Spammers misbruiken nieuw Windows lek
Het vorige week aangekondigde en gepatchte beveiligingslek in Windows 2000, XP en Server 2003 wordt actief door spammers misbruikt, zo waarschuwen verschillende instanties. Inmiddels zijn er tenminste twee bots in omloop waardoor een aanvaller toegang tot een kwetsbaar Windows 2000 Server systeem krijgt. De gevonden exploits werken niet op Windows XP met Service Pack 2 en Server 2003.
Volgens de LURHQ Threat Intelligence Group gaat het om een variant van de Mocbot. Deze bot verscheen voor het eerst eind 2005 en maakte misbruik van het MS05-039 PNP beveiligingslek. Doordat het een onbetekende IRC bot is heeft de malware nooit veel aandacht van anti-virusaanbieders gekregen.
Dit is mogelijk de reden dat Mocbot nog steeds dezelfde IRC server hostnamen gebruikt als negen maanden geleden. Het enige verschil lijkt dan ook de gebruikte exploit. Deze Mocbot versie kopieert zichzelf naar de systeem directory als het bestand wgareg.exe, en start een NT service om zich tijdens het opstarten als de "Windows Genuine Advantage Registration Service" te laden. Vooralsnog zouden veel virusscanners de malware niet herkennen. (ISC)
of er virusdefinties worden geschreven. Sommige databases
bevatten 70.000 handtekeningen, maar gezien het aantal bots
moet dat eigenlijk een veelvoud zijn.
Als er malware ontdekt wordt, dan is het nog maar de vraag
of er virusdefinties worden geschreven. Sommige databases
bevatten 70.000 handtekeningen, maar gezien het aantal bots
moet dat eigenlijk een veelvoud zijn.
Ik denk het hier niet geheel mee eens te zijn, want de meeste bots zijn
goedkope forks. En vaak is het mogelijk iets te herkennen als "familie van"
Als er malware ontdekt wordt, dan is het nog maar de vraag
of er virusdefinties worden geschreven. Sommige databases
bevatten 70.000 handtekeningen, maar gezien het aantal bots
moet dat eigenlijk een veelvoud zijn.
Je gaat er dan vanuit dat er een een-op-een relatie is tussen varianten en
definities. Dat is gelukkig niet zo. Er staan virus generatoren waarmee
duizenden virussen gegenereerd kunnen worden, maar ze zijn
detecteerbaar met enkele "handtekeningen"/"definities".
De nu bekende varianten van Mocbot met MS06-040 exploit konden al
heuristisch worden gedetecteerd op het moment dat ze geschreven
werden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.