Worm van de toekomst ontdekt
De Spaanse anti-virusbestrijder Panda Software waarschuwt internetgebruikers voor een nieuw soort worm dat het ontdekt heeft. Eyeveg.d (die ook bekend staat als Bugbear.b en Lanieca.b) is een hybride worm die zich verspreidt als een worm, maar een Trojaans paard-achtige aanval op de computer uitvoert. Een worm van de toekomst, aldus Panda Software, aangezien virusschrijvers de mogelijkheden en diversiteit van hun creaties steeds vaker aan het uitbreiden zijn.
Eyeveg.d infecteert een PC via een willekeurig .exe bestand. Is de PC besmet, dan wordt het Trojaans paard component actief, en installeert het een .dll bestand die toetsaanslagen opslaat, en zo logingegevens en andere vertrouwelijke informatie kan stelen. Tevens is Eyeveg.d voorzien van een backdoor component, waardoor een remote aanvaller volledige controle over de machine heeft. De verspreiding van de worm valt mee, maar zoals laatst bekend werd, zijn virusschrijvers juist uit op een beperkt aantal geinfecteerde hosts en speelt het aantal besmette machines geen belangrijke rol meer.
http://www.pandasoftware.com/about/press/viewNews.aspx?noticia=6264&ver=21
Eyeveg.D’s Trojan actions start by loading the DLL file as a ‘plugin’ (or additional component) of the browser, by taking advantage of one of its features.
** welke browser ?
This malicious code tries to connect to a certain URL, disabling the Windows XP firewall if necessary.
** knappe Firewall dan. doet de virus het met andere firewalls ook?
> the browser
> ** welke browser ?
In Panda's verhaal zijn mogelijk 2 woorden weggevallen: "to
avoid". Zie
http://www.sarc.com/avcenter/venc/data/w32.lanieca.b@mm.html
"Creates the following registry subkeys, so that it's
browser helper object is loaded on startup". Om discussie te
voorkomen: Firefox kent ook plugins.
> disabling the Windows XP firewall if necessary.
> ** knappe Firewall dan
Elke code die je als lid van Administrators start,
tenzij dat in een waterdichte "sandbox" gebeurt, kan
alles op je systeem (dat is by design en zo
hoort het ook). Inclusief elke personal firewall de
nek omdraaien, je antivirus (deels) uitschakelen, je schijf
wissen en patches draaien, tot en met je besturingssysteem
geheel vervangen :)
Als je slechts lid bent van de groep "Users" is dat door
privilege escalation truuks vaak ook wel mogelijk, maar
omdat uitsluitend security-minded mensen zo werken (of een
BOFH* sysadmin hebben) ben je (A) een ongewenste doelgroep
(mede omdat dit irritante type malware herkent en
vaak doorstuurt naar Panda et al) en (B) het volstrekt
overbodig is om vervelende privilege escalation code te
schrijven omdat de overgrote meerderheid van gebruikers toch
al admin is.
Die zich bovendien steeds vaker half werkende security
software aan laten praten met een niet vooruit te branden PC
en een lege portemonnee als gevolg. Notabene vaak software
die niet eens (goed) werkt als je geen lid bent van
Administrators. Gemaakt door bedrijven die gebaat zijn bij
FUD* zoals Panda. (N.B. ik weet niet of Panda AV niet goed
werkt c.q niet goed te updaten is als je geen lid bent van
Administrators).
Ander voorbeeld. Toevallig (?) is SecurityFocus van
Symantec, maar als "security professionals" dit soort
wartaal gaan schijven begrijp ik dat gewone gebruikers het
spoor kwijt raken:
http://www.theregister.co.uk/2005/05/25/deleting_spyware/
Published Wednesday 25th May 2005 14:41 GMT
[color=red]Analysis[/color] On my computer right now I have
three anti-spyware programs, three anti-virus programs, and
three anti-spam programs, together with a hardware and
software firewall, an IPsec VPN, and data level encryption
on certain files (and no, this is not intended to be an
invitation for you to try to test my security.)
Deze combinatie gebruikt op een doorsnee PC zoveel geheugen
en CPU resources dat malware (en Word) waarschijnlijk niet
verder komt dan een "Out of memory" melding, waarmee het
effectief wordt geblokkeerd; ook als deze zo nieuw is
dat hij nog door geen enkele van de anti-malware producten
wordt herkend. Hetgeen er met zo'n combo dik in zit, omdat
die elkaar ongetwijfeld in de weg zitten. Iets wat door een
leek en zelfs door een security professional moeilijk is
vast te stellen, omdat dit per geval kan verschillen.
Erik van Straten
*FUD = Fear, Uncertainty and Doubt
*BOFH = Bastard Operator From Hell (we love FUD)
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.