MySQL-virus raadt zelf het wachtwoord

Alleen Windows-systemen kwetsbaar

Er waart een virus rond dat MySQL-databases aanvalt die draaien onder Windows. Het virus, genaamd 'MySQL bot' of SpoolCLL, verschaft zichzelf toegang tot computers door simpelweg het wachtwoord te raden. Het doet dit door veelgebruikte wachtwoorden in te vullen.


Als het virus toegang heeft gekregen tot het systeem, misbruikt het een fout in MySQL om een eigen programma te laten draaien, dat de controle over de computer volledig overneemt.


Computers die door het virus worden overgenomen, zullen vervolgens proberen contact te maken met een van vele Internet Relay Chat-servers, om zo updates én nieuwe slachtoffers te vinden.


Op zich kunnen systeembeheerders zich eenvoudig wapenen tegen het virus: kies een origineel wachtwoord. De geschiedenis leert ons helaas dat dit vaak niet gebeurd en dat een dergelijk virus dus wel degelijk kans heeft op verspreiding.


Volgens het Internet Storm Center, dat netwerkbedreigingen monitort, zijn momenteel al meer dan 8.000 computers geïnfecteerd.


Meevaller is dat MySQL-bot alleen MySQL-databases aanvalt die onder Windows draaien. De database-software is openbron en wordt dan ook vaak onder een ander besturingssysteem dan Windows gedraaid, zoals Linux.


Met een bijdrage van Robert Lemos, CNet

Virusmailtje vermomd als waarschuwing Microsoft

Windows update is trojan horse

Er gaat momenteel een e-mailtje de wereld over dat zich voordoet als beveiligingsupdate voor Windows, maar in werkelijkheid een trojan horse met zich meedraagt. De schade lijkt gelukkig mee te vallen.
Het bericht heeft als onderwerp 'MS Windows/Critical Error'. Voor de oplettende lezer is uit de tekst op te maken dat er iets niet in de haak is. Deze bevat namelijk de nodige taalfouten: "In the libraries of OS Windows(r) critical errors have been found. This errors lead to destruction of the system files from your computer without an opportunity on restoration."

Maar geen nood: het bijgevoegde attachment zal deze problemen wel even de wereld uithelpen, zo belooft de valse waarschuwing. In werkelijkheid is het attachment, genaamd Windowsupdate.rar, echter helemaal niet afkomstig van Windows.
Wat het wél is, is nog onduidelijk. Antivirusbedrijf Symantec heeft laten weten dat het bestand niet in hun virusdatabank is terug te vinden, en het bestand lijkt vooralsnog geen schade te veroorzaken aan Windows-systemen.
Virusmailtjes die zich voordoen als berichten van Microsoft, komen wel vaker voor. Microsoft heeft dan ook een speciale website geopend om klanten over dit soort nep-mailtjes te informeren. Het bedrijf wijst er onder andere op dat het nooit updates rondstuurt als e-mailattachments.
Met een bijdrage van Robert Lemos, CNet

Bush-regering opent jacht op illegale downloaders

P2P-techniek mogelijk strafbaar

De Bush-regering is van plan strenger op te treden tegen de illegale online handel in films en muziek. Daartoe is een verzoek ingediend bij het Amerikaanse Hooggerechtshof, om eerdere uitspraken over illegaal kopiëren te herzien.
Een 21-jaar oude uitspraak van het Hof staat centraal in de zaak, bericht IT-tijdschrif Techweb. In 1984 werd Sony vrijgesproken van inbreuk op auteursrecht door de verkoop van Betamax-videorecorders - toen een splinternieuwe technologie. Film- en televisiemaatschappijen klaagden dat Sony "illegaal kopiëren" mogelijk maakte.

In 1984 werd de techniek vrijgepleit en kon jaren later andere muziek- en videoapparatuur als iPods en digitale videorecorders ongehinderd worden ontwikkeld. In lijn met de Betamax-uitspraak werden online ruilbeurzen vrijgepleit van illegaal gedrag.
Die uitspraak zou - in het licht van moderne technieken om te films en muziek te kopiëren - moeten worden herzien, vindt de regering Bush. Procureur-generaal Paul Clement heeft een verzoek daartoe ingediend omdat "het lijkt dat er groepen zijn die netwerken hebben opgezet met als enig doel het uitwisselen van auteursrechtelijk beschermde muziek en films, zonder daarvoor te betalen."
De zaak draait in eerste instantie om ruilbeurzen als Grokster en Morpheus, die volgens Clement (en een keur aan artiesten) "auteursrechtenschending op ongekende schaal" mogelijk maken.
Opmerkelijke tegenstanders van een verbod op uitwisselingtechnieken als peer-to-peer (P2P) zijn reuzen als Microsoft en America Online.
P2P is op zichzelf een goedaardige technologie, dat zoals veel uitvindingen ook voor illegale praktijken benut kan worden. De vrees bestaat dat een verbod op P2P-techniek de ontwikkelingen van andere "revolutionaire digitale producten" smoort, aldus de internationale standaardengroep IEEE.
Tegelijk vindt de IEEE dat houders van copyright altijd beschermd moeten worden tegen hen die dat auteursrecht opzettelijk schenden. In maart buigt de rechter zich voor het eerst over de rechtszaak tegen Grokster en Morpheus.

Cisco waarschuwt voor lek in VoIP-software

Den Haag, 16.05 uur - Cisco adviseert gebruikers van zijn IP-telefoniesysteem om hun software te verversen. De waarschuwing volgt op de ontdekking door het in penetratietesten gespecialiseerde SecureTest, dat Cisco's software kwetbaar is voor 'denial of service'-aanvallen. De kwetsbaarheid schuilt in versies van Cisco's Internetwork Operating System (IOS) die waarbij de diensten IOS Telephony Service (ITS), CallManager Express (CME) en/of Survivable Remote Site Telephony (SRST) services ingeschakeld zijn. Apparaten waar zo'n configuratie op draait, zijn tot een herstart te brengen door ze een beheersboodschap in een verkeerd format te sturen. Cisco heeft patches en een beschrijving gepubliceerd op zijn website. (Jelle Wijkstra)

Bescherming tegen phishing in Thunderbird

De volgende versie van het e-mailprogramma Thunderbird krijgt een bescherming tegen phishingmailtjes

De 'phishingdetector' is aangekondigd door Henrik Gemal van de Mozilla-gemeenschap op zijn weblog, aldus CNet. De functie zit vermoedelijk ingebakken in de volgende versie van het programma Thunderbird 1.1.

Bij phishing-mailtjes proberen kwaadwillenden internetters door te sluizen naar een vertrouwde site (zoals van een bank) en vervolgens de inhoud van popups te veranderen. Zodoende zouden phishers persoonsgegevens kunnen verzamelen.

De nieuwe functie in Thunderbird moet gebruikers waarschuwen als het programma een dubieus adres tegenkomt. Dit wordt vaak door oplichters gebruikt om de ware domeinnaam van een site te maskeren.

Virus vermomt zich als CNN-nieuwsbrief

Trojan speelt in op nieuwshonger

Een worm gebruikt de nieuwskoppen van CNN om een Trojaans paard en een keylogger te installeren op de pc’s nietsvermoedende internetgebruikers. Het nieuwe virus, door antivirusbedrijf Sophos Crowt.A, genoemd, speelt in op de nieuwsbehoefte van internetgebruikers en vermomt zich als een nieuwsbrief met CNN-headlines. Het komt niet als een verrassing dat de bijlage een virus bevat.

Het onderwerp en de bijlage van het virusmailtje verandert voortdurend van naam en is een kopie van de laatste nieuwskop op de website van CNN. Ook de tekstboodschap van het bericht wordt in realtime overgenomen van CNN, waardoor ontvangers van het mailtje geloven dat ze met een bonafide nieuwsbrief te maken hebben.

Als de bijlage wordt geopend, wordt een Trojaans paard op de computer van het slachtoffer geinstalleerd. Hierdoor hebben kwaadwillenden toegang tot de harde schijf van besmette pc's. Bovendien installeert Crowt.A een keylogger.

Phishing-aanvallen vooral gericht op financiële instellingen

Cybercriminelen veranderen van tactiek

In december 2004 is het aantal phishing-aanvallen met 6 procent gestegen. Phishers hebben het vooral gemunt op financiële instellingen. Dat blijkt uit een rapport van de Anti-Phishing Working Group.


De Anti-Phishing-werkgroep registreerde in vorige maand 9.019 nieuwe, unieke phising-aanvallen, een stijging van 6 procent. Het aantal websites betrokken bij deze vorm van fraude steeg fors: van 1.546 in november tot 1.707 in december, een stijging met 10 procent. Een op de drie phishingsites is afkomstig uit de Verenigde Staten. China staat op de tweede plaats met 12 procent, gevolgd door Korea met 11 procent.


Vooral financiële instellingen, zoals banken en creditcardverstrekkers, worden lastiggevallen door phishers: 85 procent van alle gekaapte bedrijfsnamen is actief in de financiële sector. ISP's (7%) en webwinkels (6%) kunnen verrassend genoeg op minder belangstelling rekenen. Experts hadden verwacht dat tijdens de feestdagen veel meer webwinkels het doelwit zouden zijn van phishing-aanvallen. Het zijn veelal dezelfde bedrijven die hun merknaam zien opduiken frauduleuze emails: in december werden slechts 55 merknamen gebruikt door phishers.


De werkgroep waarschuwt tevens voor een nieuwe vorm van phishing. De klassieke werkwijze is het lokken van internetgebruikers naar een nep-website. De surfer denkt op een betrouwbare website te zijn en vult nietsvermoedend persoonlijke informatie in zoals wachtwoorden, rekeningnummers of creditcardnummer.


Tegenwoordig worden andere technieken gebruikt, schrijft de Anti-Phising Working Group. Slachtoffers worden nog altijd naar een frauduleuze website gelokt, maar hoeven geen vertrouwelijke gegevens meer in te vullen. Wel worden bezoekers aangespoord om een bepaald programma te installeren. Daarnaast proberen cybercriminelen, door beveiligingslekken in de browser te misbruiken, ongezien een programma te installeren op de harde schijf van de argeloze surfer. Bij het bezoeken van een specifieke website, bijvoorbeeld een online bank, komt de malware in actie en onderschept het gebruikersnamen en wachtwoorden van de internetgebruiker.

Worm verstopt in hulpactie tsunami-ramp
Virusschrijvers bereiken nieuw dieptepunt



Virusschrijvers hebben een nieuw dieptepunt bereikt: een worm die zich vermomt als een hulpoproep voor de slachtoffers van de tsunami in Zuidoost-Azië. Dit meldt beveiligingsfirma Sophos.


De worm is te herkennen aan het onderwerp: "Tsunami donation! Please help". Ontvangers van het e-mailbericht worden aangespoord om de bijlage "tsunami.exe" te openen. Als dit gebeurt, verspreidt het virus zich naar andere internetgebruikers.



Het virus kan ook een Denial-of-Service-aanval lanceren tegen een Duitse website voor hackers, waardoor de website onbereikbaar wordt.


"Door mensen voor te spiegelen dat ze de slachtoffers van de vloedgolf kunnen helpen, hebben hackers een nieuw dieptepunt bereikt", verklaarde Graham Cluley van Sophos.


Veel succes heeft de worm voorlopig niet, maar het is niet het eerste virus dat de natuurramp in Zuidoost-Azie misbruikt. Een vroegere worm verspreidde de boodschap dat de tsunami een wraak van God was op "mensen die slechte dingen hadden gedaan op aarde".


Ook oplichters maken gretig gebruik van de ramp in Zuidoost-Azië. Verschillende varianten op de beruchte Nigeriaanse 419-fraude zijn al opgedoken. Deze vorm van mailfraude probeert financiële gegevens te ontfutselen van internetgebruikers, onder het voorwendsel dat grote geldsommen versluisd moeten worden vanuit Afrikaanse landen. Als beloning wordt een percentage van het geld beloofd. Alleen moet de respondent eerst geld opsturen, zogenaamd om de administratieve kosten te dekken.


In een tsunami-variant beweert een doodzieke Thaise zakenman dat hij al zijn familieleden heeft verloren door de vloedgolf. Hij zoekt mensen die enkele miljoenen dollar willen opvragen bij een Europese firma, om vervolgens het geld te verdelen onder goede doelen. "Ik zoek een godvrezend en betrouwbaar iemand die naar Europa wil reizen om het geld te innen," staat er in het frauduleuze bericht te lezen

Peter R. de Vries bestrijdt warez
Nieuwe campagne tegen illegale software


Begin februari start dit offensief, dat georganiseerd wordt door de NVPI (branche organisatie entertainment-industrie) en de BSA (Business Software Alliance).


In een persbericht met dramatische ondertoon schrijft de NVPI dat er actie moet worden ondernomen. "De industrie is het zat. Lang genoeg is er machteloos toegekeken hoe piraterij een miljoenenstrop creëerde voor softwareontwikkelaars, gameproducenten en winkeliers. De toekomst moet veilig gesteld worden, voor het te laat is", aldus de NVPI.


Uit onderzoek van de branchorganisatie blijkt dat er per jaar in Nederland 200 miljoen blanco cd's worden verkocht, waarvan tien procent gebruikt wordt voor het illegaal kopiëren van software en games. Meer dan de helft van alle jongeren in Europa tussen de 16 en 19 jaar zou volgens hetzelfde onderzoek zelfs betalen voor gekopieerde games.


Over de schade die ontstaat door het downloaden van illegale games en software wordt niet gesproken, maar meer details over het onderzoek zullen begin februari bekend worden gemaakt.


De antipiraterij-campagne wordt ondersteund door misdaadverslaggever Peter R. de Vries. Hij verzorgt een deel van de presentatie en speelt een rol in de commercials die in februari te zien zullen zijn.


Tegelijkertijd maakt de NVPI ook bekend dat er meer computergames zijn verkocht in het eerste halfjaar van 2004. Omdat de gemiddelde winkelverkoopprijs echter daalde, is er sprake van een omzetdaling van negen procent.

Update voor Windows: drie lekken


Patches voor kritieke lekken:

Microsoft komt morgen met patches voor drie kritieke lekken in het Windows XP. De pleisters maken deel uit van het maandelijkse rondje updates voor het besturingssysteem.

In overeenstemming met het nieuwe, twee maand oude waarschuwingssysteem voor updates, geeft Microsoft nu enkele dagen van tevoren hoeveel lekken gedicht worden en hoe ernstig de beveiligingsproblemen zijn. Het bedrijf wil niet kwijt welke lekken door de nieuwe patches aangepakt worden.Eind december maakten Chinese veiligheidsexperts drie nieuwe Windows-kwetsbaarheden rechtstreeks wereldkundig, waaronder een bijzonder ernstig lek in Internet Explorer. Ze publiceerden ook meteen de exploit code: code die laat zien hoe hackers van de lekken misbruik kunnen maken. Microsoft was hierdoor ontstemd en klaagde dat het daardoor geen tijd kreeg om voor een oplossing te zorgen.

Het is voorlopig afwachten of de nieuwe pleisterronde deze bewuste lekken dicht. Microsoft was bijzonder spaarzaam met informatie en wou alleen kwijt dat computergebruikers waarschijnlijk hun pc moeten herstarten na het installeren van de patches. Dat gebeurt echter wel vaker bij Windows.

Microsoft, en Internet Explorer in het bijzonder, wordt al een tijdje geplaagd met beveiligingsproblemen. Open-bronbrowser Firefox maakt hiervan handig gebruik om zich als veilig alternatief voor IE te presenteren en snoept stelselmatig marktaandeel af van Microsofts browser.

Met een bijdrage van Robert Lemos, News.com

FBI besteedt 170 miljoen dollar aan specificaties

Den Haag, 15.43 uur - Het Federal Bureau of Investigations (FBI) zal zijn Virtual Case File-project nooit afronden. Dat concludeert het 'inspector general office' van het Amerikaanse ministerie van justitie in een concept-rapport dat aan de FBI is gestuurd. De inhoud van dat rapport is wereldkundig gemaakt door het Amerikaanse Government Computer News. De FBI heeft de ontvangst van het rapport bevestigd, maar kon nog geen commentaar leveren op de inhoud ervan. Het concept-rapport stelt onomwonden dat de Virtual Case File-toepassing, waar nu nog aan gewerkt wordt, nooit in de behoeften van de FBI zal voldoen. Er bestaat geen duidelijke planning voor het afronden van het project, en er is dan ook geen uitzicht op het voltooien van het project, stelt de interne rekenkamer van het ministerie van justitie. Bovendien constateren de onderzoekers dat de FBI inmiddels bezig is met de ontwikkeling van een nieuw systeem voor het vastleggen en distribueren van gegevens over onderzoeken naar criminele zaken en activiteiten. Ze achten het uitermate onwaarschijnlijk dat al ontwikkelde tussen- en deelproducten van het Virtual Case File-project hun weg zullen vinden naar dit Federal Investigative Case Management-systeem (FICMS). Een uitzondering maakt het rapport voor de functionele specificaties: het Virtual Case File-project heeft de FBI wel geholpen om die specificaties helder op het netvlies te krijgen. Sinds de start van het Virtual Case File-project in de zomer van 2001 heeft de FBI 170 miljoen dollar aan het systeem gespendeerd. (Jelle Wijkstra)