Spammers misbruiken nieuw Windows lek
Het vorige week aangekondigde en gepatchte beveiligingslek in Windows 2000, XP en Server 2003 wordt actief door spammers misbruikt, zo waarschuwen verschillende instanties. Inmiddels zijn er tenminste twee bots in omloop waardoor een aanvaller toegang tot een kwetsbaar Windows 2000 Server systeem krijgt. De gevonden exploits werken niet op Windows XP met Service Pack 2 en Server 2003.
Volgens de LURHQ Threat Intelligence Group gaat het om een variant van de Mocbot. Deze bot verscheen voor het eerst eind 2005 en maakte misbruik van het MS05-039 PNP beveiligingslek. Doordat het een onbetekende IRC bot is heeft de malware nooit veel aandacht van anti-virusaanbieders gekregen.
Dit is mogelijk de reden dat Mocbot nog steeds dezelfde IRC server hostnamen gebruikt als negen maanden geleden. Het enige verschil lijkt dan ook de gebruikte exploit. Deze Mocbot versie kopieert zichzelf naar de systeem directory als het bestand wgareg.exe, en start een NT service om zich tijdens het opstarten als de "Windows Genuine Advantage Registration Service" te laden. Vooralsnog zouden veel virusscanners de malware niet herkennen. (ISC)
of er virusdefinties worden geschreven. Sommige databases
bevatten 70.000 handtekeningen, maar gezien het aantal bots
moet dat eigenlijk een veelvoud zijn.
Als er malware ontdekt wordt, dan is het nog maar de vraag
of er virusdefinties worden geschreven. Sommige databases
bevatten 70.000 handtekeningen, maar gezien het aantal bots
moet dat eigenlijk een veelvoud zijn.
Ik denk het hier niet geheel mee eens te zijn, want de meeste bots zijn
goedkope forks. En vaak is het mogelijk iets te herkennen als "familie van"
Als er malware ontdekt wordt, dan is het nog maar de vraag
of er virusdefinties worden geschreven. Sommige databases
bevatten 70.000 handtekeningen, maar gezien het aantal bots
moet dat eigenlijk een veelvoud zijn.
Je gaat er dan vanuit dat er een een-op-een relatie is tussen varianten en
definities. Dat is gelukkig niet zo. Er staan virus generatoren waarmee
duizenden virussen gegenereerd kunnen worden, maar ze zijn
detecteerbaar met enkele "handtekeningen"/"definities".
De nu bekende varianten van Mocbot met MS06-040 exploit konden al
heuristisch worden gedetecteerd op het moment dat ze geschreven
werden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?