Bu kurt sadece iyileşmek istiyor

içindekiler

• Bu kurt sadece iyileşmek istiyor
• En Büyük Tehdit W32 / Nachi.B-solucan
• En İyi 10 E-Posta Virüsü
• En İyi 5 Güvenlik Açığı
• Güvenlik İpucu
• Windows Güvenlik Güncelleştirmeleri
• Jargon Buster
• Güvenlik İzleme Hikayesi Yayını

Bu kurt sadece iyileşmek istiyor

İlk önce MyDoom.A patlamasına ve ardından Santa Cruz Operasyonu (sco.com) web sitesini iki hafta süren Hizmet Reddi saldırısına tanık olduk. Ardından Microsoft.com'u DoS saldırısının hedefi olarak ekleyen MyDoom.B geldi. MyDoom.A bir intikam ile yola çıkarken, "B" filmi gibi MyDoom.B bir aptaldı. MessageLabs’daki Mark Sunner CTO’ya göre, MyDoom.B kodda sadece zamanın% 70’inde ve Microsoft’a saldırırken% 0’lık bir saldırıda başarılı olmasına neden olan hatalar yaptı. Ayrıca “MyDoom.B hakkında okuma şansı yakalamadan daha fazla şans olduğunu” söyledi.

Geçtiğimiz hafta MyDoom'un kuyruklarına binen bir virüs patlaması gördük. Yüzlerce makineyi başarılı bir şekilde ele geçirdik. Sahneyi vuran ilk kişi Doomjuice.A idi (ayrıca MyDoom.C olarak da bilinir). Doomjuice.A, başka bir e-posta virüsü değildi, ancak virüslü makinelerde MyDoom.A'nın açtığı bir arka kapıdan faydalandı. Doomjuice, MyDoom virüslü bir makineye indirir ve MyDoom.B gibi, Microsoft.com’a bir DoS saldırısı kurar ve gerçekleştirmeye çalışır. Microsoft’a göre, 9. ve 10.’larda saldırı onları olumsuz yönde etkilemedi, ancak NetCraft Microsoft sitesinin bir noktada erişilemediğini kaydetti.

Antivirüs uzmanları, Doomjuice'in aynı MyDoom yazarlarının eseri olduğuna inanıyor, çünkü aynı zamanda orijinal MyDoom kaynağının bir kopyasını kurban makinesinde bırakıyor. F-secure'den yapılan bir basın açıklamasına göre, bu yazarların izlerini örtmeleri için bir yol olabilir. Ayrıca, çalışan bir kaynak kod dosyasını, kullanmak veya değiştirmek için diğer virüs yazarlarına sunar. Böylece, MyDoom.A ve MyDoom.B, Microsoft Windows ve Office'in kendileri gibi, artık diğer virüslerin yayılması için bir platform haline geldi. Geçen hafta içinde, W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, suistimal-MyDoom'un ortaya çıktığını gördük., W32 / Deadhat.A ve W32 / Deadhat.B, hepsi MyDoom'un arka kapısına giriyor. Vesser.worm / DeadHat.B, ayrıca SoulSeek P2P dosya paylaşım ağını kullanır.

12 Şubat'ta, W32 / Nachi.B.worm keşfedildi. Selefi gibi, W32 / Nachi.A.worm (Welchia olarak da bilinir), Nachi.B, RPC / DCOM ve WebDAV açıklarını kullanarak yayılır. Hala bir virüs / solucan olsa da, Nachi.B MyDoom'u kaldırmaya ve güvenlik açıklarını kapatmaya çalışıyor. 13 Şubat Cuma günü, Nachi.B birkaç satıcının tehdit listesinde (Trend, McAfee) 2. sırada yer aldı. E-posta kullanmadığından, MessageLabs'in ilk on e-posta virüs listesinde görünmez. Nachi.B enfeksiyonunu önlemek, Nachi.A ile aynıdır, açıkları kapatmak için mevcut tüm Windows Güvenlik düzeltme eklerini uygulayın. Daha fazla bilgi için En İyi Tehditimize bakınız.

13 Şubat Cuma günü, başka bir MyDoom zıpkını olan W32 / DoomHunt.A'yı gördük. Bu virüs MyDoom.A arka kapısını kullanır ve işlemleri kapatır ve hedefi ile ilişkili kayıt defteri anahtarlarını siler. Arka planda sessizce çalışan Nachi.B'den farklı olarak DoomHunt.A, "MyDoom Removal Worm (DDOS the RIAA)" adlı bir iletişim kutusu açar. Kendisini açık bir Worm.exe olarak Windows Sistem klasörüne yükler ve "Delete Me" = "worm.exe" değerine sahip bir kayıt defteri anahtarı ekler. Kaldırma işlemi solucanlarla aynıdır, solucan.exe işlemini durdurun, virüsten koruma yazılımıyla tarayın, Solucan.exe dosyasını ve ilişkili dosyaları silin ve kayıt defteri anahtarını kaldırın. Elbette, makinenizi en son güvenlik yamalarıyla güncellediğinizden emin olun.

Tam olarak bilmenin bir yolu olmamakla birlikte, tahminler 50.000 ila 400.000 kadar aktif MyDoom.A makinesine bulaşmış. Doomjuice sadece MyDoom'un arka kapısına erişerek çoğalabiliyordu, bu nedenle enfekte olmayan kullanıcılar risk altında değildi ve enfeksiyonlar temizlenirken mevcut makinelerin alanı düşecekti. Bununla birlikte, tek tehlike MyDoom.A’nın DoS saldırılarını 12 Şubat’ta durdurması planlanırken, Doomjuice’in zaman aşımına uğramaması. Geçen hafta MyDoom.A patlamasının bir MessageLabs Flash animasyonunda ortaya çıktığını ve bundan herkesin görmesi için söz verdiğini belirttik. İşte burada .

Microsoft bu hafta üç güvenlik açığı daha duyurdu ve yamalar yayınladı. İkisi önemli seviye önceliği, biri kritik seviyedir. Bu güvenlik açığı, Windows'ta web ve yerel uygulamaları korumak için merkezi bir kod kitaplığı içerir. Güvenlik açığı, etkileri ve yapmanız gerekenler hakkında daha fazla bilgi için özel raporumuza bakın. Diğer iki güvenlik açığı, Windows Internet Adlandırma Hizmeti (WINS) hizmetini içerir, diğeri ise Virtual PC'nin Mac sürümündedir. Daha fazla bilgi için Windows Güvenlik Güncelleştirmeleri bölümüne bakın.

Ördek gibi gözüküyorsa, ördek gibi yürüyor ve ördek gibi atlıyorsa, ördek mi yoksa virüs mü? Belki, belki de değil, ama AOL (Şekil 1) kullanıcıları geçen hafta Instant Messenger ile tur atma mesajını tıklamamaları konusunda uyarıyordu.

Mesaj, oyunun versiyonuna bağlı olarak, Saddam veya Gece Rapçi gibi bir oyun yükleyen bir bağlantı içeriyordu (Şekil 2). Oyun, mesajın kopyalarını otomatik olarak arkadaş listenizdeki herkese gönderen virüs benzeri bir teknoloji olan BuddyLinks'i içeriyordu. Teknoloji, otomatik mesaj kampanyasıyla hem viral pazarlamayı gerçekleştirir, hem de size reklam gönderir ve tarayıcınızı havaya uçurabilir (yeniden yönlendirebilir). Cuma günü itibariyle hem oyun sitesi (www.wgutv.com) hem de Buddylinks sitesi (www.buddylinks.net) kapalıydı ve Cambridge merkezli Buddylinks şirketi telefon görüşmelerine cevap vermiyordu.

Güncelleme: Geçen hafta, spamı kesmeyi vaat eden sahte bir e-posta göndermeyin web sitesinden bahsettik, ama aslında spam gönderenler için bir e-posta adresi toplayıcısıydı. Bu hafta, bir Reuters hikayesi, ABD Federal Ticaret komisyonunun "Tüketiciler e-posta adreslerini hileli olduğu için istenmeyen" spam "ı azaltmayı vaat eden bir Web sitesine göndermemeleri gerektiğini" uyardığını bildirdi. Bu makale, siteyi tanımlamaya devam ediyor ve olduğu gibi, "kiminle uğraştığınızı bilmiyorsanız kişisel bilgilerinizi kendinize - e-posta adresinizi de içeren - saklamanızı" tavsiye ediyor.

12 Şubat Perşembe günü Microsoft, bazı kaynak kodlarının web’de dolaştığını öğrendi. Unix uygulama programcıları için Windows-Unix arayüzü yapan bir şirket olan MainSoft'u takip ettiler. MainSoft, Windows 2000 kaynak kodunu, özellikle de Windows'un API (uygulama programı arayüzü) ile ilgili olan kısmını lisanslıyor. Bir eWeek hikayesine göre, kod tamamlanmadı veya derlenmedi. Windows API iyi yayımlanmış olsa da, temel kaynak kodu değil. API, ekranda düğmelere basmak, güvenlik yapmak veya sabit diske dosya yazmak gibi Windows çalıştırma görevlerini yerine getiren bir kod işlevleri ve yordamları topluluğudur. Windows'daki güvenlik açıklarının çoğu, denetlenmeyen arabelleklerden ve bu işlevlerin parametrelerinden kaynaklanmaktadır. Genellikle güvenlik açıkları, özel hazırlanmış mesajların veya parametrelerin bu işlevlere aktarılmasını, sistemin başarısız olmasına ve sistemin sömürülmesine açılmasına neden olur. Windows 2000 kodunun çoğu, Windows XP ve Windows 2003 sunucusunda da bulunduğundan, kaynak kodun olması, virüs yazarlarının ve kötü niyetli kullanıcıların belirli yordamlarda daha kolay delikler bulmasına ve bunları kullanmasına izin verebilir. Güvenlik açıkları genel olarak Microsoft veya 3. taraf kaynaklar tarafından kamuya duyurulmadan önce tanımlanıp, yama yayınlama zamanını verirken, bu prosedür, Microsoft korsanları Microsoft onları bulup yamalamadan önce güvenlik açıklarını keşfetme ve kullanma konumuna getirerek başını açabilir.