Nyheder
- Sikkerhedsopdatering fra Microsoft kan resultere i fejl
- P2P-orm indeholder bagdør
- Windows XP åben for enhver med fysisk adgang
- Derfor skal sikkerhedsprodukter også opdateres
- Valentins hilsen indeholder Adware
**********************************************************************
----------------------------------------------------------------------
Sikkerhedsopdatering fra Microsoft kan resultere i fejl - 17-02-2003
----------------------------------------------------------------------
En ny sikkerhedsopdatering fra Microsoft til Internet Explorer, kan resultere i at brugere ikke kan tilgå visse sites. Et af disse sites er Microsofts egen MSN e-mail service.
Sikkerhedsopdateringen omhandler en sikkerhedsbrist i Internet Explorer 5.01, 5.5 og 6.0, som kan resultere i at en hacker kan læse og eksekvere vilkårlige filer på brugerens system, mens brugeren surfer på hackerens web site.
Efter installation af ovennævnte patch var der nogle brugere, der ikke kunne tilgå visse websites. Det drejer sig blandt andet om MSN’s e-mail service, som kræver brugerautentifikation. Microsoft har udtalt, at der ikke var tale om et nyt sikkerhedshul, og at det originale patch rettede de problemer som det skulle.
Microsoft har dog nu udgivet et hotfix mod dette problem. Dette kan hentes på følgende link:
http://www.microsoft.com/windows/ie/downloads/critical/813951/
Læs eventuelt også Microsofts beskrivelse af sikkerhedsbristen:
http://www.microsoft.com/security/security_bulletins/ms03-004.asp
Simon Nilsson
EuroTrust Virus112 A/S
----------------------------------------------------------------------
P2P-orm indeholder bagdør - 17-02-2003
----------------------------------------------------------------------
W32.BearBritney.worm (også kaldet Gool og Igloo) er en internetorm, som primært spreder sig via P2P-netværket KaZaa. BearBritney indeholder en bagdørsfunktion, som kan give enhver adgang til et system som er inficeret med BearBritney.
Ormen er skrevet i Delphi og den indeholder som nævnt en ondsindet bagdørsfunktion - en såkaldt trojansk hest, som giver andre personer adgang til systemer, som er inficeret med W32.Bearbritney.worm.
Selv om ormen p.t. ikke er aktiv i Danmark er den en del af en ny trend, hvor virusprogrammører aktivt anvender fildelingsnetværk, som platform for spredning af ondsindet kode.
W32.BearBritney.worm er en ”kombinations” orm, som dels spreder sig via KaZaa, men også sender sig selv videre via mIRC. Den anvender ikke e-mail som distributionskanal.
Under afvikling af ormen kopierer den sig selv til systemmappen i form af filerne: Explorer.exe, Explorer.vbs og RealWayToHack.exe. Den aktiverer herefter den kompromitterede maskine, som server, hvor den åbner en vilkårlig port. Informationer om portnummer, IP adresse og andre sensitive oplysninger sendes efterfølgende til ophavsmanden bag ormen via ICQ. Herefter kan den ondsindede person (via klientprogrammet Igloo.exe) overtage kontrollen med den inficerede maskine.
For at lokke andre brugere på KaZaa til at hente og aktivere virussen kopierer den mere end 40 lokkende filnavne ned i mappen sys32 og gør mappen tilgængelig for enhver, der benytter fildelingsnetværket. Ormen tryllebinder med udsigt til blandt andet Shakira, Sandra Bullock, Pamela Anderson, Catherine Zeta Jones og selvfølgelig Britney Spears.
Peter Kruse
EuroTrust Virus112 A/S
----------------------------------------------------------------------
Windows XP åben for enhver med fysisk adgang - 17-02-2003
----------------------------------------------------------------------
Hvis du tror, at din pc er beskyttet med et godt password, og at en bruger uden password ikke kan logge sig ind, så tager du fejl. Navnlig, hvis du anvender Windows XP, som ellers skulle være Microsoft’s stærkeste version af Windows. Windows XP er baseret på NT-teknologi, som burde indeholde en sikkerhedsarkitektur, som forhindrer umiddelbar adgang til pc’en, hvis den er password beskyttet.
Men Windows XP er åben som en ladeport for enhver med fysisk adgang til pc’en ganske som det er tilfældet med Windows 9x/ME. Der er for så vidt ikke tale om en direkte sikkerhedsfejl, men snarere om et ”tilbage kompatibel” problem, som Microsoft bør løse i en kommende servicepakke til Windows XP.
Problemet består af en fejl i Microsoft’s design af Windows XP’s sikkerhedsarkitektur, som tillader en bruger at opnå adgang til maskinen uden at skulle anvende et password og endda med rod-adgang (root).
Umiddelbart burde det ikke være muligt at få adgang til en Microsoft Windows XP maskine med passwordbeskyttelse. Men Windows XP kan ganske enkelt bootes op med en Windows 2000 cd (eller en Windows 2000 recovery diskette), som kan hentes flere steder på internettet. Ved hjælp af cd'en og Recovery Consolen kan man opnå adgang til XP på administratorniveau. Windows XP tillader altså en bruger at arbejde som administrator på maskinen uden, at brugeren på noget tidspunkt opgiver brugernavn eller password.
Via Recovery consolen kan brugeren tilmed opnå adgang til alle andre konti i systemet, ændre rettigheder uden at angive password og stort set gøre hvad en administrator må på et XP system. Det vil stort set sige alt! Brugeren kan uden problemer kopiere filer fra harddisken og videre over på en diskette eller andre drev.
Microsoft har tidligere omtalt lignende problemstillinger med følgende kommentar: ”If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.". Oversat til dansk: ”Hvis en ondsindet person har ubegrænset fysisk adgang til din pc, så er det ikke din pc længere”. Den udtalelse kan diskuteres og bør diskuteres - navnlig i relation til danske virksomheders interne sikkerhedspolitikker og bestræbelser på, at forbedre den fysiske IT-sikkerhed. Alvoren bør være tydelig for enhver, da cirka 80% af alle forsøg på indbrud sker fra virksomhedens interne netværk. Problemet er selvsagt også tilstede, hvor flere i husstanden anvender samme pc – med forskellige rettigheder (far-søn problematikken). Det vil ikke kræve meget for sønnike, at lave en ændring på rettighederne i systemet og dermed placere sig øverst i den digitale fødekæde.
Peter Kruse
EuroTrust Virus112
Kilde:
http://www.briansbuzz.com/w/030213/
----------------------------------------------------------------------
Derfor skal sikkerhedsprodukter også opdateres - 12-02-2003
----------------------------------------------------------------------
Sårbarheder kan optræde i alle typer software - også i software, som er skrevet med det formål, at beskytte din PC eller netværk mod hackere og ondsindet kode. Desværre er det ikke atypisk, at sårbarheder optræder i sikkerhedsapplikationer. Et kig tilbage i tiden tydeliggør, at netop sikkerhedssoftware også kan misbruges til at kompromittere sikkerheden.
Ja, faktisk findes der næppe et eneste sikkerhedsprodukt, som ikke på et eller andet tidspunkt, har været omfattet af en mere eller mindre alvorlig fejl. Dermed bør det stå klart for enhver, at også sikkerhedssoftware bør opdateres hyppigt.
I løbet af indeværende uge er to nye sårbarheder blevet offentliggjort. Der er ikke tale om alvorlige sårbarheder, men dog eksempler på, at sikkerhedssoftware kan designes med fejl.
Den første sårbarhed, og for så vidt den mest alvorlige, omfatter NOD32 Antivirus til Unix. Produktet NOD32 til Unix vedligeholdes af Eset og er en open source applikation, som kan køre under Linux, FreeBSD, OpenBSD og NetBSD. Der er her tale om et klassisk buffer overflow i antivirus-softwaren, som kan misbruges af en hacker til at afvikle kode lokalt med superbruger-privilegier.
Den anden sårbarhed, som netop er blevet offentliggjort, omfatter faktisk tre sårbarheder i Kaspersky Antivirus, herunder sårbarhed for et Denial of Service angreb, som med stor effekt, kan få produktet til at stoppe med at svare. Ved at misbruge denne teknik kan en ondsindet person lukke for antivirus-softwaren og efterfølgende afsende virus til maskinen. Denne kode vil ikke blive detekteret af antivirus-programmet.
Den anden sårbarhed kan misbruges til at smule virus forbi antivirus-scanneren og gemme ondsindet kode i en NTFS fil. Proof of concept kode er offentliggjort af 3APA3A fra Security.nnov. På deres hjemmeside
http://www.security.nnov.ru/ kan man se et praktisk eksempel på, hvordan potentiel kode kan smugles forbi Kaspersky Antivirus' forsvar.
Peter Kruse
EuroTrust Virus112
----------------------------------------------------------------------
Valentins hilsen indeholder Adware - 12-02-2003
----------------------------------------------------------------------
I øjeblikket sendes der mange e-mails med Valentins hilsner, men en af dem indeholder Adware, som er et stykke software, der viser reklamer på brugerens system.
Hvis brugeren klikker på et link i e-mailen, vil der blive vist en Macromedia Flash præsentation, der ser ud til at være fra en hemmelig beundrer. Mens den vises bliver der i baggrunden hentet et program, som installerer Adware på brugerens pc. Hvis dette program først er blevet installeret, vil der blive vist reklame på den pågældende pc, hver gang pc'en tændes. Reklamerne vises enten i et pop-up vindue eller i en reklame-bar.
Dette kan være til stor gene, hvis brugeren ikke er klar over, at der er blevet installeret et program og blot tror han har åbnet en uskadelig Valentins hilsen.
Nogle antivirus-producenter klassificerer alle programmer, der kan installeres og som ikke har en "end user license agreement" (EULA), som skadelig kode. Adware hører ind under denne kategori, og derfor er der nogle, som mener at Adware er virus.
E-mailen, der ankommer ser følgende ud:
Fra: cupid@valentines-ecard.com
Tekst:
CLICK HERE TO DOWNLOAD YOUR CARD
You have been sent a Valentines card from
Secret admirer. Please click the link below
to view it. You will require flash to view it properly.
Beskeden linker til en eksekverbar fil med navnet "card.exe". Hvis man klikker på dette vil Flash præsentationen blive vist og den eksekverbare fil vil kopiere følgende filer ned på harddisken:
%Program mappen%Valintines Day CardValintines Day Carduninstall.exe
%Program mappen%Valintines Day CardValintines Day Cardvalsday.exe
%Start MenuProgrammer%Valintines Day CardUninstall.lnk
%Start MenuProgrammer%Valintines Day CardValintines Day Card.lnk
%System mappen%HmePge.dll
%System mappen%HotLink.dll
%System mappen%IEBrw.dll
Dette Adware kan afinstalleres i Tilføj/Fjern programmer i Kontrolpanelet.
Det er dog ikke alt Adware eller Spyware, der er lige til at opdage eller lige til at afinstallere. Der findes derfor software, der kan fjerne Adware og Spyware. For eksempel kan man downloade programmet Ad-aware, som kan fjerne disse irriterende programmer. Ad-aware kan downloades fra følgende link:
http://www.lavasoftusa.com/
Såfremt du er i tvivl, om du har virus på din computer, kan du med fordel scanne den gratis på
http://www.virus112.com/index.php?page=online_virusscan
Martin Rhodin
EuroTrust Virus112 A/S
**********************************************************************
Eurotrust Virus112 A/S beskæftiger sig med virusovervågning globalt. Når nye vira
opspores, bliver virusen analyseret af vores virusteknikere. Spreder virusen
sig til det skandinaviske område, advares vore kunder og de modtager hjælp
til problemløsning. Eurotrust Virus112 A/S er repræsenteret i Danmark, Norge og
Sverige.
Spørgsmål vedrørende Eurotrust Virus112's sikkerhedsløsninger kan ske ved
henvendelse på servicetelefon +45 33 329 112 eller via e-mail
info@virus112.com
Website :
www.virus112.com