สารบัญ:
วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (กันยายน 2024)
สารบัญ
- หนอนตัวนี้ต้องการรักษาเท่านั้น
- ภัยคุกคามบน W32 / Nachi.B-worm
- ไวรัสอีเมล 10 อันดับแรก
- ช่องโหว่ 5 อันดับแรก
- เคล็ดลับความปลอดภัย
- การปรับปรุงความปลอดภัยของ Windows
- Buster Jargon
- Security Watch Story Feed
หนอนตัวนี้ต้องการรักษาเท่านั้น
ก่อนอื่นเราได้เห็นการระเบิดของ MyDoom.A และการโจมตี Denial of Service ที่ตามมาซึ่งนำเว็บไซต์ Santa Cruz Operation (sco.com) ออกมาเป็นเวลาสองสัปดาห์ จากนั้นตามมา MyDoom.B ซึ่งเพิ่ม Microsoft.com เป็นเป้าหมายของการโจมตี DoS ในขณะที่ MyDoom.A ออกมาพร้อมกับการล้างแค้น MyDoom.B เช่นภาพยนตร์ "B" เป็นคนโง่ อ้างอิงจาก Mark Sunner CTO ที่ MessageLabs MyDoom.B มีข้อบกพร่องในโค้ดที่ทำให้ประสบความสำเร็จในการโจมตี SCO 70% ของเวลาและ 0% เมื่อโจมตี Microsoft นอกจากนี้เขายังกล่าวว่ามี "โอกาสในการอ่านเกี่ยวกับ MyDoom.B มากกว่าการจับมัน"
สัปดาห์ที่ผ่านมาเราได้เห็นการระเบิดของไวรัสบนเสื้อคลุมของ MyDoom.A ที่ประสบความสำเร็จในการครอบครองเครื่องจักรหลายแสนเครื่อง ฉากแรกที่เข้าฉากคือ Doomjuice.A (เรียกอีกอย่างว่า MyDoom.C) Doomjuice.A ไม่ใช่ไวรัสอีเมลตัวอื่น แต่ใช้ประโยชน์จากแบ็คดอร์ที่ MyDoom.A เปิดในเครื่องที่ติดไวรัส Doomjuice จะดาวน์โหลดไปยังเครื่องที่ติดเชื้อ MyDoom และเช่น MyDoom.B ให้ติดตั้งและพยายามทำการโจมตี DoS บน Microsoft.com จากการรายงานของ Microsoft พบว่าการโจมตีไม่ได้ส่งผลเสียต่อพวกเขาในช่วงวันที่ 9 และ 10 แต่ NetCraft บันทึกว่าเว็บไซต์ Microsoft นั้นไม่สามารถเข้าถึงได้ในจุดหนึ่ง
ผู้เชี่ยวชาญด้านการป้องกันไวรัสเชื่อว่า Doomjuice เป็นผลงานของผู้เขียนคนเดียวกันของ MyDoom เพราะมันยังทำสำเนาต้นฉบับของ MyDoom บนเครื่องของเหยื่อ ตามข่าวประชาสัมพันธ์จาก F-secure นี่อาจเป็นวิธีที่ผู้เขียนจะครอบคลุมเพลงของพวกเขา นอกจากนี้ยังเผยแพร่ไฟล์ซอร์สโค้ดที่ใช้งานได้กับผู้เขียนโปรแกรมไวรัสคนอื่นเพื่อใช้หรือแก้ไข ดังนั้น MyDoom.A และ MyDoom.B เช่น Microsoft Windows และ Office เองได้กลายเป็นแพลตฟอร์มสำหรับไวรัสอื่น ๆ เพื่อเผยแพร่ ภายในสัปดาห์ที่แล้วเราได้เห็นการเกิดขึ้นของ W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom - ตัวแปรโทรจันของ Proxy-Mitglieter, W32 / Deadhat.A และ W32 / Deadhat.B ทั้งหมดเข้าสู่ MyDoom's backdoor Vesser.worm / DeadHat.B ยังใช้เครือข่ายการแชร์ไฟล์ SoulSeek P2P
ในวันที่ 12 ก.พ. W32 / Nachi.B.worm ถูกค้นพบ เช่นเดียวกับบรรพบุรุษของมัน W32 / Nachi.A.worm (หรือที่รู้จักกันในชื่อ Welchia) Nachi.B แพร่กระจายโดยหาช่องโหว่ของ RPC / DCOM และ WebDAV ในขณะที่ยังคงเป็นไวรัส / หนอน Nachi.B พยายามที่จะลบ MyDoom และปิดช่องโหว่ ภายในวันศุกร์ที่ 13 กุมภาพันธ์ Nachi.B ได้ขึ้นสู่อันดับที่ 2 ในรายการภัยคุกคามของผู้ขายสองราย (Trend, McAfee) เพราะมันไม่ได้ใช้อีเมลมันจะไม่ปรากฏในรายชื่อไวรัสสิบอันดับแรกของ MessageLabs การป้องกันการติดไวรัส Nachi.B นั้นเหมือนกับของ Nachi.A ให้ใช้โปรแกรมแก้ไขความปลอดภัย Windows ปัจจุบันทั้งหมดเพื่อปิดช่องโหว่ ดูภัยคุกคามสูงสุดของเราสำหรับข้อมูลเพิ่มเติม
ในวันศุกร์ที่ 13 กุมภาพันธ์เราได้เห็น MyDoom harpoon, W32 / DoomHunt.A ไวรัสนี้ใช้ MyDoom.A ลับๆและปิดกระบวนการและลบรีจิสตรีคีย์ที่เกี่ยวข้องกับเป้าหมาย ซึ่งแตกต่างจาก Nachi.B ซึ่งทำงานอย่างเงียบ ๆ ในพื้นหลัง DoomHunt.A จะปรากฏกล่องโต้ตอบเพื่อประกาศ "MyDoom Removal Worm (DDOS the RIAA)" มันติดตั้งตัวเองในโฟลเดอร์ระบบ Windows เป็น Worm.exe ที่เห็นได้ชัดและเพิ่มรีจิสตรีคีย์ด้วยค่า "Delete Me" = "worm.exe" การลบเหมือนกับเวิร์มใด ๆ หยุดกระบวนการ Worm.exe สแกนด้วยแอนติไวรัสลบไฟล์ Worm.exe และไฟล์ที่เกี่ยวข้องและลบรีจิสตรีคีย์ แน่นอนให้แน่ใจว่าคุณอัพเดตเครื่องด้วยแพตช์รักษาความปลอดภัยล่าสุด
ไมโครซอฟท์ประกาศช่องโหว่เพิ่มอีกสามช่องและปล่อยแพทช์ในสัปดาห์นี้ ทั้งสองมีความสำคัญระดับความสำคัญและหนึ่งคือระดับความสำคัญ ช่องโหว่ด้านบนเกี่ยวข้องกับห้องสมุดรหัสใน Windows ซึ่งเป็นศูนย์กลางในการรักษาความปลอดภัยของเว็บและแอปพลิเคชันในท้องถิ่น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ความหมายและสิ่งที่คุณต้องทำโปรดดูรายงานพิเศษของเรา ช่องโหว่อีกสองช่องโหว่นั้นเกี่ยวข้องกับบริการ Windows Internet Naming Service (WINS) และอีกช่องโหว่อยู่ใน Virtual PC เวอร์ชัน Mac ดูส่วนการปรับปรุงความปลอดภัยของ Windows ของเราสำหรับข้อมูลเพิ่มเติม
ถ้ามันดูเหมือนเป็ดเดินเหมือนเป็ดและต้มตุ๋นเหมือนเป็ดมันเป็นเป็ดหรือไวรัส? อาจจะไม่ใช่ แต่ AOL เป็นคำเตือน (รูปที่ 1) ผู้ใช้ไม่ต้องคลิกที่ข้อความที่ทำรอบผ่าน Instant Messenger เมื่อสัปดาห์ที่แล้ว
อัปเดต: เมื่อสัปดาห์ที่แล้วเราได้บอกคุณเกี่ยวกับเว็บไซต์ปลอมที่ห้ามส่งอีเมลโดยสัญญาว่าจะตัดสแปม แต่จริงๆแล้วเป็นตัวรวบรวมที่อยู่อีเมลสำหรับผู้ส่งอีเมลขยะ ในสัปดาห์นี้มีเรื่องของรอยเตอร์รายงานว่าคณะกรรมาธิการการค้าของสหรัฐฯกำลังเตือนว่า "ผู้บริโภคไม่ควรส่งที่อยู่อีเมลไปยังเว็บไซต์ที่สัญญาว่าจะลด" สแปม "ที่ไม่พึงประสงค์เพราะเป็นการหลอกลวง" บทความอธิบายต่อไปเกี่ยวกับเว็บไซต์และแนะนำว่า "เก็บข้อมูลส่วนบุคคลของคุณไว้กับตัวเอง - รวมถึงที่อยู่อีเมลของคุณด้วย - เว้นแต่คุณจะรู้ว่าคุณกำลังติดต่อกับใคร"
ในวันพฤหัสบดีที่ 12 ก.พ. ไมโครซอฟต์ค้นพบว่าซอร์สโค้ดบางส่วนกำลังแพร่กระจายบนเว็บ พวกเขาติดตามไปที่ MainSoft บริษัท ที่สร้างอินเทอร์เฟซ Windows เป็น Unix สำหรับโปรแกรมเมอร์แอปพลิเคชัน Unix MainSoft ได้รับอนุญาตให้ใช้สิทธิซอร์สโค้ดของ Windows 2000 โดยเฉพาะส่วนที่เกี่ยวข้องกับ API (ส่วนต่อประสานโปรแกรมแอปพลิเคชัน) ของ Windows ตามเรื่องราวของ eWeek รหัสไม่สมบูรณ์หรือคอมไพล์ได้ ในขณะที่ Windows API ได้รับการเผยแพร่อย่างดี แต่ซอร์สโค้ดพื้นฐานไม่ได้เป็นเช่นนั้น API คือชุดของฟังก์ชั่นรหัสและรูทีนที่ทำงานของการใช้งาน Windows เช่นการวางปุ่มบนหน้าจอการรักษาความปลอดภัยหรือการเขียนไฟล์ไปยังฮาร์ดดิสก์ ช่องโหว่จำนวนมากใน Windows เกิดขึ้นจากบัฟเฟอร์และพารามิเตอร์ที่ไม่ได้ตรวจสอบจนถึงการทำงานเหล่านี้ บ่อยครั้งที่ช่องโหว่เกี่ยวข้องกับการส่งข้อความหรือพารามิเตอร์ที่ประดิษฐ์ขึ้นเป็นพิเศษไปยังฟังก์ชั่นเหล่านี้ทำให้พวกเขาล้มเหลวและเปิดระบบเพื่อหาช่องโหว่ เนื่องจากส่วนใหญ่ของรหัส Windows 2000 ยังรวมอยู่ในเซิร์ฟเวอร์ Windows XP และ Windows 2003 การมีซอร์สโค้ดอาจทำให้ผู้เขียนไวรัสและผู้ใช้ที่เป็นอันตรายสามารถค้นหาช่องโหว่ในรูทีนที่เฉพาะเจาะจงและใช้ประโยชน์จากมันได้ง่ายขึ้น แม้ว่าโดยทั่วไปแล้วจะมีการระบุช่องโหว่โดย Microsoft หรือแหล่งข้อมูลบุคคลที่สามก่อนที่จะเผยแพร่ต่อสาธารณะให้เวลาในการออกโปรแกรมแก้ไขซึ่งอาจทำให้ขั้นตอนนั้นตกอยู่ในหัวของมันทำให้แฮ็กเกอร์อยู่ในตำแหน่งที่ค้นพบ
