Worm van de toekomst ontdekt
De Spaanse anti-virusbestrijder Panda Software waarschuwt internetgebruikers voor een nieuw soort worm dat het ontdekt heeft. Eyeveg.d (die ook bekend staat als Bugbear.b en Lanieca.b) is een hybride worm die zich verspreidt als een worm, maar een Trojaans paard-achtige aanval op de computer uitvoert. Een worm van de toekomst, aldus Panda Software, aangezien virusschrijvers de mogelijkheden en diversiteit van hun creaties steeds vaker aan het uitbreiden zijn.
Eyeveg.d infecteert een PC via een willekeurig .exe bestand. Is de PC besmet, dan wordt het Trojaans paard component actief, en installeert het een .dll bestand die toetsaanslagen opslaat, en zo logingegevens en andere vertrouwelijke informatie kan stelen. Tevens is Eyeveg.d voorzien van een backdoor component, waardoor een remote aanvaller volledige controle over de machine heeft. De verspreiding van de worm valt mee, maar zoals laatst bekend werd, zijn virusschrijvers juist uit op een beperkt aantal geinfecteerde hosts en speelt het aantal besmette machines geen belangrijke rol meer.
http://www.pandasoftware.com/about/press/viewNews.aspx?noticia=6264&ver=21
Eyeveg.D’s Trojan actions start by loading the DLL file as a ‘plugin’ (or additional component) of the browser, by taking advantage of one of its features.
** welke browser ?
This malicious code tries to connect to a certain URL, disabling the Windows XP firewall if necessary.
** knappe Firewall dan. doet de virus het met andere firewalls ook?
> the browser
> ** welke browser ?
In Panda's verhaal zijn mogelijk 2 woorden weggevallen: "to
avoid". Zie
http://www.sarc.com/avcenter/venc/data/w32.lanieca.b@mm.html
"Creates the following registry subkeys, so that it's
browser helper object is loaded on startup". Om discussie te
voorkomen: Firefox kent ook plugins.
> disabling the Windows XP firewall if necessary.
> ** knappe Firewall dan
Elke code die je als lid van Administrators start,
tenzij dat in een waterdichte "sandbox" gebeurt, kan
alles op je systeem (dat is by design en zo
hoort het ook). Inclusief elke personal firewall de
nek omdraaien, je antivirus (deels) uitschakelen, je schijf
wissen en patches draaien, tot en met je besturingssysteem
geheel vervangen :)
Als je slechts lid bent van de groep "Users" is dat door
privilege escalation truuks vaak ook wel mogelijk, maar
omdat uitsluitend security-minded mensen zo werken (of een
BOFH* sysadmin hebben) ben je (A) een ongewenste doelgroep
(mede omdat dit irritante type malware herkent en
vaak doorstuurt naar Panda et al) en (B) het volstrekt
overbodig is om vervelende privilege escalation code te
schrijven omdat de overgrote meerderheid van gebruikers toch
al admin is.
Die zich bovendien steeds vaker half werkende security
software aan laten praten met een niet vooruit te branden PC
en een lege portemonnee als gevolg. Notabene vaak software
die niet eens (goed) werkt als je geen lid bent van
Administrators. Gemaakt door bedrijven die gebaat zijn bij
FUD* zoals Panda. (N.B. ik weet niet of Panda AV niet goed
werkt c.q niet goed te updaten is als je geen lid bent van
Administrators).
Ander voorbeeld. Toevallig (?) is SecurityFocus van
Symantec, maar als "security professionals" dit soort
wartaal gaan schijven begrijp ik dat gewone gebruikers het
spoor kwijt raken:
http://www.theregister.co.uk/2005/05/25/deleting_spyware/
Published Wednesday 25th May 2005 14:41 GMT
[color=red]Analysis[/color] On my computer right now I have
three anti-spyware programs, three anti-virus programs, and
three anti-spam programs, together with a hardware and
software firewall, an IPsec VPN, and data level encryption
on certain files (and no, this is not intended to be an
invitation for you to try to test my security.)
Deze combinatie gebruikt op een doorsnee PC zoveel geheugen
en CPU resources dat malware (en Word) waarschijnlijk niet
verder komt dan een "Out of memory" melding, waarmee het
effectief wordt geblokkeerd; ook als deze zo nieuw is
dat hij nog door geen enkele van de anti-malware producten
wordt herkend. Hetgeen er met zo'n combo dik in zit, omdat
die elkaar ongetwijfeld in de weg zitten. Iets wat door een
leek en zelfs door een security professional moeilijk is
vast te stellen, omdat dit per geval kan verschillen.
Erik van Straten
*FUD = Fear, Uncertainty and Doubt
*BOFH = Bastard Operator From Hell (we love FUD)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
