image

Groot gevaar door klein Trojaans paard

maandag 18 juli 2005, 13:13 door Redactie, 14 reacties

Bedrijven moeten oppassen voor een nieuwe Trojaans paard downloader, genaamd Small.bdq. De malware zou naar een selecte groep Europese bedrijven gestuurd zijn, zo waarschuwt security bedrijf BlackSpider. De getroffen bedrijven varieren in grootte en sector. De aanval begon afgelopen vrijdag en zou nog steeds gaande zijn. Het zou 12 uur en 30 minuten geduurd hebben voordat anti-virusaanbieders een update voor de Trojan hadden uitgebracht. Tijdens dit "window of exposure" zouden 58.000 exemplaren verstuurd zijn. In totaal zijn er al meer dan 120.000 exemplaren verstuurd.

De onderwerpen van de Trojan e-mail varieren van: 'Security', 'Support', 'Update', 'Mail', 'Networking' en 'Security Update'. De e-mail beweert van de automatiseringsafdeling afkomstig te zijn en waarschuwt dat het systeem van de gebruiker geinfecteerd is en misbruikt wordt voor het versturen van spam. Begin juli werd een soortgelijke aanval ook al waargenomen.

Onderwerp: "Security alert"
Tekst: Dear user
"Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
If you choose to ignore our request, you leave us no choice but to cancel your membership. Virtually yours, Network Administrator Team."

De bijlage is 2,8KB en bevat een bestandsnaam genaamd "zam.exe". Eenmaal geopend downloadt het bestand andere malware. (VNU)

Reacties (14)
18-07-2005, 13:30 door Anoniem
als je personeel zo debiel is om vandaag de dag nog steeds
.exe files te openen dan zeg ik eigenschuld dikke bult.
18-07-2005, 14:06 door Anoniem
Gisteren heeft onze antivirus-wall er ééntje gevangen,
bestemd voor een klant.
18-07-2005, 14:08 door Acumen
Door Anoniem
als je personeel zo debiel is om vandaag de dag nog steeds
.exe files te openen dan zeg ik eigenschuld dikke bult.

Waarom zou je, als leek, een .exe bestand van je eigen
support afdeling niet openen ?

Ik zou het, als niet leek, veel verdachter vinden dat er
zich een niet standaard ondertekening onder de mail zit i.c.m. een .exe attachment. Voor ons Nederlanders is het daarnaast natuurlijk ook op z'n
minst opmerkelijk als je een in het engels geschreven mail
ontvangt van je eigen support afdeling :-)
18-07-2005, 14:32 door Anoniem
opzich zou je kunnen overwegen om als support afdeling nooit
patches via email te versturen, dan kun je simpel weg zeggen
tegen het personeel dat ze NOOIT exe's enzo moet runnen.
18-07-2005, 14:36 door Frans E
Door Acumen

Ik zou het, als niet leek, veel verdachter vinden dat er
zich een niet standaard ondertekening onder de mail zit i.c.m. een .exe
attachment. Voor ons Nederlanders is het daarnaast natuurlijk ook op z'n
minst opmerkelijk als je een in het engels geschreven mail
ontvangt van je eigen support afdeling :-)

Ook een in het engels opgestelde mail van support is niet zo vreemd.
Bij grote internationale bedrijven is de voertaal vaak engels.

Wat mij meer verbaast is de mailservers die vandaag bij de spamrun
van deze downloader/trojan tussen 8:00 - 13:00 uur voor een groot deel verantwoordlijk waren.

Om er maar eens een paar bekende te noemen:

3 servers van delphi.com
2 servers van compuserve.com
2 servers van icq.com
3 servers van t-online.com
5 servers van earthlink.net
3 servers van bigfoot.com
2 servers van yahoo.com
2 servers van aol.com
3 servers van hotmail.com
13 servers van outblaze.com

Veel van deze providers hebben maatregelen gesteld waaraan
mailservers van anderen moeten voldoen.

Schijnbaar voelen diezelfde providers zich niet verandwoordelijk genoeg
om hun eigen mailservers op orde te brengen
18-07-2005, 14:58 door G-Force
Het verbaast me allemaal niets. Kortgeleden zat ik op een bedrijfsnetwerk,
waarbij ik ontdekte dat van alle patches die uitgegeven zijn na SP1 voor de
browser, niets geïnstalleerd was.

Je kunt je dan afvragen hoe de server is behandeld....

Je kunt je dan afvragen hoe de verdere beveiliging op orde is gebracht....
18-07-2005, 15:31 door Su-Root
WSUS
18-07-2005, 15:45 door rberkers
Yep, WSUS.... we draaien nu nog met SUS hier, maar met WSUS
heb ik straks ook geen omkijken (buiten de normale controles
vanzelfsprekend) naar Office.

Rob.
18-07-2005, 15:49 door rberkers
Door Anoniem
als je personeel zo debiel is om vandaag de dag nog steeds
.exe files te openen dan zeg ik eigenschuld dikke bult.

Ik vind de nogal een beledigende opmerking. Niet iedereen is
een computer expert. Veel mensen die met een computer werken
weten niet eens het verschil tussen een exe en txt. En dat
hoeven ze ook niet....
Een beetje opvoeding helpt, mocht het dan toch nog gebeuren
dat iets "vreemds" (meestal iets onschuldigs) bij hun op een
werkplek terecht komt, krijg ik altijd een telefoontje.
Zij hoeven niets veel computers te weten, zij moeten
verkopen, boekenhouden, brieven schrijven... al die dingen
waar ik weer slecht in ben... bah, ik wil niet eens weten
wat een kruispost is (en ik weet het, dat is al erg genoeg ^^)..
18-07-2005, 17:01 door Anoniem
WSUS is echt super!!!
18-07-2005, 18:34 door [Account Verwijderd]
[Verwijderd]
18-07-2005, 19:18 door Anoniem
.exe .com enz gewoon niet eens laten binnenkomen. Wil je verder dat je
gebruikers niet op .exe klikken dan is het jouw taak om deze mensen hier
op te wijzen.
18-07-2005, 19:24 door Anoniem
Door rberkers
Door Anoniem
als je personeel zo debiel is om vandaag de dag nog steeds
.exe files te openen dan zeg ik eigenschuld dikke bult.

Ik vind de nogal een beledigende opmerking. Niet iedereen is
een computer expert. Veel mensen die met een computer werken
weten niet eens het verschil tussen een exe en txt. En dat
hoeven ze ook niet....
Een beetje opvoeding helpt, mocht het dan toch nog gebeuren
dat iets "vreemds" (meestal iets onschuldigs) bij hun op een
werkplek terecht komt, krijg ik altijd een telefoontje.
Zij hoeven niets veel computers te weten, zij moeten
verkopen, boekenhouden, brieven schrijven... al die dingen
waar ik weer slecht in ben... bah, ik wil niet eens weten
wat een kruispost is (en ik weet het, dat is al erg genoeg
^^)..

OMG, het is nog slechter gesteld dan ik dacht.

aan deze en alle andere sysads die het normaal vinden dat
niet zij zelf maar die werknemers (waarvan je zelf al
toegeeft dat ze geen enkele technische onderlegging hebben)
hun eigen computers moeten gaan patchen via gemailde
patches....
neem ontslag en ga een andere baan zoeken... iets in de
horeca ofzo?

en waarom moest een werknemer die briefjes typt ook al weer
precies executable rechten hebben??

en waarom vindt niemand het ook al weer vreemd dat je voor
je rijbewijs wel eerst een cursus van tenminste 40 uur en
een paar duizend euros moet opofferen voordat je uberhaubt
onbegeleid in een auto mag stappen en je op de openbare weg
mag begeven?
zou toch wat zijn als iedereen puber in de auto van pappie
de a4 op mag en daar mayhem veroorzaakt en vadertje zegt dat
je dat zo'n jongen toch moeilijk kan aanrekenen daar hij
geen enkele verstand van auto's nog het bedienen daarvan heeft.

mensen die, zoals je stelt, geen ervaring met computers
behoeven te hebben en dus idd niet het verschil weten tussen
een .exe en een .txt bestand leveren 'meestal' geen levens
bedrijgende situaties op maar berokkenen bedrijven wel vele
miljoenen schade.
zolang bedrijven deze feiten niet onder ogen wensen te zien
moeten ze dus terecht zelf op de blaren zitten.

ongeveer elk apparaat in de werk omgeving heeft bijbehorende
bedienings regels, sommige apparaten voorschriften en
andere weer wettelijke normen wat betreft bediening er
van... waarom een pc niet?
het blijft me verbazen en verbazen en vooral verbazen.

wat is het verschil tussen:
1) henk heeft de hele digitale pers in de vernieling
geholpen door even een paar knopjes in te drukken waardoor
alle inkt door het apparaat is gelopen... kosten postje van
15000 euro, maarja, dat kunnen we hem moeilijk aan rekenen,
hij heeft immers de ballen verstand van dat apparaat.

2) henk heeft alle monitoren op de afdeling de vernieling in
geholpen door een virus te openen dat zich automatisch
verspreid en in de registry de monitor refresh rate op 1000
MHZ zet, kosten postje van 15000 euro, maarja, dat kunnen we
hem moeilijk aan rekenen, hij heeft immers de ballen
verstand van pcees.
19-07-2005, 08:55 door rberkers
Omdat een boekhouder iets moeten van boekhouden weten en een
computer een stuk gereedschap is dat gewoon moet werken. Hij
moet weten hoe de programmatuur werkt en zich niet zorgen
hoeft te maken over de technische zaken. Dat is niet bij
zijn taak.

En als je een beetje je doppen open had getrokken had je
kunnen lezen dat wij hier met SUS werken (binnenkort met
WSUS), dus mensen hoeven hier helemaal niets zelf te patchen.

En al die mooie mailtjes waarin verteld dat dit laatste
patch van MS is die absoluut geinstalleerd moeten worden,
komen inderdaad bij de gebruiker aan... maar zonder exe, zip
of whatever. Die zijn er bij binnenkomst er al vanaf
afgehaald indien besmet met een virus, worm of whatever.
Beter lezen, Anoniempje... zoals ik al meestal iets
onschuldigs omdat het haast altijd om een mail gaat die
reeds schoongemaakt is door de anti-virus software.

En daarbij executables (en een aantal andere file-types)
worden hier al helemaal niet doorgelaten. Hebben mijn
collega's helemaal niets mee te doen (en indien nodig kan ik
het wel weer bovenwater halen).

En denk je dat een magazijnmedewerker hier ook maar iets
meer van een computer wil afweten dan wat hij er echt mee
moet doen? Kunnen je vergeten... (op de enkele hobbyist
na... wat weer een heel ander geval is).
Dus zorg ervoor datgene wat hij moet kunnen goed kan... en
niet meer dan dat. En dat geldt voor een boekhouder ook....

Het is de taak van een systeembeheerder te voorkomen dat een
collega een cruciale fout maakt als een executable op te
starten die via mail is binnengekomen. Dat MAG je niet aan
zijn verantwoording overlaten
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.