen cụ thể và khai thác chúng. Mặc dù các lỗ hổng thường được xác định bởi các nguồn của Microsoft hoặc bên thứ 3 trước khi chúng được công khai, dành thời gian để đưa ra các bản vá, nhưng điều này có thể khiến thủ tục này đứng đầu, đặt tin tặc vào vị trí phát hiện và khai thác lỗ hổng trước khi Microsoft tìm và vá chúng.