Cacing ini hanya ingin sembuh

Isi

• Cacing Ini Hanya Ingin Sembuh
• Ancaman Top W32 / Nachi.B-worm
• 10 Virus Email Terbaik
• 5 Kerentanan Teratas
• Tip Keamanan
• Pembaruan Keamanan Windows
• Jargon Buster
• Umpan Security Watch Story

Cacing Ini Hanya Ingin Sembuh

Kami pertama kali menyaksikan ledakan MyDoom.A, dan serangan Denial of Service berikutnya yang mengambil situs web Operasi Santa Cruz (sco.com) selama dua minggu. Kemudian muncul MyDoom.B, yang menambahkan Microsoft.com sebagai target serangan DoS. Sementara MyDoom.A lepas landas dengan sepenuh hati, MyDoom.B, seperti film "B", tak berguna. Menurut Mark Sunner CTO di MessageLabs, MyDoom.B memiliki bug dalam kode yang menyebabkannya hanya berhasil dalam serangan SCO 70% dari waktu, dan 0% ketika menyerang Microsoft. Dia juga mengatakan bahwa ada "lebih banyak kesempatan untuk membaca tentang MyDoom.B, daripada menangkapnya."

Minggu terakhir ini kita telah melihat ledakan virus yang mengendarai mantel MyDoom. Keberhasilan pengambilalihan ratusan ribu mesin. Yang pertama muncul adalah Doomjuice.A (juga disebut MyDoom.C). Doomjuice.A, bukan virus email lain, tetapi mengambil keuntungan dari pintu belakang yang dibuka MyDoom.A pada mesin yang terinfeksi. Doomjuice akan mengunduh ke mesin yang terinfeksi MyDoom, dan seperti MyDoom.B, instal dan coba lakukan serangan DoS di Microsoft.com. Menurut Microsoft, serangan itu tidak berdampak buruk pada mereka pada tanggal 9 dan 10, meskipun NetCraft mencatat bahwa situs Microsoft tidak dapat dijangkau pada satu titik.

Para ahli antivirus percaya bahwa Doomjuice adalah karya penulis yang sama (s) dari MyDoom, karena itu juga menjatuhkan salinan sumber MyDoom asli pada mesin korban. Menurut siaran pers dari F-secure, ini mungkin cara bagi penulis untuk menutupi jejak mereka. Ini juga merilis file kode sumber yang berfungsi untuk penulis virus lain untuk menggunakan atau memodifikasi. Jadi MyDoom.A dan MyDoom.B, seperti Microsoft Windows dan Office sendiri, kini telah menjadi platform bagi penyebaran virus lain. Dalam minggu terakhir kita telah melihat kemunculan W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom - varian Trojan Proxy-Mitglieter, W32 / Deadhat.A, dan W32 / Deadhat.B, semua memasuki pintu belakang MyDoom. Vesser.worm / DeadHat.B, juga menggunakan jaringan berbagi file P2P SoulSeek.

Pada 12 Februari, W32 / Nachi.B.worm ditemukan. Seperti pendahulunya, W32 / Nachi.A.worm (juga dikenal sebagai Welchia), Nachi.B menyebar dengan mengeksploitasi kerentanan RPC / DCOM dan WebDAV. Saat masih berupa virus / worm, Nachi.B berupaya menghapus MyDoom dan menutup kerentanan. Pada hari Jumat, 13 Februari, Nachi.B berhasil mencapai posisi # 2 pada beberapa daftar ancaman vendor (Trend, McAfee). Karena tidak menggunakan email, itu tidak akan muncul di daftar sepuluh besar email virus MessageLabs kami. Mencegah infeksi Nachi.B sama dengan untuk Nachi.A, terapkan semua tambalan Keamanan Windows saat ini untuk menutup kerentanan. Lihat Ancaman Top kami untuk informasi lebih lanjut.

Pada hari Jumat 13 Februari, kami melihat tombak MyDoom lain, W32 / DoomHunt.A. Virus ini menggunakan backdoor MyDoom.A, dan mematikan proses dan menghapus kunci registri yang terkait dengan targetnya. Tidak seperti Nachi.B, yang bekerja dengan tenang di latar belakang, DoomHunt.A memunculkan kotak dialog yang menyatakan "MyDoom Removal Worm (DDOS the RIAA)". Menginstal dirinya di folder Sistem Windows sebagai Worm.exe yang jelas, dan menambahkan kunci registri dengan nilai "Delete Me" = "worm.exe". Penghapusan sama dengan worm apa pun, hentikan proses worm.exe, pindai dengan antivirus, hapus file Worm.exe dan semua file terkait, dan hapus kunci registri. Tentu saja, pastikan Anda memperbarui mesin Anda dengan patch keamanan terbaru.

Meskipun tidak ada cara untuk mengetahui secara pasti, perkiraan berkisar dari 50.000 hingga setinggi 400.000 mesin MyDoom.A yang terinfeksi secara aktif. Doomjuice hanya bisa menyebar dengan mengakses pintu belakang MyDoom, sehingga pengguna yang tidak terinfeksi tidak berisiko, dan ketika infeksi dibersihkan, bidang mesin yang tersedia akan turun. Namun, satu bahaya adalah bahwa sementara MyDoom.A dijadwalkan untuk menghentikan serangan DoS pada 12 Februari, Doomjuice tidak memiliki batas waktu. Minggu lalu kami menyebutkan melihat ledakan MyDoom.A dibuka pada animasi Flash MessageLabs, dan berjanji untuk mendapatkannya untuk dilihat semua orang. Ini dia.

Microsoft mengumumkan tiga kerentanan lagi dan merilis tambalan minggu ini. Dua adalah prioritas tingkat penting, dan satu adalah tingkat kritis. Kerentanan teratas melibatkan pustaka kode di Windows yang merupakan pusat untuk mengamankan aplikasi web dan lokal. Untuk informasi lebih lanjut tentang kerentanan, implikasinya dan apa yang perlu Anda lakukan, lihat laporan khusus kami. Dua kerentanan lainnya melibatkan layanan Windows Internet Naming Service (WINS), dan yang lainnya adalah dalam versi Mac dari Virtual PC. Lihat bagian Pembaruan Keamanan Windows kami untuk informasi lebih lanjut.

Jika terlihat seperti bebek, berjalan seperti bebek, dan dukun seperti bebek, apakah itu bebek, atau virus? Mungkin, mungkin tidak, tetapi AOL memperingatkan (Gambar 1) pengguna untuk tidak mengklik pesan yang dikirim melalui Instant Messenger minggu lalu.

Pesan tersebut berisi tautan yang memasang game, baik Capture Saddam atau Night Rapter, tergantung pada versi pesannya (Gambar 2). Gim ini termasuk BuddyLinks, teknologi seperti virus yang secara otomatis mengirim salinan pesan kepada semua orang di daftar teman Anda. Teknologi ini melakukan pemasaran viral dengan kampanye pesan otomatisnya, dan mengirimkan iklan kepada Anda dan mungkin membajak (mengarahkan ulang) browser Anda. Pada hari Jumat, baik situs web permainan (www.wgutv.com) dan situs Buddylinks (www.buddylinks.net) turun, dan perusahaan Buddylinks yang berbasis di Cambridge tidak membalas panggilan telepon.

Pembaruan: Minggu lalu kami memberi tahu Anda tentang situs web Do Not Email palsu, yang berjanji untuk memotong spam, tetapi sebenarnya adalah kolektor alamat email untuk pengirim spam. Minggu ini, sebuah cerita Reuters melaporkan bahwa komisi Perdagangan Federal AS memperingatkan, "Konsumen tidak boleh mengirimkan alamat email mereka ke situs Web yang berjanji untuk mengurangi" spam "yang tidak diinginkan karena itu adalah penipuan". Artikel ini melanjutkan dengan menggambarkan situs, dan merekomendasikan, seperti yang telah kami lakukan, untuk "menyimpan informasi pribadi Anda sendiri - termasuk alamat email Anda - kecuali Anda tahu dengan siapa Anda berurusan."

Pada Kamis 12 Februari, Microsoft menemukan bahwa beberapa kode sumbernya beredar di web. Mereka melacaknya ke MainSoft, sebuah perusahaan yang membuat antarmuka Windows-ke-Unix untuk pemrogram aplikasi Unix. MainSoft telah melisensikan kode sumber Windows 2000, khususnya bagian yang berkaitan dengan API (antarmuka program aplikasi) Windows. Menurut kisah eWeek, kodenya tidak lengkap atau dapat dikompilasi. Sementara Windows API diterbitkan dengan baik, kode sumber yang mendasarinya tidak. API adalah kumpulan fungsi kode dan rutinitas yang menjalankan tugas menjalankan Windows, seperti meletakkan tombol di layar, melakukan keamanan, atau menulis file ke hard disk. Banyak kerentanan di Windows berasal dari buffer yang tidak dicentang dan parameter ke fungsi-fungsi ini. Seringkali kerentanan melibatkan pengiriman pesan atau parameter yang dibuat khusus untuk fungsi-fungsi ini, menyebabkan mereka gagal dan membuka sistem untuk dieksploitasi. Karena banyak kode Windows 2000 juga tergabung dalam Windows XP dan Windows 2003 server, memiliki kode sumber memungkinkan penulis virus dan pengguna jahat untuk lebih mudah menemukan lubang dalam rutinitas tertentu dan mengeksploitasi mereka. Sementara kerentanan biasanya diidentifikasi oleh Microsoft atau sumber pihak ke-3 sebelum dipublikasikan, memberikan waktu untuk mengeluarkan tambalan, hal ini dapat membalikkan prosedur itu, menempatkan peretas dalam posisi menemukan dan mengeksploitasi kerentanan sebelum Microsoft menemukan dan menambalnya.