:: NORMAN :: Antivirus | Firewall

Home

Nieuws

Producten en diensten

Virussen en beveiliging

Support

Download

Verkooppunten

Aanschaf

Selecteer uw land

Selecteer product

Virussen en beveiliging » Beveiligingsinformatie » 2006 » Overzicht van beveiligingsproblemen in 2006 (I)

Overzicht van beveiligingsproblemen in 2006 (I)

Toevoegen aan Mijn Norman Bookmarks

Beveiligings informatie week 14, 2006

Januari 2006

1 januari: MS06-001, beveiligingslek Windows-metabestanden (.wmf)

Het jaar begon gelijk goed met een beveiligingslek in de Windows-engine voor het weergeven van afbeeldingen (GRE of grafische renderingsengine). Door middel van een speciaal gemaakt Windows-metabestand (.wmf) kan een hacker code uitvoeren en volledige controle krijgen over het systeem. Omdat deze engine voor het weergeven van afbeeldingen in alle Windows-versies wordt gebruikt, waren alle Windows-systemen kwetsbaar voor dit beveiligingslek. Op dezelfde dag dat dit werd ontdekt, werd ook de eerste malware gedetecteerd die er misbruik van maakte. Hierdoor wordt het aangemerkt als een ‘0-day exploit’.

Norman heeft technologie opgenomen in SandBox waarmee misbruik van dit beveiligingslek nu en in de toekomst wordt gedetecteerd. Er is gedurende een aantal dagen andere malware gedetecteerd waarmee werd geprobeerd misbruik te maken van dit beveiligingslek, maar deze zijn alle gestopt door Norman SandBox.

5 januari: aanval Sober-virus

De aanval van het Sober-virus die volgens sommige experts op 5 januari zou plaatsvinden, heeft zich niet voorgedaan. Dit kwam allereerst door een ietwat slordige analyse: de vergelijking in de nieuwste Sober-variant is “ComparisonDay > 5 January", zodat deze in ieder geval niet eerder zou plaatsvinden dan 6 januari. Er gebeurde echter ook niets op 6 januari, noch op een van de daaropvolgende dagen. Door het samenvallen met de gedenkdag van de 87e verjaardag van de nazipartij wordt de aanval meer gezien als een gehypte gebeurtenis van het bedrijf dat het ‘feit’ publiceerde dan als een daadwerkelijke gebeurtenis. Waarom zou de virusmaker de gedenkdag van de nazipartij vieren en dat elke dag na 5 januari?

10 januari: MS06-002, beveiligingslek ingesloten lettertypen

Tijdens het surfen op internet komt men wel eens op bepaalde webpagina’s zonder dat dit de bedoeling was. Dit is vaak het gevolg van typfouten in de URL waarvan het bijbehorende domein is geregistreerd. Met MS06-002 werd dit een probleem omdat een beveiligingslek was ontdekt in de manier waarop Windows ingesloten weblettertypen verwerkte. Door een speciaal opgezette website te bezoeken of door een speciaal geformuleerd e-mailbericht te openen, kon de hacker code uitvoeren en volledige controle krijgen over het systeem.

10 januari: MS06-003, beveiligingslek in TNEF-decodering

Gebruikers liepen een risico wanneer zij een bericht openden met een speciaal gemaakte bijlage van het MIME-type TNEF (Transport Neutral Encapsulation Format) of wanneer een speciaal geformuleerd bericht werd verwerkt door de Microsoft Exchange Information Store. De hacker die dit speciale bericht verzond, zou volledige controle kunnen krijgen over getroffen systemen.

17 januari: virus W32/Small.KI

Het is alweer enige tijd geleden dat een virus voor het eerst werd verspreid met een zeer destructieve werking (de ‘payload’), maar nu was daar opeens het virus W32/Small.KI. Dit virus niet alleen bijzonder maar ook ondefinieerbaar. Bijna alle leveranciers van antivirussoftware hebben het een andere naam gegeven: Nyxem, MyWife en KillAV zijn slechts een paar voorbeelden. Het heeft net zoveel namen als potentiële gevaren. Op elke 3e dag van de maand, de eerste keer op 3 februari 2006, zal het gegevens beschadigen in Word-documenten, Excel-werkbladen, Access-databases, PowerPoint-presentaties, Adobe-bestanden (.pdf), zip- en rar-bestanden, enzovoort. Aan dit virus werd een CME-ID toegekend: CME-24.

Februari 2006

Februari 3 virus W32/Small.KI, niets gebeurd

Ondanks het feit dat dit een wijdverspreid virus is en de schadelijke werking elke 3e dag van de maand zou worden geactiveerd (de eerste keer op 3 februari), zijn er nauwelijks (zo niet geen) meldingen binnengekomen van personen die gegevens hebben verloren. En dat terwijl een externe webteller die het aantal infecties bijhield (of beter gezegd, het aantal verbindingen met een specifieke website) tot meer dan 15.000.000 kwam. Dit betekent dat de meeste gebruikers voorzorgsmaatregelen hebben genomen en hun antivirusprogramma up-to-date hebben gehouden.

14 februari: MS06-004: beveiligingslek WMF

Nog een beveiligingslek in de WMF-afbeeldingenhandler werd gedetecteerd waarmee externe code kon worden uitgevoerd met speciaal gemaakte afbeeldingen die konden worden geladen door te surfen naar een website of door een e-mailbericht te openen dat die speciale afbeelding bevatte. Dit beveiligingslek verschilt van andere die eerder zijn gevonden (MS05-053 and MS06-001) ondanks dat dit ook in de WMF-handler voorkwam.

14 februari: MS06-005, beveiligingslek Windows Media Player

Met Windows Media Player kunt u bitmaps ophalen. Dit betreft vaak hoesjes van het album dat wordt afgespeeld Wanneer deze hoesjes speciaal zijn gemaakt, kan externe code worden uitgevoerd. De kans dat men te maken krijgt met dit beveiligingslek is klein omdat vrij veel interactie nodig is om misbruik te maken van dit lek. Aangezien de meeste hoesjes beschikbaar zijn op bonafide sites van de platenindustrie, moeten die sites worden gehackt en moet een hoesje worden vervangen door een schadelijke versie.

14 februari: MS06-005, beveiligingslek invoegtoepassing Windows Media Player

Nog een beveiligingslek in de Windows Media Player, maar dan bij de invoegtoepassing voor niet-Microsoft-browsers. Dit is het gevolg van de manier waarop de invoegtoepassing Windows Media Player EMBED-elementen verwerkt. EMBED-elementen zijn tags en vormen de meest gebruikelijke manier om geluid toe te voegen aan internetpagina’s. Een speciaal gemaakt schadelijk EMBED-element op een website kan het mogelijk maken externe code uit te voeren via niet-Microsoft-browsers wanneer de betreffende site wordt bezocht.

14 februari: MS06-007, beveiligingslek ‘denial of service’ tijdens pingen

Speciaal gemaakte ping- of IGMP-pakketten (Internet Group Management Protocol) kunnen ervoor zorgen dat getroffen systemen niet meer reageren, waardoor dit beveiligingslek resulteert in een daadwerkelijke denial-of-service-aanval. Zonder adequate beveiliging en patches kunnen hele netwerken ophouden te reageren.

16 februari: eerste Mac OSX-malware: OSX/Leap.A

Decennialang zijn Windows-gebruikers door Macintosh OSX-gebruikers erop gewezen dat hun besturingssysteem veiliger is en hun omgeving gebruiksvriendelijker. Nu is dan eindelijk een beperkt verspreide malware gedetecteerd die zich richt op de OSX. Het betreft meer een haalbaarheidstest omdat de malware, OSX/Leap.A, wordt uitgevoerd op het systeem van de geadresseerde maar zich niet verder kan verspreiden. Toch is nu de eerste enigszins succesvolle malware gemaakt voor OSX. Het is zeer waarschijnlijk dat er meerdere zullen volgen en ooit zal een malware worden gemaakt voor OSX die wel kan worden verspreid.

17 februari: tweede Mac OSX-malware: OSX/Ingtana.A

Het duurde inderdaad maar een dag voordat de volgende malware voor OSX werd gedetecteerd, een worm met de naam OSX/Ingtana.A. Deze malware verspreidde zich via Bluetooth maar gezien het feit dat deze worm een tijdsgebonden demo van een Bluetooth-bibliotheek gebruikt, moet ook deze worden beschouwd als een haalbaarheidstest. Als de worm was gecompileerd met een versie die niet tijdsgebonden is, zou deze meer gevaar hebben opgeleverd. Apple heeft updates beschikbaar gesteld met patches waarmee systemen worden beveiligd tegen CVE-ID: 2005-1333, het Bluetooth-bestand en het beveiligingslek van Object Exchange Directory Traversal waarvan deze worm gebruikmaakt.

Maart 2006

6 maart: haalbaarheidstest InfoPath-virus

Een nieuw haalbaarheidsvirus is gedetecteerd dat weer een andere toepassing uit de Microsoft Office Suite infecteert. Deze keer betreft het de toepassing InfoPath en het virus heet W32/Icabdi.A. Dit is een ‘interessant’ virus omdat het afhankelijk is van de aanwezigheid van externe toepassingen en van schrijf- en uitvoerrechten vanaf een specifieke locatie op de vaste schijf van de gebruiker. Aangezien dit haalbaarheidsvirus geen schadelijke werking heeft en afhankelijk is van de aanwezigheid van externe toepassingen, is het risico zo laag dat gebruikers zich geen zorgen hoeven te maken. Natuurlijk is het, net als met andere haalbaarheidsvirussen, mogelijk dat zich nu een stroom aan virussen zal voordoen die gebruikmaken van dezelfde techniek.

10 maart: trojan verbergt zich achter kinderpornografie

Dit is een trieste dag omdat Norman een nieuwe trojan heeft geïdentificeerd. Nu is dat op zich niets nieuws voor een beveiligingsbedrijf, maar deze trojan installeert een film met kinderpornografie en speelt deze af. De trojan met de videoclip wordt verspreid op internet via diverse kanalen, via netwerken voor het delen van bestanden (zoals Kazaa) en mogelijk ook via e-mailberichten. De trojan met de naam W32/Agent.ULL waarschuwt voor de expliciete inhoud van de film maar gebruikt de videoclip als lokmiddel om gebruikers erop te laten klikken.

De primaire functie ervan is niet om de film te tonen maar om een aantal andere kwaadaardige programma’s te installeren die automatisch worden gedownload terwijl de film wordt afgespeeld. De film dient om de gebruiker af te leiden van de andere activiteit die wordt uitgevoerd. De kwaadaardige programma’s die op de computer worden geplaatst, vormen een hele reeks schadelijke adware- en spywarebestanden in combinatie met een reclamecampagne voor pornografische websites.

Een week later ontving Norman een tweede trojan die dezelfde film gebruikt. Hopelijk wordt dit geen trend. Het toont echter wel aan dat makers van adware en spyware erg ver kunnen gaan om hun ‘waar’ te verspreiden.

14 maart: MS06-012, uitvoer externe code via Microsoft Office

Wanneer de gebruiker zich op getroffen systemen heeft aangemeld met beheerdersrechten, kan een hacker volledige toegangsrechten verkrijgen en volledige controle krijgen over het systeem waardoor hij of zij elke gewenste code kan uitvoeren. Dit beveiligingslek is door Microsoft aangemerkt als kritiek omdat het lek zich bevindt in elke versie van Microsoft Office, ook in de versies voor de Macintosh.

15 maart: haalbaarheidstest RFID-virus

Onderzoekers van de Universiteit van Amsterdam zijn erin geslaagd een RFID-chip (Radio Frequency Identification Device) te infecteren met een computervirus. Tot nu toe was men van mening dat de geheugencapaciteit van RFID-chips te gering was om deze te kunnen infecteren. Onderzoek heeft nu uitgewezen dat dit wel degelijk mogelijk is. RFID-chips kunnen op vele manieren worden gebruikt, bijvoorbeeld in paspoorten, bagagelabels voor verwerking op vliegvelden and elektronische apparaten. Deze chips kunnen ook bij huisdieren en dergelijke worden geïmplanteerd. Hoewel aan verscheidene voorwaarden moet worden voldaan voordat een virus mogelijk is (zoals RFID-schrijfapparatuur), kan de publicatie van de code het optreden van het eerste virus versnellen.

21 maart: DRM-software veroorzaakt onmiddellijk opnieuw opstarten

StarForce is een bedrijf dat DRM-software maakt voor de gamesmarkt. Het blijkt dat hun software een stuurprogramma installeert op het hoogste niveau van het systeem (ring0). Op dat niveau wordt het stuurprogramma altijd geladen en uitgevoerd, ook als men een game speelt dat is beveiligd met de DRM-software van StarForce. Een stuurprogramma dat op dat niveau wordt uitgevoerd, heeft volledige controle over het systeem. Op het moment dat de DRM-software verdacht gedrag detecteert waarbij de beveiligde software wordt gekopieerd, zorgt de DRM-software dat het systeem opnieuw wordt opgestart. Volgens berichten gebeurt dit op vrij meedogenloze wijze: het systeem wordt niet gewoon uitgeschakeld waarbij werk wordt opgeslagen, maar wordt onmiddellijk opnieuw opgestart waarbij alle niet-opgeslagen gegevens verloren gaan.

22 maart: Rootkit-worm

De makers van de Bagle-wormen hebben een nieuwe laag toegevoegd aan hun nieuwste creaties. Zij hebben Rootkit-technologie opgenomen in de W32/Bagle.MD. Hierdoor is de worm moeilijker te detecteren en lastiger te verwijderen wanneer deze zich in het geheugen bevindt. Het toepassen van Rootkit-technologie in wormen of virussen kan lucratief zijn voor makers van malware aangezien vele computers continu worden geïnfecteerd via het verspreiden ervan.

23 maart: nieuw beveiligingslek in Internet Explorer (CVE2006-1359)
De manier waarop Internet Explorer de aanroep createTextRange() afhandelt voor een selectievakobject, kan potentieel gevaar opleveren. Speciaal gemaakte websites kunnen ervoor zorgen dat Internet Explorer dusdanig vastloopt dat arbitraire code kan worden uitgevoerd. Actieve code als haalbaarheidstest is aangetroffen op ten minste 37 sites. Microsoft heeft nog geen patch uitgebracht. Andere browsers lopen geen risico. Gebruikers van Internet Explorer kunnen dit probleem omzeilen door Active Scripting en Scripting van Java-applets uit te schakelen. Ga naar http://support.microsoft.com/kb/154036/nl voor instructies voor de diverse versies van Internet Explorer.

Norman heeft generieke detectie opgenomen in haar producten als JS/Exploit!CVE-2006-1359 en op het moment van schrijven is dankzij deze exploit al het materiaal gestopt dat werd gedownload van kwaadaardige sites.

VIRUS- WAARSCHUWINGEN

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Laatste virusdefinitie- bestanden

>>	2009-01-07

Beveiligingsinformatie

>>	Summing up 2008 and predictions for 2009
>>	Christmas time - a season to enjoy AND fear

Beveiligingsadvies

>>	Unscheduled update for Microsoft Internet Explorer
>>	Six critical updates for Microsoft systems in December 2008

Norman is een van de toonaangevende organisaties ter wereld op het gebied van gegevensbeveiliging. Met producten als antivirus, personal firewall, antispam, data recovery en gecertificeerde data verwijdering, speelt het bedrijf een belangrijke rol in de computergegevens industrie.