image

Microsoft waarschuwt voor omvangrijke spamaanval

zaterdag 13 december 2014, 06:51 door Redactie, 7 reacties

Microsoft heeft Windowsgebruikers gewaarschuwd voor een kwaadaardige spamaanval waarbij wordt geprobeerd om ontvangers met malware te infecteren. In het bericht, met het onderwerp "Payment report - importan", wordt gesteld dat de ontvanger van de e-mail een bedrag van 35.000 dollar heeft ontvangen.

Meer details zouden in de meegestuurde zip-bijlage zijn te vinden. De zip-bijlage bevat een scr-bestand met een pdf-icoon. Doordat Windows standaard de bestandsextensie niet weergeeft zouden gebruikers kunnen denken dat het om een pdf-document gaat. Afhankelijk van de ingestelde weergave van mappen laat Windows toch zien dat het een screensaver is.

Als de bijlage wordt geopend raakt de computer met de Upatre-downloader geïnfecteerd. Deze downloader kan vervolgens weer andere kwaadaardige software downloaden. Volgens Microsoft zou de malware vooral op consumenten- en bedrijfscomputers in Noord-Amerika zijn gezien.

Image

Reacties (7)
13-12-2014, 09:58 door Briolet - Bijgewerkt: 13-12-2014, 09:58
Doordat Windows standaard de bestandsextensie niet weergeeft zouden gebruikers kunnen denken dat het om een pdf-document gaat.

Het probleem lijkt me niet het ontbreken van de extensie, maar dat Windows zulke bestanden met executable code gewoon uitvoert zonder waarschuwing. Op de mac ben ik al tien jaar gewend dat zulke bestanden een waarschuwing genereren. En onder een user account krijg je ze alleen werkzaam door een admin wachtwoord in te typen. Sinds Yosemite heeft Apple het nog strakker ingesteld, zodat ik laatst al een veiligheidswaarschuwing voor een eigen zip-file kreeg die ik op een andere mac wilde gebruiken.
Al die veiligheidswaarschuwingen zijn soms lastig, maar geeft ook wel weer vertrouwen.

Windows kan daarom beter naar de inherente beveiliging van hun OS kijken i.p.v. waarschuwingen te sturen die veel mensen toch niet lezen.
13-12-2014, 11:08 door Erik van Straten
Door Briolet:
Doordat Windows standaard de bestandsextensie niet weergeeft zouden gebruikers kunnen denken dat het om een pdf-document gaat.

Het probleem lijkt me niet het ontbreken van de extensie, maar dat Windows zulke bestanden met executable code gewoon uitvoert zonder waarschuwing. Op de mac ben ik al tien jaar gewend dat zulke bestanden een waarschuwing genereren. En onder een user account krijg je ze alleen werkzaam door een admin wachtwoord in te typen. Sinds Yosemite heeft Apple het nog strakker ingesteld, zodat ik laatst al een veiligheidswaarschuwing voor een eigen zip-file kreeg die ik op een andere mac wilde gebruiken.
Al die veiligheidswaarschuwingen zijn soms lastig, maar geeft ook wel weer vertrouwen.

Windows kan daarom beter naar de inherente beveiliging van hun OS kijken i.p.v. waarschuwingen te sturen die veel mensen toch niet lezen.
Je moet je wat beter in Windows verdiepen. Windows is, mits de gebruiker geen admin rechten heeft, best vergelijkbaar met Mac OSX en Linux. Elk bestand dat "van Internet afkomstig is" krijgt, onder Windows, in een alternate data stream (vergelijkbaar met een resource fork in een Mac bestand), een tag (labeltje). In het geval van een uitvoerbaar bestand zal Windows eventueel aanwezige code signing controleren, en de gebruiker waarschuwen voor de risico's. Als je dat, zonder lezen, wegklikt, is het eigen schuld dikke bult.

Ik vind het een slechte zaak dat in Windows by default bestandsextensies niet getoond worden. Helaas is het wel zo, dat als dat massaal aan zou staan, dat geen garantie op succes biedt. De trieste waarheid is dat er ontzettend veel bestandsextensies die uiteindelijk tot een uitvoerbaar bestand kunnen leiden, zonder dat de gebruiker zich dat realiseert.

Voorbeeld: toen ik in 2002 voor het eerst spam met een .hta bijlage ontving, had ik geen idee wat een "HTA" bestand was, zie http://list.ecompass.nl/listserv/cgi-bin/wa?A3=ind0211&L=CERTKUNADVISORY&E=0&P=47802&B=--&T=TEXT%2FPLAIN; charset=US-ASCII&header=1). Overigens was de kennelijke afzender (From: veld, onderdrukt in bovenstaande webpagina): "MAILER-DAEMON@mailserver.die.jij.altijd.gebruikt".

Daarnaast, van sommige bestandsextensies, zoals ".lnk" is het hinderlijk als je het tonen ervan aanzet.

Uiteindelijk is het onder default Windows, Linux en OS X setups zo dat door een gebruiker gestarte malware, precies hetzelfde kan als legitieme door de gebruiker gestarte software. Als ik op Windows winpcap heb geïnstalleerd (als admin), kan ik, als ordinary user, o.a. Wireshark gebruiken, ook in promiscuous mode. Maar eventuele malware op mijn systeem kan dat dan natuurlijk ook.

Ongelofelijk trouwens hoeveel zelfverklaarde Linux specialisten in https://www.security.nl/posting/411249/Onderzoekers+ontdekken+spionagevirus+voor+Linux geen idee hebben hoe dat OS, onder de moterkap, werkt. In mijn tijd op de TUD (tot 2004) heb ik, naast zeer veel gehackte Windows PC's en servers, ook heel veel gehackte Linux bakken gezien. En die waren, door rootkits en andere geavanceerde meuk, nauwelijks te "reinigen" (waar bij Windows computers vaak veel eenvoudiger malware actief was). Het leek er wel op dat de "betere" blackhats zich niet wilden verlagen tot het Windows "script-kiddie" niveau.

Ik vraag me af wat een groter risico vormt voor het Internet: een naïeve Windows gebruiker of een Linux/Mac gebruiker die denkt het allemaal wel te weten (kijk maar eens naar http://un1c0rn.net/search?q=heartbleed, dat zijn geen Windows bakken en bij velen wandelde je zo naar binnen).

Uitsluitend doordat er zo enorm veel meer Windows (dan Linux/OS X/*BSD/*nix) installaties zijn, vormen Windows machines de grootste taartpunt waar het om bedreiding van Internet gaat (met name spam en DDoS attacks). Maar de meer geavanceerde malware vind je waarschijnlijk nog steeds op non-Windows systemen. Die draaien zelden of nooit virusscanners of IDS sofwtare, hebben iptables/pf nauwelijks of niet (goed) geconfigureerd, patchen van servers loopt vaak enorm achter, en als yum/apt/whatever je niet vertelt dat een update nodig is, kijkt niemand verder dan z'n neus lang is. Succes ermee...
13-12-2014, 12:36 door Briolet
Door Erik van Straten: Je moet je wat beter in Windows verdiepen. Windows is, mits de gebruiker geen admin rechten heeft, best vergelijkbaar met Mac OSX en Linux. Elk bestand dat "van Internet afkomstig is" krijgt, onder Windows, in een alternate data stream (vergelijkbaar met een resource fork in een Mac bestand), een tag (labeltje). In het geval van een uitvoerbaar bestand zal Windows eventueel aanwezige code signing controleren, en de gebruiker waarschuwen voor de risico's. Als je dat, zonder lezen, wegklikt, is het eigen schuld dikke bult.

Je stelt me gerust. Het zijn de constante meldingen die je hier en elders leest over het simpel aanklikken van een besmet bestand om daardoor zelf besmet te geraken, die suggereren dat Windows zo lek is. Als de gebruiker wel een waarschuwing krijgt, is het inderdaad eigen schuld. Maar dan zou je meer voor moeten benadrukken om die waarschuwingen niet te negeren. En dan maakt het niet zo veel uit dat de extensie niet direct zichtbaar is omdat je de waarschuwing krijgt.

Van de insides Mac OSX heb ik ook niet veel verstand. In de tijd van mac OS 6 studeerde ik, had ik tijd om alle delen van Inside Macintosh te bestuderen en schreef ik ook kleine mac programma's. Sinds de overstap op Unix is er zoveel veranderd dat alle oude kennis niets meer waard is.
13-12-2014, 13:48 door Anoniem
Windows vergelijkbaar met Linux?

kom op zeg
Linux is veel stabieler, en de directory achitectuur is onder windows een ramp
je raakt al snel verdwaald in een doolhof van dir' s.

meer zeg ik er niet over, immers , dit topic gaat over een omvangrijke spamaanval
13-12-2014, 14:25 door [Account Verwijderd] - Bijgewerkt: 13-12-2014, 14:31
[Verwijderd]
13-12-2014, 16:26 door Anoniem
Wat laat 11:08 zich opzichtig makkelijk en onnodig uit de kast lokken door 09:58 voor een OS Flame.

Onnodig zich met zo'n punt komma verhaal (en kolderieke aannames *) te verweren omdat de eerste poster zichzelf nogal eenvoudig tegenspreekt.
Al die veiligheidswaarschuwingen zijn soms lastig, maar geeft ook wel weer vertrouwen.
tegenover
Windows kan daarom beter naar de inherente beveiliging van hun OS kijken i.p.v. waarschuwingen te sturen die veel mensen toch niet lezen.

Apple schuift met het geven van meer waarschuwingen op richting Windows, terwijl in de praktijk wel bekend is dat dat afgeven van meer waarschuwingen slecht werkt.
Terwijl onder nieuwe Apple gebruikers, cq ex Windows gebruikers het ontbreken van een overdaad aan onbegrijpelijke meldingen hoge waardering geniet.

Helaas worden onder OS X de weinige meldingen die er zijn in voorkomende gevallen eveneens nogal eens weggeklikt. Dat wegklikken heeft uiteindelijk niet alles met OS soort te maken maar eerder met een moeilijk te overbruggen kloof naar gebruikers met weerzin tegen alles wat technisch lijkt of enige verdieping vraagt.

Geen extensieweergave?
Onder de meeste (alle?) OS X versies staat weergave van bestandsextensies eveneens standaard uit en verschilt daarin niet van Windows systemen.

Waar zowel Windows als OS X zich op het gebied van Zip files mogelijk goed aan zouden doen is een standaard functie in te bouwen als een 'x-ray-voorvertoning'.
Een mogelijkheid inbouwen om te zien wat voor files zich in (allemaal) het Zip file bevinden zonder het te hoeven openen en mogelijke executables te activeren.
Dus ook in alle folders die zich eventueel in een zip file bevinden.


*
Maar de meer geavanceerde malware vind je waarschijnlijk nog steeds op non-Windows systemen.
Deel van het nieuws hier in de kolommen gemist?
Bijvoorbeeld https://blog.kaspersky.com/regin-apt-most-sophisticated/

Regin malware, voor Mac of voor Windows?
13-12-2014, 18:55 door potshot
80% weet niet eens wat een extensie is dus hoe moeten ze daar dan op reageren?
een pc is een auto voor de meesten, sleutel er in en jakkeren maar..niet nadenken en de buurjongen die 2x per jaar alle problemen mag verhelpen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.