VirusAlert.nl logo
  23 oktober 2017 Blog | Virusscanner vergelijken | nieuwsbrieven | alerts | links | faqs | partners | adverteren | contact
Titel:
De belangrijkste virusgerelateerde gebeurtenissen in 2003
Rubriek:
Virussen
Datum:
16 december 2003
Bron:
(c) 2003, VirusAlert
Bericht:

Een overzicht van de belangrijkste virusgerelateerde gebeurtenissen in 2003, volgens Symantec.

Januari – De Slammer worm wordt ontdekt, een zeer schadelijke worm gericht op SQL servers, waardoor internet in principe volledig uitgeschakeld zou kunnen worden. In tegenstelling tot andere wormen, is Slammer niet gebaseerd op bestanden waardoor het zich snel kan verspreiden. De worm is gericht op systemen die draaien op Microsoft SQL Server 2000 en op Microsoft Desktop Engine (MSDE) 2000. De worm stuurt 376 bytes naar UDP poort 1434, de SQL Server Resolution Service Port. Slammer heeft een onbedoelde payload van een Denial-of-Service aanval vanwege het grote aantal pakketjes die hij verstuurt. Bedrijven zijn het belangrijkste doelwit van de Slammer worm, terwijl consumenten mogelijk geen toegang konden krijgen tot internet. Wereldwijd raken meer dan 75.000 hosts geïnfecteerd en gedurende een aantal uren is er vertraagde toegang tot internet. De omvang van Slammer verdubbelde elke 8,5 seconde gedurende de eerste minuut en binnen 10 minuten waren de meeste kwetsbare hosts allemaal geïnfecteerd.

De SoBig worm wordt voor het eerst ontdekt. Sobig is een mass-mailing network-aware worm die zichzelf stuurt naar alle e-mailadressen die hij vindt in documenten met bepaalde extensies. Alle volgende varianten van Sobig vervalsen ook het veld van de afzender. Het e-mailadres van de afzender wordt vervalst door een willekeurig e-mailadres te kiezen op de geïnfecteerde PC. Naast e-mailen op grote schaal geeft Sobig ook vertrouwelijke informatie vrij die soms wordt ‘gestolen’ van het systeem. SoBig en varianten zijn uniek vanwege de hard gecodeerde de-activeringsdata; zodra één variant gedeactiveerd wordt, wordt er direct een nieuwe variant gelanceerd.

Maart – De BAT911 worm wordt ontdekt. Deze worm gebruikt .bat bestanden en doorzoekt een reeks IP-adressen van bekende ISP’s om een toegankelijke computer te vinden. Als een computer de C: schijf toegankelijk maakt en niet beschermd is met een wachtwoord dan kopieert de worm bestanden op die computer. BAT911.worm is uniek omdat hij de modem van het geïnfecteerde systeem gebruikt om 911 te bellen.

Juni – De Bugbear.B worm wordt ontdekt; het is een variant van de Bugbear.A worm. De worm is polymorfisch, bevat keystroke logging* en backdoor-capaciteiten en probeert verschillende antivirus en firewallprogramma’s te beëindigen. De worm maakt gebruik van de ‘Incorrect MIME Header Can Cause IE’ om de kwetsbaarheid van de e-mailbijlage te activeren. Bij niet gepatchte systemen wordt de worm dan automatisch geactiveerd wanneer een bericht gelezen wordt (ook bij previewing). Hiernaast bevat de worm een lijst met meer dan 1300 domeinnamen van financiële instellingen. Als W32.Bugbear.B vaststelt dat de domeinnaam van het geïnfecteerde systeem toebehoort aan een bank, wordt auto-dialing geactiveerd. Hierdoor kan de computer zonder tussenkomst van de gebruiker verbinding maken met het internet. Auto-dialing, in combinatie met keystroke logging, is waarschijnlijk een poging om wachtwoorden effectiever te kunnen achterhalen. Bugbear.B behoort tot een nieuwe categorie e-mailwormen die serieuze criminele actitiviteiten proberen te ontplooien. Dit is een voorbeeld van diefstal van vertrouwelijke informatie.

Augustus – De Mimail worm wordt ontdekt. Mimail is een worm die zich verspreidt per e-mail en informatie steelt van de computer van de gebruiker.
De worm verzamelt informatie van bepaalde schermen van de desktop en stuurt deze vervolgens naar bepaalde e-mailadressen. Mimail buit bekende kwetsbaarheden uit en de worm is verpakt in UPX. Ongebruikelijk aan Mimail is dat het zich verspreidt in de vorm van een zipbestand wat nogal wat inspanning vraagt van de gebruiker; die moet immers dubbelklikken om het bestand te openen en vervolgens de inhoud uitpakken. De worm is vooral succesvol omdat de kwetsbaarheden die hij misbruikt automatisch worden uitgevoerd. Hiernaast wordt effectieve social engineering gebruikt voor de verspreiding door zich voor te doen als een bericht betreffende het e-mailaccount van de gebruiker en dat afkomstig is van de systeembeheerder.

De Blaster worm wordt ontdekt. Blaster is een wijd verspreide worm die vereist dat ook thuisgebruikers een firewall en antivirussoftware gebruiken, en ook een update van Windows patches. De Blaster worm gebruikt de DCOM RPC met TCP poort 135. De worm besmet alleen Windows 2000- en Windows XP-systemen. Alhoewel Windows NT- en Windows 2003 Server-machines kwetsbaar zijn voor de genoemde exploit (als niet juist gepatched), is de worm niet gecodeerd om deze systemen te besmetten en te repliceren. Blaster voerde een Distributed Denial-of-Service* aanval uit op de Windows update site van Microsoft.

De Welchia worm wordt ontdekt. Deze is uniek omdat hij probeert systemen tegen Blaster te beschermen door een legitieme patch van de Microsoft website te downloaden. Onbedoeld effect van de Welchia worm was dat netwerken en systemen werden vertraagd of zelfs werden uitgeschakeld.

De Sobig.F worm wordt ontdekt. Het is een mass-mailing network-aware worm die zijn eigen SMTP engine gebruikt om zich te verspreiden. De Sobig.F worm maakt gebruik van e-mail spoofing, wat wil zeggen dat de worm een willekeurig e-mailadres zoekt op de computer en deze in het afzenderveld plaatst bij de verspreiding. Deze zesde variant van het Sobig virus is ook opmerkelijk omdat in de tweede fase blijkt dat er op bepaalde tijdstippen binnen een vastgesteld tijdsbestek een onbekende payload* zal worden gedownload door alle geïnfecteerde systemen. Dit werd voorkomen door het afsluiten van de downloadservers. Vooral consumenten en kleine bedrijven raakten besmet met Sobig.F.

September – De Swen.A worm wordt ontdekt. Het is een mass-mailing worm die zijn eigen SMTP engine gebruikt om zich te verspreiden. Het probeert zich te verspreiden via file-sharing zoals KaZaA en IRC, en probeert antivirus en firewall programma’s op de computer uit te schakelen.

De worm kan binnenkomen als e-mailbijlage. Het onderwerp, de tekst en het adres van de afzender kan steeds variëren. Sommige berichten doen zich voor als patches voor Microsoft Internet Explorer, of als foutmeldingen van qmail. De Swen.A worm maakt gebruik van een kwestbaarheid in Microsoft Outlook en Outlook Express door zichzelf te activeren (execute) als gebruikers het bericht openen (ook bij preview). Het verspreidt zich snel onder thuisgebruikers vanwege de populariteit van peer-to-peer netwerken.

November – De Mimail.J worm wordt ontdekt. Het is een mass-mailing worm die probeert persoonlijke informatie te stelen van de thuisgebruiker. Het e-mailbericht van deze worm heeft als onderwerp ‘Your PayPal.com Account Expires’ en toont een aantal onechte formulieren van PayPal, een online betalingssysteem, die gebruikers vraagt om een creditcard nummer, de PIN die bij de kaart hoort, en de beveligingscode. Deze informatie wordt opgeslagen en later verstuurd naar een aantal vooraf vastgestelde e-mailadressen. De Mimail.J worm is net als Bugbear.B een voorbeeld van een nieuwe trend waarbij hackers* niet zozeer willen opvallen maar een crimineel doel nastreven.

December – De Mimail.L worm wordt ontdekt. Het is geprogrammeerd om de websites van anti-spam organisaties te overspoelen met junk e-mail waardoor deze mogelijk ontoegankelijk worden voor legitieme bezoekers. De Mimail.L worm spoort ook ontvangers aan om de organisaties te overspoelen met e-mail door zich voor te doen als een bestelling voor kinderpornografie en een antwoord te vragen om te annuleren.

Reactie plaatsen, log dan hier in
Link:
website : Symantec.nl
Advertentie:


 Reacties op dit bericht:
reactie door op 23 december 2003 om 18:08.

wij krijgen sinds drie dagen continu pornografische popup, en reclame binnen via internet ze openenen zichzelf in voledig scherm.



 Uw reactie:
U bent niet ingelogd dus kunt niet reageren op dit bericht.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS