Archief
- De topics van lang geleden
Waarschuwing: nieuwe variant Backdoor Sub7 ontdekt.
02-03-2003, 21:51 door Anoniem, 4 reacties
BackDoor-Sub7
--------------------------------------------------------------------------------
Datum: 02 maart 2003
WAARSCHUWINGSDIENST BEVEILIGINGSADVIES WD-2003-0028.1
Nieuwe variant van BackDoor-Sub7
Programma: Trojaans paard
Versie: -
Besturingssysteem: Windows
Samenvatting
Op 1 maart 2003 is een nieuwe variant van het beruchte Trojaans Paard BackDoor-Sub7 uitgekomen. Een aanvaller kan via een backdoor een computer op afstand bedienen. Om toegang te krijgen tot een computer maakt dit Trojaans Paard gebruik van kwetsbaarheden, die door niet up-to-date programma's op een computer veroorzaakt worden. De mogelijkheid bestaat dat de nieuwe versie van BackDoor-Sub7 vaker wordt gesignaleerd op het Internet. Anti-virus programmatuur zouden BackDoor-Sub7 al moeten herkennen, aangezien dit Trojaans Paard in 1999 is ontdekt. De meeste anti-virus programma's zullen hier een melding over geven.
Mogelijke gevolgen
Als BackDoor-Sub7 op een computer is geïnstalleerd, kan een aanvaller de volgende dingen doen:
De geïnfecteerde computer kan worden gebruikt om bestanden te downloaden of te uploaden.
Zoeken naar bestanden op de computer.
De informatie die op het beeldscherm van de gebruiker staat, kan worden onderschept.
Programma's kunnen worden gestart of afgesloten.
Informatie kan worden gewijzigd in programma's die actief zijn op de computer.
Berichten plaatsen op het beeldscherm van de gebruiker.
Verbinding met het Internet kan worden afgesloten.
De computer kan op afstand worden herstart.
De lade van de CD-ROM speler die zich in de computer bevindt, kan worden geopend.
Informatie in het register van de computer kan worden gewijzigd.
Oplossingsmogelijkheden
Anti-virus programmatuur zouden BackDoor-Sub7 al moeten herkennen, aangezien dit Trojaans Paard al in 1999 is ontdekt. De meeste anti-virus programma's zullen een melding geven als dit Trojaans Paard op de computer is ontdekt.
Verder is het aan te raden om de volgende voorzorgsmaatregelen te nemen:
Zorg ervoor dat uw anti-virus programma up-to-date is.
Laat geen onnodige poorten open staan.
Zorg dat u op tijd een patch installeert, zodat programma's up-to-date blijven.
Gebruik wachtwoorden die moeilijk te raden zijn.
Blokkeer e-mail die bijlagen met programma's bevat.
Verwijder ontvangen e-mail met bijlagen direct.
Links
Meer informatie kunt u vinden op:
http://vil.nai.com/vil/content/v_10566.htm
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.subseven.html
http://www.sophos.com/virusinfo/analyses/trojsub720.html
Technische details
Dit Trojaans Paard installeert een backdoor op een computer waardoor een aanvaller van buitenaf toegang kan krijgen tot het systeem via poort 27374. Het nummer van de poort kan verschillen, omdat dit kan worden aangepast in de programmatuur van het Trojaans Paard.
Herkenning van besmetting
Aanwezigheid van een van onderstaande bestanden:
MSREXE.EXE
RUN.EXE
WINDOS.EXE
MUEEXE.EXE
Bron: Waarschuwingsdienst.nl
--------------------------------------------------------------------------------
Datum: 02 maart 2003
WAARSCHUWINGSDIENST BEVEILIGINGSADVIES WD-2003-0028.1
Nieuwe variant van BackDoor-Sub7
Programma: Trojaans paard
Versie: -
Besturingssysteem: Windows
Samenvatting
Op 1 maart 2003 is een nieuwe variant van het beruchte Trojaans Paard BackDoor-Sub7 uitgekomen. Een aanvaller kan via een backdoor een computer op afstand bedienen. Om toegang te krijgen tot een computer maakt dit Trojaans Paard gebruik van kwetsbaarheden, die door niet up-to-date programma's op een computer veroorzaakt worden. De mogelijkheid bestaat dat de nieuwe versie van BackDoor-Sub7 vaker wordt gesignaleerd op het Internet. Anti-virus programmatuur zouden BackDoor-Sub7 al moeten herkennen, aangezien dit Trojaans Paard in 1999 is ontdekt. De meeste anti-virus programma's zullen hier een melding over geven.
Mogelijke gevolgen
Als BackDoor-Sub7 op een computer is geïnstalleerd, kan een aanvaller de volgende dingen doen:
De geïnfecteerde computer kan worden gebruikt om bestanden te downloaden of te uploaden.
Zoeken naar bestanden op de computer.
De informatie die op het beeldscherm van de gebruiker staat, kan worden onderschept.
Programma's kunnen worden gestart of afgesloten.
Informatie kan worden gewijzigd in programma's die actief zijn op de computer.
Berichten plaatsen op het beeldscherm van de gebruiker.
Verbinding met het Internet kan worden afgesloten.
De computer kan op afstand worden herstart.
De lade van de CD-ROM speler die zich in de computer bevindt, kan worden geopend.
Informatie in het register van de computer kan worden gewijzigd.
Oplossingsmogelijkheden
Anti-virus programmatuur zouden BackDoor-Sub7 al moeten herkennen, aangezien dit Trojaans Paard al in 1999 is ontdekt. De meeste anti-virus programma's zullen een melding geven als dit Trojaans Paard op de computer is ontdekt.
Verder is het aan te raden om de volgende voorzorgsmaatregelen te nemen:
Zorg ervoor dat uw anti-virus programma up-to-date is.
Laat geen onnodige poorten open staan.
Zorg dat u op tijd een patch installeert, zodat programma's up-to-date blijven.
Gebruik wachtwoorden die moeilijk te raden zijn.
Blokkeer e-mail die bijlagen met programma's bevat.
Verwijder ontvangen e-mail met bijlagen direct.
Links
Meer informatie kunt u vinden op:
http://vil.nai.com/vil/content/v_10566.htm
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.subseven.html
http://www.sophos.com/virusinfo/analyses/trojsub720.html
Technische details
Dit Trojaans Paard installeert een backdoor op een computer waardoor een aanvaller van buitenaf toegang kan krijgen tot het systeem via poort 27374. Het nummer van de poort kan verschillen, omdat dit kan worden aangepast in de programmatuur van het Trojaans Paard.
Herkenning van besmetting
Aanwezigheid van een van onderstaande bestanden:
MSREXE.EXE
RUN.EXE
WINDOS.EXE
MUEEXE.EXE
Bron: Waarschuwingsdienst.nl
Reacties (4)
*zucht* Nieuwe variant of niet...... Moet hier nu de discussie over het openen van mailtjes worden begonnen? Buiten dat, als je een aantal strings veranderd in de server wordt hij al niet meer herkend door de diverse antivirus scanners dus er zullen vast nog wel een aantal varianten in omloop zijn waar niemand weet van heeft.
Virusscanners?
Policy mensen, policy! Geen lapmiddelen als virusscanners.
Whitelist text-based en eventueel andere veilige document-typen* attachments, text/plain e-mail. Kill everything else, including text/html e-mail.
Gebruik een veilige e-mail client, gebruik actieve content-filtering bij het surfen, etc.
Zorg dat werknemers niets maar dan ook helemaal niets van buitenaf (via netwerk, floppy, cd-rom, start-up) op de werkcomputer in kan brengen, etc.
* dus absoluut géén Microsoft Office documenten, als voorbeeld.
Vertrouw niets dat van leveranciers of klanten af komt. Eis van leveranciers werkbaar veilige tekstueel georiënteerde bestanden voor bijvoorbeeld productlists, pricelists, etc. of bijvoorbeeld in PDF-formaat.
Datzelfde geldt voor klanten.
Het vertrouwen zoals dat doorgaans gebruikelijk is, is nimmer gerechtvaardigd op digitaal niveau.
Gegarandeerd dat het de continuïteit ten zeerste ten goede komt, waar iedereen baat bij heeft.
Virusscanners komen pas om de hoek wanneer er sporadisch reden is van een zulks strenge policy af te wijken en ter overall na-controle. Virusscanners zijn geen beveiliging, slechts een methode om lauter bekende profielen te herkennen. De grootste bedreiging vormen echter deze welke NIET bekend zijn en is het een illusie dat er van te verlangen.
Dus, een stelling als "ik ben beveiligd, want ik gebruik een up-to-date Virusscanner," is een illusie, dan hou je je zelf voor de gek.
De laatste en enige keer dat ik ooit een virus-besmetting heb gehad was medio '80 op een XT-8086 van wel 10MHz: een bootsector virus dat zich liet verwijderen met FDISK /MBR. Deze was afkomstig van een floppy van een collega programmer, maar werd deze niet gedetecteerd.
Sindsdien geldt een uiterst stringente policy, dat is het enige dat werkt ;)
Μπας
Policy mensen, policy! Geen lapmiddelen als virusscanners.
Whitelist text-based en eventueel andere veilige document-typen* attachments, text/plain e-mail. Kill everything else, including text/html e-mail.
Gebruik een veilige e-mail client, gebruik actieve content-filtering bij het surfen, etc.
Zorg dat werknemers niets maar dan ook helemaal niets van buitenaf (via netwerk, floppy, cd-rom, start-up) op de werkcomputer in kan brengen, etc.
* dus absoluut géén Microsoft Office documenten, als voorbeeld.
Vertrouw niets dat van leveranciers of klanten af komt. Eis van leveranciers werkbaar veilige tekstueel georiënteerde bestanden voor bijvoorbeeld productlists, pricelists, etc. of bijvoorbeeld in PDF-formaat.
Datzelfde geldt voor klanten.
Het vertrouwen zoals dat doorgaans gebruikelijk is, is nimmer gerechtvaardigd op digitaal niveau.
Gegarandeerd dat het de continuïteit ten zeerste ten goede komt, waar iedereen baat bij heeft.
Virusscanners komen pas om de hoek wanneer er sporadisch reden is van een zulks strenge policy af te wijken en ter overall na-controle. Virusscanners zijn geen beveiliging, slechts een methode om lauter bekende profielen te herkennen. De grootste bedreiging vormen echter deze welke NIET bekend zijn en is het een illusie dat er van te verlangen.
Dus, een stelling als "ik ben beveiligd, want ik gebruik een up-to-date Virusscanner," is een illusie, dan hou je je zelf voor de gek.
De laatste en enige keer dat ik ooit een virus-besmetting heb gehad was medio '80 op een XT-8086 van wel 10MHz: een bootsector virus dat zich liet verwijderen met FDISK /MBR. Deze was afkomstig van een floppy van een collega programmer, maar werd deze niet gedetecteerd.
Sindsdien geldt een uiterst stringente policy, dat is het enige dat werkt ;)
Μπας
das nou presies wat ik heb, ik heb gewoon 60 kb upload en bijna geen download, maar norton zegt dat alles oke is, this sucks, ik wil hier meer van wete dit is niet goed voor mijn films download, ik heb normaliter een download van wel 53 kb, en nee ik snap het niet en nee ik wil geen virus of wormen, die wormen krijg ik als ik dood ben wel, brrrr, wat wille ze nou met mijn compie, ik surf wat om de tijt te dode en dan ineens weer zoiets
kan nie iemand die worm of virus dode
kan nie iemand die worm of virus dode
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
