image

Grote gele worm verspreidt zich via Symantec lek

zaterdag 16 december 2006, 11:59 door Redactie, 15 reacties

Gebruikers van Symantec AntiVirus en Client Security voor Windows zijn gewaarschuwd voor een nieuwe worm die zich via een beveiligingslek in de software verspreidt. Big Yellow, zoals de worm genoemd wordt, misbruikt een lek dat op 24 mei van dit jaar ontdekt werd, en negentien dagen later door Symantec gepatcht was. Exploit code voor de kwetsbaarheid is al sinds 30 november beschikbaar, maar volgens eEye Digital Security is dit de eerste worm die dit lek misbruikt om zichzelf te verspreiden.

De worm maakt zombies van geinfecteerde machines die via een IRC server bestuurd worden. Het beveiligingsbedrijf houdt een server in de gaten die de worm gebruikt om verdere code te downloaden. Die server zou al naar meer dan 60.000 systemen data hebben gestuurd. Toch ziet Symantec de nieuwe worm niet als een grote dreiging. Slechts drie klanten hebben het gezien en de sensoren van Symantec zien het alleen als "achtergrond ruis".

Het grote probleem is dat veel thuisgebruikers en bedrijven inmiddels hun Microsoft software updaten, maar andere applicaties, waaronder hun beveiligingssoftware, vergeten, waarschuwt de beveiliger. De volgende versies zijn kwetsbaar:

  • Symantec AntiVirus 10.0.x voor Windows (alle versies)
  • Symantec AntiVirus 10.1.x voor Windows (alle versies)
  • Symantec Client Security 3.0.x voor Windows (alle versies)
  • Symantec Client Security 3.1.x voor Windows (alle versies)

    Bedrijven die nog niet de laatste patches hebben geinstalleerd wordt aangeraden dit alsnog te doen. Daarnaast is het verstandig om poort tcp/2967 te blokkeren om zo het aanvalsoppervlak te verkleinen.

  • Reacties (15)
    16-12-2006, 12:21 door holwortel
    Symantec: wie anders?
    16-12-2006, 14:15 door G-Force
    Tsja..indien de IT-afdeling een goed veiligheidsbeleid voert
    kan er eigenlijk niets mis gaan. Nu maar hopen dat veel
    bedrijven die Symantec producten hebben de zaak hebben
    ge-update.
    16-12-2006, 14:25 door capricornus
    Symantec. Norton. Gele worm voor een product uit een gele
    doos. LOL.
    16-12-2006, 14:34 door RobBarendse
    Dit bewijst maar weer eens dat je qua anti-virus software niet op 1 paard
    moet wedden.
    16-12-2006, 15:45 door Anoniem
    Zie je nou. Symantec Norton Antivirus is helemaal niet
    perfect. Men kan beter op zoek naar een andere antivirus
    16-12-2006, 16:28 door the virusman
    Door RobBarendse
    Dit bewijst maar weer eens dat je qua anti-virus software niet op 1 paard
    moet wedden.

    en mocht je dat toch doen (wat ik overigens vindt dat je moet doen) doe
    het dan zeker niet op het paard uit de gele doos.
    16-12-2006, 17:13 door Anoniem
    Slechts drie klanten hebben het gezien en de sensoren
    van Symantec zien het alleen als "achtergrond ruis".

    Sorry meneer, u bent achtergrond ruis!
    16-12-2006, 22:15 door Anoniem
    Symantec: wie anders?
    Deze opmerking betekent dat Symantec's software-veiligheid
    niet zo best bekend staat.
    Dus dacht ik: ik zoek eens wat lekkengeschiedenissen bij
    elkaar op Secunia.
    Vergelijk onderstaande bladzijdes en trek uw conclusies! :)
    http://secunia.com/product/6635/?task=advisories
    http://secunia.com/product/11210/?task=advisories
    http://secunia.com/product/10471/?task=advisories
    http://secunia.com/product/10471/?task=advisories
    http://secunia.com/product/8828/?task=advisories
    http://secunia.com/vendor/54/
    http://secunia.com/product/6072/?task=advisories
    http://secunia.com/product/11/?task=advisories
    http://secunia.com/product/4227/?task=advisories

    De vergelijkingen zijn niet helemaal eerlijk, maar bedoeld
    als indicatie.
    17-12-2006, 00:35 door Anoniem
    Meer dan 1 Virusscanner is niet aan te raden. Tenzij je een paar keer
    in de week een on demand scanner in de SafeMode een run laat maken.
    17-12-2006, 11:49 door Anoniem
    Door RobBarendse
    Dit bewijst maar weer eens dat je qua anti-virus software
    niet op 1 paard
    moet wedden.

    Een worm is geen virus... Zelfs met twee AV had dit niet
    kunnen voorkomen worden want de eerste AV gaat het gat in de
    tweede niet dichten.
    17-12-2006, 12:08 door Anoniem
    Door Anoniem
    Zie je nou. Symantec Norton Antivirus is helemaal niet
    perfect. Men kan beter op zoek naar een andere antivirus

    Dit gaat over Symantec en niet Norton! Als je zoiets zegt
    zeg het dan met verstand van zaken....
    17-12-2006, 12:23 door Anoniem
    Door RobBarendse
    Dit bewijst maar weer eens dat je qua anti-virus software niet op 1 paard
    moet wedden.
    Een worm is geen virus en als je dan toch ook nog dat spul wil pakken
    doet Kasperky de rest. Of Spyboth&Searh,maar ik meen dat je dat wel
    snapt.
    17-12-2006, 15:33 door Anoniem
    Door Beukenoot
    Door RobBarendse
    Dit bewijst maar weer eens dat je qua anti-virus software niet op 1 paard
    moet wedden.
    Een worm is geen virus en als je dan toch ook nog dat spul wil pakken
    doet Kasperky de rest. Of Spyboth&Searh,maar ik meen dat je dat wel
    snapt.

    Beukenoot, misschien is het beter dat je je beperkt tot lezen. Een ander
    napraten terwijl je de betekenis niet snapt, is alleen maar storend.

    Voor de duidelijkheid: een netwerk worm houd je niet tegen met normaal
    anti-virus. De reden daarvoor is dat de exploit plaatsvind in het geheugen.
    De meeste virusscanners scannen dat geheugen niet en heel zelden
    voordat het wordt gebruikt. Sommige exploits droppen wel files, en die zijn
    wel te detecteren, maar niet voordat de exploit al is uitgevoerd en het
    kwaad is geschied.

    Spybot Search & Destroy is bedoeld voor adware en spyware, niet voor
    wormen.
    22-12-2006, 09:46 door spatieman
    Wat ruist er door het digitale struikgewas *G*
    18-01-2007, 16:06 door Anoniem
    Geachte hr/mw,
    De zinssnede: "Daarnaast is het verstandig om poort tcp/2967 te
    blokkeren om zo het aanvalsoppervlak te verkleinen."
    Heel leuk, maar hoe doe je dat en wat zijn dan de nevenconsequenties??
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.