Periode Nieuwsbrief
Jaargang 2004,
Nummer 4, November 2004
VirusAlert.nl
Welkom bij de derde VirusAlert Periodiek
Een nieuwsbrief die u geregeld informeert over aan VirusAlert gerelateerde onderwerpen.

www.dell.nl

Inhoudsopgave
Oktober 2004; rustige virusmaand volgens Trend Micro rapport.
Firewall? Een toelichting.
VirusAlert.nl onderzoek: 95% van de ondervraagden heeft meermalen een virusinfectie gehad.
Over VirusAlert.nl

Oktober 2004; rustige virusmaand volgens Trend Micro rapport.

Uit de resultaten van het virusrapport van antivirusleverancier Trend Micro blijkt dat oktober 2004 dit jaar één van de langste periodes was zonder virusuitbraken. De leverancier signaleerde desondanks 1.817 nieuwe schadelijke codes, een toename van 22% ten opzichte van vorige maand.

Aantal Sasser-infecties afgenomen, Netsky wint aan terrein Na drie maanden een toppositie te hebben ingenomen in de lijst van meest voorkomende malware, lijkt de invloed van de Sasser worm sterk te zijn afgenomen. Volgens Trend Micro een mogelijk indicatie dat systemen steeds vaker gepatched worden. Ook de laatste Sasser variant, WORM_SASSER.B, komt niet voor op Trend Micro’s lijst van top-tien bedreigingen.

Met het verdwijnen van Sasser heeft Netsky de toppositie op de lijst van meest voorkomende bedreigingen overgenomen. WORM_NETSKY.P, de Netsky variant met de grootste impact tijdens de afgelopen maanden, kende een opvallende toenemende bedreiging van 20%. Dit brengt het totaal van wereldwijde infecties door deze worm sinds maart hoger dan 2 miljoen. Dit is bijna drie keer zo veel als het aantal geïnfecteerde systemen door WORM_SASSER.B. Samen met vier andere Netsky varianten domineert Netsky bijna de helft (45%) van de complete lijst.

Groei trojans en bot-programma’s zet door
Volgens de Trend Micro-statistieken blijft de groei van het aantal trojan-programma’s doorzetten. 47% van het aantal ontdekte schadelijke codes of malware waren trojans, en zelfs 65% als daar de backdoors oftewel remote trojans bij opgeteld worden. Wormen nemen met 30% een goede tweede plaats in op de lijst. Net zoals bleek uit eerdere maandoverzichten van Trend Micro gaat het in minstens 75% van deze laatste gevallen om bot-programma’s. Dit bewijst de verdere uitbreiding van bot ‘zombie’-netwerken die de veiligheid van systemen in gevaar brengen en een basis kunnen zijn voor gedistribueerde Denial of Service-aanvallen (DDos). Dit is te wijten aan de backdoor-componenten die vaak samengaan met bot-programma’s, waardoor controle over geïnfecteerde systemen eenvoudig volledig wordt overgenomen.

PE_ZAFI.B blijft woekeren
In juni dit jaar deed de destructieve wormvariant PE_ZAFI.B zijn opmars en wist met stip op nummer één de toppositie op de top-tien lijst van meest voorkomende gevaren te behalen. Nu, vijf maanden later, moet er nog steeds rekening worden gehouden met deze code. Ondanks dat het aantal infecties inmiddels sterk is afgenomen, blijft zijn aanwezigheid hoog in de top-tien lijst opmerkelijk. Het succes van deze code wordt, zoals eveneens geldt voor de Netsky-worm, veroorzaakt door de efficiënte verspreiding op basis van social engineering. Het ziet er volgens Trend Micro niet naar uit dat deze vorm van verspreiding snel zal verdwijnen zolang mensen misleidende attachments blijven openen. Een menselijke zwakte die bijna buiten het bereik van traditionele veiligheidsmaatregelen ligt.

Mydoom en Bagle opnieuw op oorlogspad
Ondanks de relatief kalme periode brachten virusschrijvers de varianten WORM_BAGLE.AU en WORM_MYDOOM.AA uit. Deze laatste viel in het bijzonder op vanwege de reactie die is verwerkt in de code op het nieuws dat de achtienjarige SASSER- en NETSKY ontwikkelaar Sven Jaschan nu in dienst is bij een beveiligingsbedrijf. Er werden deze maand dertien nieuwe BAGLE-varianten ontdekt. BAGLE heeft daarmee het hoogste aantal uitbraken veroorzaakt dit jaar.

De website van Trend Micro:
http://nl.trendmicro-europe.com/


95% van de ondervraagden heeft meermalen een virusinfectie gehad

VirusAlert.nl onderzoek: 95% van de ondervraagden heeft meermalen een virusinfectie gehad.

Uit een enquête gehouden door VirusAlert.nl onder haar eigen bezoekers (1.200 respondenten) blijkt dat maar liefst 95% van de ondervraagden in de loop der tijd een daadwerkelijke virusinfectie heeft opgelopen. Ondanks het gebruik van antivirussoftware konden de virussen ongemoeid hun gang gaan op de betreffende systemen. Wat zou dit kunnen verklaren?

Experts spreken vaker over de vermoeidheidsfactor van verschillende scanners, als de aantallen te scannen berichten/bestanden te groot worden dan kan een virus door het scanproces heenglippen. Een eerder onderzoek van VirusAlert gaf een 3% failure factor aan van verschillende scanners, oftewel; laat 100 virussen los op 1 (ge-update) scanner en gemiddeld zullen 3 virussen er doorheen glippen.

Een tweede failure-punt kan zijn het niet op tijd bijwerken van de engine middels updates. Updates zijn de herkenningsregels die nodig zijn om een bepaald, vaak nieuw, virus te herkennen en te verwijderen. De periode van het ontdekken van een virus, tot het schrijven van de herkenningsregels door de eperts, tot het installeren van de updates bij de klant (consument of organisatie) wordt de “Window-in-time” genoemd. Deze is gemiddeld zo`n 2 dagen, oftewel 48 uur! Dat betekent dat een nieuwe mass-mailer zich 48 uur lang zonder tegenstand kan verspreiden. In die tijd kan het miljoenen keren de wereld rond om evenzoveel systemen te infiltreren.

De vraag is hoe we een virusbeveiligingssysteem kunnen gebruiken dat beide oorzaken tenietdoet. Is outsourcen hiervoor de oplossing?

In de volgende periodiek meer uitkomsten van het onderzoek.


Firewall? Een toelichting.

Een firewall is een hard- of softwarematige oplossing die er voor zorgt dat de poorten op uw systeem niet door externe partijen gebruikt kunnen worden om toegang te krijgen tot uw systeem. Een computer gebruikt standaard een aantal poorten om bijvoorbeeld te communiceren via e-mail, ftp of internet. De poort bedoeld voor e-mail wordt door een firewall dan dus ook afgeschermd en staat dan enkel toe dat uw mailprogramma deze mag gebruiken. Hetzelfde geldt voor de poort die gebruikt wordt voor ftp, enkel het door u toegestane ftp-programma kan deze poort gebruiken.

Bij het gebruik van Firewall software is net als antivirussoftware zeer belangrijk om regelmatig updates te installeren. Van bekende varianten van bijvoorbeeld backdoor software is bekend van welke poorten zij gebruik maken c.q. standaard scannen. Zo gebruikt bijvoorbeeld het backdoor programma Subseven de poort met nummer 27374. Door uw firewall software zal deze dan ook worden geblokkeerd. Een eventuele aanval van SubSeven op deze poort zal door uw firewall dan ook meestal worden geïdentificeerd als “SubSeven”.

Hoe krijgt een hacker nu toegang tot uw syteem?
Een hacker kan direct als ook indirect toegang krijgen tot uw syteem. Bij de directe toegang zal hij bijvoorbeeld een range van IP-nummers scannen en ziet dan in het door hem gebruikte programma welke poorten openstaan. Vervolgens maakt hij connectie en is uw systeem door hem gecontroleerd. Een indirecte wijze is bijvoorbeeld het installeren van een backdoor programma welke wordt verspreidt via e-mail. Een bekend voorbeeld hiervan is het virus “Leave”, maar er zijn ook tal van andere virussen die een gelijke actie uitvoeren.

Op het moment dat het betreffende backdoor-programma op uw systeem is geïnstalleerd en tracht toegang te krijgen tot het internet zal uw firewall-software dit detecteren en afsluiten. Nog beter is een combinatie van een antivirus- en firewallpakket. Het antiviruspakket zal in dat geval bijvoorbeeld de “leave” als virus detecteren en verwijderen waardoor de backdoor niet eens geïnstalleerd zal worden op uw systeem.

Voor wie is een firewall zeker belangrijk?
Organisaties of particulieren die een continue verbinding met het internet gebruiken MOETEN beschikken over een firewall. Heeft u dat niet geïnstalleerd dan speelt u mee in een Russische roulette en kunt u ervanuit gaan dat een hacker uw systeem weet te vinden en deze zal openbreken. Voor particulieren betekent het in de regel dat als u gebruik maakt van ADSL of kabel internet u een firewall MOET installeren. Met hierbij hetzelfde argument.

Hiermee is niet gezegd dat gebruikers van analoge of ISDN-lijnen geen firewall dienen te installeren. In de praktijk is de connectietijd met het web dusdanig kort dat een dergelijke gebruiker niet door een hacker bezocht zal worden. Maar heeft u een virus binnengekregen dat een bacdoor installeert dan zal dit programma ook in de korte tijd dat u toegang maakt met het web toch data en gegevens doorsturen.

Gebruikers van Microsoft XP kunnen een standaard firewall activeren, welke behoorlijk goede prestaties levert. Via de help-fucntie van XP kunt u eenvoudig nalezen hoe u deze optimaal kan configureren.



Deze mailing wordt verstuurd met behulp van:
powered by EMAILWAVE

Behalve het versturen van de periodieke nieuwsbrief, welke in html formaat met afbeeldingen is, verstuurt VirusAlert ook alert mailings.

In het geval van een belangrijk nieuw virus worden de abonnees (circa 100.000, telling begin mei 2004) binnen 30 minuten op de hoogte gebracht.

En minstens net zo belangrijk: EmailWave heeft een gebruikersvriendelijke web-interface die door iedereen met enige internet ervaring is te gebruiken.

EmailWave maakt gebruik van een cluster van servers waardoor de bezorging van uw nieuwsbrief snel en betrouwbaar verloopt, de uitgebreide statistieken en de mogelijkheid om tijdsgestuurd te versturen maken het geheel compleet.

Voor meer informatie: www.emailwave.nl.

Over VirusAlert.nl

VirusAlert is een onafhankelijke Nederlandse organisatie die informatie van veiligheidsexperts en antivirusfabrikanten samenbrengt en kwalificeert.

Door de merkonafhankelijkheid slaat VirusAlert een brug tussen de verschillende antiviruslabaratoria en kan zij deze gebundelde kennis zeer snel aan haar abonnees ter beschikking stellen.

VirusAlert is op dit gebied toonaangevend. Met ruim 100.000 abonnees en dagelijks ruim 8.500 unieke bezoekers voorziet VirusAlert in een grote behoefte. VirusAlert is actief vanaf mei 2001. VirusAlert heeft een ideëe doelstelling welke door een deels commerciële aanpak mogelijk blijft.


Websites:
© 2001-2004, VirusAlert.nl. Alle rechten voorbehouden.
U ontvangt deze nieuwsbrief omdat u zich daarop heeft geabonneerd via www.virusalert.nl. Voor inhoudelijke vragen m.b.t deze nieuwsbrief kunt u een e-mail sturen naar redactie@virusalert.nl of bezoek onze website www.virusalert.nl.