אבטחה – שרות Service 111

13/09/2010

וירוס Here You Have מתפשט במהירות

וירוס חדש מסוג תולעת מתפשט עכשיו ברשת האינטרנט ועושה שימוש (שוב) בחוסר הידע של המשתמשים כדי להפיץ עצמו.

ב 9 לספטמבר 2010 פורסם ב US-CERT דבר הימצאו של הוירוס וכן המלצות על דרכי התגוננות.

שם הוירוס הוא W32/VMMania@MM

קבלת הוירוס

את הוירוס לא מקבלים כקובץ וזה למעשה עיקר הבעיה.

הוירוס מופץ לרוב על ידי הודעות דואר אלקטרוני אשר אינן מכילות קבצים בגוף ההודעה אלא רק לינק – קישור אל מיקום ברשת שם יושב הקובץ הזדוני אך הוא גם מסוגל להתפשט דרך רשת משרדית או ביתית ואף דרך כוננים משותפים בהתחברות למחשב מרוחק.

מאחר ואין קובץ בגוף הודעת המייל היא מצליחה לעבור את מסננת האנטי וירוס כמעט בכל שרת דואר אלקטרוני.

ההודעה המתקבלת תכיל כיתוב בשורת הנושא "Here you have" או לחילופין את הכיתוב "Just for you" או "This is the Free Dowload (sic) Sex Movies, you can find it Here," ובתוכן ההודעה יופיע קישור אל מה שנראה לכאורה קובץ PDF לגיטימי (הוא לא !).

פעילות התולעת והנזק

משתמש אשר לוחץ על הקישור מועבר אל אתר זדוני אשר יציע להוריד ולהתקין קובץ שומר מסך אשר הסיומת שלו .scr.

מי שיאשר את ההתקנה יהפוך להיות נגוע בוירוס התולעת הזה אשר ישתלט על ספרי הכתובות במחשב וישלח את עצמו אל כל הנמענים המצויים שם.

מטרת ההתקפה של הוירוס היא ככל הנראה גניבת מידע – הוירוס מבצע הורדה עצמאית של רכיבים וכלים אשר מסוגלים "למשוך" סיסמאות מדפדפנים (אינטרנט אקספלורר, פיירפוקס, אופרה, כרום וכו') ומאפליקציות אחרות ולהעביר אותן אל מפעילי הוירוס.

המלצות

לנו, לדוברי העברית יש קצת יותר סיכוי להתמודד עם וירוסים מהסוג הזה מאחר והודעות כאלו כתובות באנגלית.

המלצה חד משמעית אשר אני חוזר עליה שוב ושוב היא : לא לפתוח שום מייל שמגיע מכתובת שאנחנו לא מכירים או לחילופין אינה מכילה נתונים על השולח. כמו כן הודעות שנראות כהודעות פרסומיות אשר אינן מכילות שם, כתובת ופרטי התקשרות הן אוטומטית הודעות פסולות.

עוד דבר חשוב עליו אני ממליץ בחום הוא להשתמש בנכס יקר שיש לכל אחד מאיתו – השכל – בדיוק כפי שהייתי חושד בחבילה אשר תגיע אלי בדואר כשאין עליה כתובת שולח או מאדם אותו אני לא מכיר ולא מצפה לקבלת חבילה ממנו, כך בדיוק אתנהג עם הודעות מייל.

תוכנת אנטי וירוס עדכנית ומעודכנת תוכל לעזור ברוב המקרים למנוע מוירוס להתפשט – גם במקרה הזה – אם חלילה הורדנו את הקובץ למחשב, תוכנת האנטי וירוס תדע למנוע ממנו לפעול ולהפיץ את עצמו ולכן חשוב מאוד להקפיד על עדכנות האנטי וירוס.

לסיכום

ישם מספר דיווחים כי הקובץ אותו מוריד הוירוס אינו מצוי יותר ברשת אך תמיד ישנה האפשרות שהוא יופיע שוב.

מלבד זאת המחשבים שכבר נפגעו מהוירוס עדיין מפיצים אותו ולכן חשוב מאוד להצמד להמלצות האבטחה של אנשי המחשבים שאתם סומכים עליהם.

שנה טובה ונקיה מוירוסים !

קישורים למידע על הוירוס

http://news.cnet.com/8301-27080_3-20016068-245.html

http://www.us-cert.gov/current/index.html#here_you_have_email_malware

http://www.symantec.com/connect/blogs/new-round-email-worm-here-you-have

http://www.zdnet.com/blog/security/primitive-here-you-have-e-mail-worm-spreading-fast/7323

06/04/201012/05/2011

מספר כלים וכללים להתגוננות בפני וירוסים ושאר מזיקים

בעקבות חשדות לפריצת חשבונות ג'ימייל יהו ועוד על ידי קבוצת האקרים מסין,חשבתי לרענן את רשימת הכללים והכלים לשמירה על פרטיות המידע ועל הגנה מפני תקיפות מקוונות והנה הכללים הבסיסיים :

1. לא לעבוד עם מחשב ללא תוכנת אנטי וירוס מעודכנת ופעילה – מחשב מסוגל לקבל ולשלוח מידע בדרכים שונות הכוללות מיילים, גלישה והקלקה באתרים, חיבור כוננים חיצוניים – כולל דיסק און קי, הכנסת דיסק – כונן סידי או דיוידי וכו'.
כל אחת מהדרכים המוזכרות כאן יכולה להוות נתיב בו וירוס או מזיק אחר יכול לחדור למחשב שלנו ומה שחשוב לזכור הוא שלא תמיד אנחנו מודעים לכך שאם חיברנו את הדיסקאוןקי שלנו במחשב של מישהו אחר, ייתכן ששם "קפץ" עליו וירוס אשר בשמחה ובששון, "יקפוץ" למחשב שלנו ברגע שנחבר את הדיסקאוןקי שוב במחשב שלנו !
תוכנת אנטי וירוס פעילה ומעודכנת תמנע ברוב המצבים את מעבר המזיק לתוך המחשב שלנו וברוב המקרים תוכל גם להתריע ולנקות את הדיסקאוןקי.
אם יש חשש שהמחשב נגוע, צריך מייד (!!!) לנתק אותו מהרשת אם הוא מחובר לכזו ולנתקו מהאינטרנט ולקרוא לבעל מקצוע שידע כיצד לנקותו.

2. לדאוג שבמחשב תרוץ אך ורק תוכנת אנטי וירוס אחת – רוב תוכנות האנטי וירוס יזהו פעילות של תוכנות אנטי וירוס אחרות כפעילות ויראלית ויפגעו בתפקוד התוכנה השניה – זהו מצב מסוכן בו המשתמש סובר כי יש לו הגנה "אפילו הגנה כפולה" כשבפועל מנגנון ההגנה יכול להיות מושבת לחלוטין.

3. להמנע ככל האפשר משימוש בתוכנות לשיתוף קבצים – למרות שהמטרה המקורית של התוכנות הללו הינה טובה, יש לקחת בחשבון שמי שהכין את הקובץ לשיתוף לא דאג לבדוק אם הקובץ נקי מוירוסים או גרוע מכך, ייתכן ששתל שם משהו בכוונה.

4. מומלץ להיעזר בתוכנה לסריקת מזיקים – מעבר לוירוסים קיימים הרבה מאוד סוגים של מזיקים החל ממקפיצי פרסומות דרך גונבי הקלדות עד לסוסים טרויאנים.
קיימות הרבה מאוד תוכנות שמאפשרות חיפוש והסרה של מזיקים מהסוגים הללו אך צריך להיות מודעים לקיום הסכנה כדי לנסות להתגונן מפניה.
אחד הדברים החשובים עליו אני ממליץ להקפיד הוא להשתמש בתוכנות לא מסחריות ! תוכנה מסחרית – כזו שמשלמים עליה כסף תהיה תמיד נתונה להשפעה של בעלי ממון כאלו או אחרים לגבי מה בדיוק היא סורקת ומה היא מצביעה עליו כלא בטוח – למשל, אני לעולם לא אתן לחוסם פרסומות של מיקרוסופט לעשות בשבילי כלום כי אני יודע שמיקרוסופט תתן לפרסומות שלה לעבור ולפרסומות של אחרים לא …

5. גיבוי !!! – אחד הדברים שיכולים לעזור בשעת משבר, כאשר מגלים שאבדה תקווה להחזיר את המחשב לפעילות תקינה לאחר שזוהם הוא גיבוי מסודר אותו ניתן לשחזר לאחר פירמוט והתקנה מחדש של המחשב.

6. הקפידו לשלוח מייל לרשימות תפוצה בשדה "עותק מוסתר" ולא בשדה "אל" כדי למנוע הפצה של כתובות המייל של הנמענים שלכם לידיים של ספאמרים ומופרעים אחרים אשר עלולים לשלוח אליהם (וכך גם יגיע אליכם) מיילים נגועים.

7. לעולם ! אבל לעולם לא !!! לעולם אל תפתחו קובץ המצורף להודעת מייל במידה וסיומת הקובץ היא אחת מהסיומות הבאות : exe, com, bat, msi . אני באופן אישי מגביל גם מעבר של קבצי zip וגם rar אשר יכולים להכיל בתוכם קבצים מסוכנים בשרתי הדואר אותם אני מתחזק.

8. אל תצאו מנקודת הנחה שהמחשב החדש דנדש שקיבלתם מהחנות או מספק המחשבים המקומי שלכם נקי מוירוסים וממזיקים – דבר ראשון התקינו בו תוכנות הגנה ובדקו את מצבו.

9. במקרים בהם מתקינים מערכת הפעלה מחדש, אם לא בוצע פרמוט של מחיצות הדיסקים הקשיחים הקיימים במחשב בעת ההתקנה, נחשבת ההתקנה כאילו לא בוצעה מאחר והכוננים והמחיצות מכילות עדיין את אותו מידע – נגוע – שהיה עליהן.

10. להשתמש בראש ולא בדחף כשמקליקים על קישור – פעמים רבות, אם קופץ חלון ששואל שאלה, רוב המשתמשים שאני מכיר לא טורחים בכלל לנסות להבין או לקרוא מה המחשב רוצה ובוחרים באופן אקראי תשובה – לא או כן – רק שייסגר החלון הקופץ המרגיז הזה … טוב זה בדיוק מה שרוצים שתעשו וזה בדיוק מה שיכול לגרום להתקנת קוד מזיק במחשב וזה דרך אגב לא חשוב אם לחצתם "כן" או "לא" כשקפץ החלון – לרוב זה ייקח אתכם לאותו מקום בדיוק …
הפתרון הוא פשוט לסגור את החלון שקפץ בדרכים המקובלות הרגילות ולא להיעזר בכפתורים שמופיעים בתוכן החלון – הכוונה היא למל, לסגור את החלון ב X שבפינת החלון. אם אין X אז להשתמש בקיצור המקלדת Alt+F4 אשר סוגר חלון פעיל.

הקפדה על 10 הכללים הפשוטים הללו תבטיח לכם זמן איכות עם המחשב שתבלו בעשיית הדברים שאתם רוצים לעשות במקום בנסיון לנקות אותו ממה שנטפל אליו.

הנה מספר קישורים להורדת תוכנות חינם לעזרה כללית :

1. תוכנת האנטי וירוס AVG Free המיועדת לשימוש ביתי ולא מסחרי בלבד !

2. תוכנת Spyware Terminator המשלבת הגנה בזמן אמת מפני רוגלות ואנטי וירוס Calm הידוע מעולם הקוד הפתוח. תוכנה זו מותרת לשימוש עסקי (!) ואינה עולה כסף.

3. תוכנת Spybot Search and Destroy הנפלאה – סריקה שלה מוצאת תמיד את מה שלא בסדר והיא אמינה ויציבה לאורך זמן רב !

4. תוכנת Cobian Backup אשר יודעת לבצע גיבוי בדרכים שונות – תוכנה מצויינת גם לשימוש עסקי, ללא עלות.

5. האתר המצויין של חנן כהן – לא רלוונטי – ניתן לבדוק כאן האם הודעות מייל מפחידות יש בהן ממש אם לאו …

הפוסט הזה ימשיך להתעדכן מדי פעם על פי תגובותיכם ונוסיף אליו כלים ואזהרות בהמשך – כדאי להישאר איתנו …

26/11/200926/11/2009

עוד חור אבטחה באקספלורר

כשמומחי אבטחה מדברים על חורים כמו בגבינה שוויצרית, אפשר מיד להבין שהם מדברים על דפדפן האינטרנט של מיקרוסופט – האקספלורר !

הנה שוב נתגלתה פרצת אבטחה אשר מפריעה לגלישה השוטפת ומהווה איום על המחשב.

כתבה באתר Ynet מסבירה את הפרצה שהתגלתה ואת הסיכונים הכרוכים בה.

פתרון טוב מאוד לכל בעיות האבטחה זמין לכולם ללא עלות בדמות דפדפן בטוח ויציב אותו ניתן להוריד מהאינטרנט ולהתקין בכל מחשב שרוצים תוך 5 דקות – שמו שועל האש FireFox והוא ניתן להורדה מהאתר http://firefox.com.

קישורים :

1. הכתבה בYnet

2. הורדת Firefox.

20/11/200908/01/2010

אזהרה ידידותית

בתקופה האחרונה מתרבים נסיונות החדרת הוירוסים למחשבים על ידי הונאת מקבלי הודעות דוא"ל.

ההונאה מאוד פשוטה ועובדת על כל מי שלא טורח לבדוק את תוכן ההודעה לעומק ולא שם לב למאפינים הלא סטנדרטים שלה.

זה עובד כך :

אני מקבל מייל המכיל טקסט וקישור, ללא תמונות או פרסומות.

המייל מגיע לכאורה ממישהו ששלח אותו מתוך אותו ארגון בו אני מנוי על הדוא"ל – לדוגמא, התחום בו יש לי תיבת דואר הוא sheroot.net ואלי נשלח מייל מאת alert@sheroot.net – ישות שכמובן לא קיימת.

ההודעה כתובה בלשון מנומסת ופשוטה וכתוב בה משהו בסגנון :

משתמש sheroot.net יקר, עליך להחליף את מצב האבטחה של החשבון שלך ממצב פשוט למצב מאובטח. אנא עשה זאת באמצעות הקישור המצורף.

למטה מצורף קישור מאוד מאוד ארוך אשר בתחילתו יש את שם הדומיין שלי :

http://ac counts.sheroot.net.verz zm.org.uk/webmail/settings/noflash.php?m

(הוספתי בכוונה רווחים כדי שהקישור לא יהיה תקף)

ההודעה נראית כך :

warning2

ברור ומובן מאליו, מאחר ואני הוא מנהל הרשת שלי, שלא אני שלחתי את ההודעה הזו !

להמשיך לקרוא אזהרה ידידותית

תגית: אבטחה