Table des matières:
Vidéo: 5 Vidéos drôles juste pour rire la blague du jour Compilation #92 (Novembre 2024)
Contenu
- Ce ver veut seulement guérir
- Top Threat W32 / Nachi.B-ver
- Top 10 des virus de messagerie
- Top 5 des vulnérabilités
- Conseil de sécurité
- Mises à jour de sécurité Windows
- Jargon Buster
- Regard sur la sécurité dans l'histoire
Ce ver veut seulement guérir
Nous avons d'abord été témoins de l'explosion de MyDoom.A et de l'attaque de déni de service qui a entraîné le site Web de l'opération Santa Cruz Operation (sco.com) pendant deux semaines. Ensuite, MyDoom.B a ajouté Microsoft.com comme cible d’une attaque par déni de service. Alors que MyDoom.A a décollé avec vengeance, MyDoom.B, comme un film "B", était un raté. Selon Mark Sunner CTO chez MessageLabs, MyDoom.B avait des bogues dans le code qui ne l’entraînaient que dans une attaque de SCO dans 70% des cas, et à 0% lorsqu’ils attaquaient Microsoft. Il a également déclaré qu'il y avait "plus de chance de lire sur MyDoom.B que de l'attraper".
La semaine dernière, nous avons assisté à une explosion de virus sur les bas-côtés de MyDoom.A, qui a permis de prendre le contrôle de centaines de milliers de machines. Doomjuice.A (également appelé MyDoom.C) a été le premier à entrer en scène. Doomjuice.A n'était pas un autre virus de messagerie, mais il tirait parti d'une porte dérobée ouverte par MyDoom.A sur des machines infectées. Doomjuice téléchargerait sur une machine infectée MyDoom et, comme MyDoom.B, installerait et tenterait de mener une attaque de type DoS sur Microsoft.com. Selon Microsoft, l'attaque ne les a pas affectés négativement vers le 9 et le 10, bien que NetCraft ait enregistré que le site de Microsoft était inaccessible à un moment donné.
Les experts en antivirus pensent que Doomjuice est l’œuvre du même auteur (s) de MyDoom, car il dépose également une copie de la source originale MyDoom sur la machine victime. Selon un communiqué de presse de F-secure, cela pourrait être un moyen pour les auteurs de couvrir leurs traces. Il diffuse également un fichier de code source de travail à d'autres auteurs de virus à utiliser ou à modifier. Ainsi, MyDoom.A et MyDoom.B, à l'instar de Microsoft Windows et Office eux-mêmes, sont désormais devenus une plate-forme de propagation d'autres virus. Au cours de la semaine écoulée, nous avons assisté à l'émergence de W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom - une variante de Troie de Proxy-Mitglieter., W32 / Deadhat.A et W32 / Deadhat.B, entrant tous dans la porte dérobée de MyDoom. Vesser.worm / DeadHat.B, utilisez également le réseau de partage de fichiers SoulSeek P2P.
Le 12 février, W32 / Nachi.B.worm a été découvert. Comme son prédécesseur, W32 / Nachi.A.worm (également connu sous le nom de Welchia), Nachi.B se propage en exploitant les vulnérabilités RPC / DCOM et WebDAV. Tandis qu'il est encore un virus / ver, Nachi.B tente de supprimer MyDoom et de fermer les vulnérabilités. Le vendredi 13 février, Nachi.B s'était hissé au deuxième rang des listes de menaces de deux fournisseurs (Trend, McAfee). Comme il n'utilise pas le courrier électronique, il ne figurera pas dans la liste des dix virus les plus importants de notre messagerie MessageLabs. La prévention de l’infection par Nachi.B est la même que pour Nachi.A, appliquez tous les correctifs de sécurité Windows actuels pour fermer les vulnérabilités. Consultez notre menace principale pour plus d'informations.
Le vendredi 13 février, nous avons vu un autre harpon MyDoom, W32 / DoomHunt.A. Ce virus utilise la porte dérobée MyDoom.A, arrête les processus et supprime les clés de registre associées à sa cible. Contrairement à Nachi.B, qui fonctionne discrètement en arrière-plan, DoomHunt.A ouvre une boîte de dialogue proclamant "Ver de suppression MyDoom (DDOS the RIAA)". Il s’installe lui-même dans le dossier système Windows en tant que fichier Worm.exe évident, et ajoute une clé de registre avec la valeur "Delete Me" = "worm.exe". La suppression est identique à tout ver, arrêtez le processus worm.exe, analysez-le avec un antivirus, supprimez le fichier Worm.exe et tous les fichiers associés, puis supprimez la clé de registre. Bien sûr, assurez-vous de mettre à jour votre ordinateur avec les derniers correctifs de sécurité.
Microsoft a annoncé trois autres vulnérabilités et publié des correctifs cette semaine. Deux sont une priorité de niveau importante et une est un niveau critique. La vulnérabilité la plus répandue concerne une bibliothèque de code sous Windows, essentielle pour la sécurité des applications Web et locales. Pour plus d'informations sur la vulnérabilité, ses implications et ce que vous devez faire, consultez notre rapport spécial. Les deux autres vulnérabilités concernent le service WINS (Windows Internet Naming Service) et l’autre se trouve dans la version Mac de Virtual PC. Consultez notre section Mises à jour de sécurité Windows pour plus d'informations.
Si cela ressemble à un canard, marche comme un canard et charlatans comme un canard, est-ce un canard ou un virus? Peut-être, peut-être pas, mais AOL avertissait (Figure 1) les utilisateurs de ne pas cliquer sur un message qui circulait via Instant Messenger la semaine dernière.
Mise à jour: La semaine dernière, nous vous avions parlé d’un faux site Web Ne pas envoyer de courriers électroniques, promettant de réduire le spam, mais qui était en fait un collecteur d’adresses de courrier électronique pour les spammeurs. Cette semaine, un article de Reuters rapporte que la commission fédérale du commerce américaine avertit: "Les consommateurs ne doivent pas envoyer leurs adresses électroniques à un site Web qui promet de réduire les" spams "indésirables, car ils sont frauduleux. L'article décrit ensuite le site et recommande, comme nous l'avons été, de "garder vos informations personnelles pour vous - y compris votre adresse électronique - à moins que vous ne sachiez à qui vous avez affaire."
Le jeudi 12 février, Microsoft a découvert qu'une partie de son code source circulait sur le Web. Ils ont fait le lien avec MainSoft, une société qui crée une interface Windows vers Unix pour les programmeurs d’application Unix. MainSoft concédait sous licence le code source de Windows 2000, en particulier la partie relative à l’API (interface du programme d’application) de Windows. Selon une histoire de eWeek, le code n'est ni complet ni compilable. Bien que l'API Windows soit bien publiée, le code source sous-jacent ne l'est pas. L'API est un ensemble de fonctions de code et de routines permettant d'exécuter Windows, telles que l'insertion de boutons à l'écran, la sécurité ou l'écriture de fichiers sur le disque dur. Un grand nombre des vulnérabilités de Windows proviennent de tampons non contrôlés et de paramètres associés à ces fonctions. Souvent, les vulnérabilités impliquent de transmettre des messages ou des paramètres spécialement conçus à ces fonctions, ce qui entraîne leur défaillance et l’ouverture du système à l’exploitation. Comme une grande partie du code Windows 2000 est également incorporé dans Windows XP et Windows 2003 Server, le code source associé peut permettre aux auteurs de virus et aux utilisateurs malveillants de trouver plus facilement des trous dans des routines spécifiques et de les exploiter. Bien que les vulnérabilités soient généralement identifiées par des sources Microsoft ou tierces avant qu’elles ne deviennent publiques, ce qui peut donner le temps de publier des correctifs, mais cette procédure risque d’être inversée, mettant les pirates informatiques dans une position de découverte et d’exploitation des vulnérabilités avant que Microsoft les trouve et les corrige.
