Nieuw wormvirus kent vele varianten

Weinig schade, snelle verspreiding

Een nieuw wormvirus plaagt het internet: Mytob. Deze maand zijn er al twaalf varianten ontdekt, waarvan acht in de afgelopen week. Het virus verspreidt zich behoorlijk snel.

De nieuwste varianten werden maandag ontdekt door antivirusbedrijf Symantec. Net als eerdere versies doen deze W32.Mytob.R en W32.Mytob.S niet veel meer dan zichzelf verspreiden.

Mytob infecteert computers die draaien op het Windows besturingssysteem. De worm gebruikt zijn eigen SMTP-engine (Simple Mail Transfer Protocol) om zichzelf door te sturen naar alle e-mailadressen die het op geïnfecteerde computers kan vinden.

De nieuwste versies van Mytob proberen verder nog te voorkomen dat een geïnfecteerde computer toegang kan krijgen tot de beveiligingsupdate-websites van bedrijven als Symantec, McAfee en Microsoft.

De varianten van Mytob worden verspreid via e-mails met verschillende onderwerpregels en tekst. Mytob.R en Mytob.S zitten als attachment vast aan e-mails met onderwerpregels als "good day" en "mail transaction failed".

Het virus kan zichzelf ook verspreiden via een lek in de Local Security Authority Service (LSAS) in Windows. Voor dit lek heeft Microsoft echter al lang een patch uitgegeven via de periodieke updates; alleen computers die niet afdoende zijn gepatched, zijn dus op deze manier kwetsbaar.

Voor alle gangbare antivirusprogramma's zijn updates uitgebracht die computers tegen het virus beschermen.

Met een bijdrage van Matt Hines, CNet

FBI speurt naar p2p-gebruik op bedrijfsnetwerken

Rechtszaken tegen bedrijven op komst?

Zijn na particulieren en universiteiten nu ook bedrijven het doelwit van acties tegen het illegaal uitwisselen van bestanden via p2p-netwerken? Volgens het Britse ICT-bedrijf Energis scant de FBI in alle stilte bedrijfsnetwerken waarop illegaal muziek- en filmbestanden worden uitgewisseld.

De zaak kwam aan het rollen nadat beveiligingsexperts van Energis een verhoging van het aantal netwerkscans constateerden op het internet. Nader onderzoek wees uit dat een groot deel van de scans afkomstig was van de Amerikaanse politiedienst FBI.

Energis contacteerde de FBI voor tekst en uitleg, die de feiten niet ontkende. De Amerikaanse politiedienst verklaarde aan het bedrijf dat ze onder meer onderzochten wie wettelijk aansprakelijk gesteld kon worden voor het uitwisselen van bestanden via een bedrijfsnetwerk.

"De FBI is duidelijk gestart met het onderzoeken van bedrijven waarvan de werknemers zich bezig houden met het illegaal ruilen van muziek en films op p2p-netwerken. Ik vermoed dat sommige bedrijven binnenkort in de problemen komen", aldus Malcolm Seagrave van Energis.

De FBI is lang niet de enige organisatie die de scans uitvoert, aldus Energis. Ook de Recording Industry Association of America (RIAA) en een organisatie met de naam MediaDefender bespioneren bedrijfsnetwerken om gegevens te verzamelen over illegale activiteiten op peer-to-peernetwerken.

Energis, dat onder meer internettoegang en webhostingdiensten levert aan bedrijven en openbare diensten, voerde zelf enkele netwerkscans uit. Het stootte hierbij op een bedrijf waarvan eenderde van de bandbreedte van het netwerk werd ingepalmd door filesharing.

Ondernemingen zijn zich vaak niet bewust van het gebruik van ruilprogramma's als Kazaa of eDonkey door werknemers. Als ook bedrijven worden aangeklaagd wegens het schenden van auteursrechten op muziek- en filmbestanden, kan daar wel eens snel verandering in komen.

Vorige maand nog daagde de RIAA, de Amerikaanse belangenvereniging van de muziekindustrie, elf mensen voor de rechtbank. Ze worden ervan beschuldigd universitaire netwerken te misbruiken om illegaal bestanden uit te wisselen via Kazaa, eDonkey en Grokster.

Met een bijdrage van Dan Ilett, ZDNet UK

Trojaans paard levert Braziliaan 37 miljoen op

De Braziliaanse politie heeft een oplichter gearresteerd die ervan wordt verdacht 37 miljoen dollar te hebben verdiend met het plunderen van bankrekeningen.

De oplichter, Valdir Paulo de Almeida, zou leiding hebben gegeven aan een bende. Ze verstuurden via e-mails Trojaanse paarden rond, voornamelijk naar Brazilianen. Dat meldt The Register.

"Ze verstuurden meer dan drie miljoen e-mails met Trojaanse paarden per dag", stelt Eduardo Cidreira, die in de Braziliaanse staat Santa Catarina is belast met het onderzoek naar internetfraude.

Virusbestrijder Sophos stelt dat er diverse Trojaanse paarden in omloop zijn die zich specifiek richten op gebruikers van de sites van Braziliaanse banken. Computers die zijn geïnfecteerd met een dergelijke trojan, sturen automatisch wachtwoorden en dergelijke door op het moment dat de gebruiker een financiële site bezoekt.

De Braziliaanse autoriteiten hebben in het afgelopen jaar meer dan vijftig mensen gearresteerd die zich schuldig zouden hebben gemaakt aan phishing

bron: WebWereld

Hackers richten zich meer op Mozilla-browsers

De populariteit van de Mozilla-browsers begint zich te wreken. Hackers gaan zich steeds meer richten op fouten in Firefox en Navigator










Internet Explorer wordt al lang geplaagd door hackers die via scripts beveiligingsfouten in de software uitbuiten. Volgens beveiligingsexperts van Symantec krijgen hackers steeds meer interesse Mozilla-browsers, zo concluderen zij in hun halfjaarlijkse Internet Security Threat Report.

In het tweede halfjaar van 2004 zijn er voor de Mozilla-browsers meer patches uitgebracht dan voor de browser van Microsoft. In het laatste half jaar van 2004 werden er voor Internet Explorer 13 gaten gedicht. In Firefox werden maar liefst 21 fouten verholpen.

Van de patches voor IE, waren er negen voor 'zeer kritieke' lekken. Bij de Mozilla-browser gold dat voor elf van de 21 fouten. Bij Firefox kregen zeven beveiligingslekken het etiket 'zeer kritiek'.

Gemiddeld wordt een lek in Internet Explorer gedicht in 43 dagen. Mozilla heeft daar gemiddeld 26 dagen voor nodig.

Van de lekken die tussen juli en eind december werden geconstateerd, was 70 procent makkelijk uit te buiten door de beschikbaarheid van kwaadaardige scripts.

Hack bevrijdt iTunes-muziek van DRM

Muziek aangepast voordat beperkingen intreden

Jon Lech Johansen, een Noorse hacker die eerder de encryptie van dvd's kraakte, heeft software gemaakt waarmee je in de Apple iTunes Music Store muziek kunt kopen zónder beperkende digitale rechten.

PyMusique, zoals het pakket heet, is volgens Johansen "een eerlijke interface met de iTunes Music Store". Johansen is niet de enige auteur - twee andere programmeurs werkten mee.

De software biedt - in een Spartaans jasje - vrijwel alle functionaliteit van iTunes. PyMusique buit het gegeven uit dat digitale rechten (DRM) binnen iTunes pas ná aanschaf van de muziek worden teruggevoegd. Een speciale gecodeerde koppeling met de computer waarop iTunes draait, maakt het onmogelijk de muziek daarna vrijelijk te verspreiden.

PyMusique omzeilt simpelweg het proces waarbij DRM wordt toegevoegd. In de algemene voorwaarden van iTunes schrijft Apple voor dat de muziekwinkel alleen met hun software benaderd mag worden. Het geeft Apple de juridische mogelijkheid om accounts die op alternatieve wijze de winkel binnenkomen, te blokkeren.

Een andere functie die PyMusique introduceert is de gratis download van reeds gekochte muziek. Op dit moment is het niet mogelijk om legaal gekochte muziek bij de iTunes-winkel opnieuw te downloaden, mocht het onverhoopt door een harddisk crash of onvoorzichtige opruimwoede verloren zijn gegaan.

De implicaties van PyMusique, dat naar verwachting snel door Apple buitenspel wordt gezet, zijn vooral interessant voor juristen. Wanneer een bestand vóór toepassing van beperkende maatregelen apart wordt gezet, is er dan sprake van een overtreding? Er wordt namelijk geen codering doorbroken of verwijderd.

De benodigde software (voor Linux of Windows) is gratis te downloaden via de site van Johansens hackersgroep Nanocrew. De site is op het moment van schrijven soms slecht te bereiken.

bron: ZDNet

Wereldwijd ruim miljoen zombiecomputers actief

Hackers hebben banden met georganiseerde misdaad




Wereldwijd beschikken hackers over meer dan één miljoen besmette pc's om websites aan te vallen, spam te versturen en persoonlijke informatie te stelen. Het Honeypot Project maakte deze alarmerende cijfers gisteren bekend.

Zombiecomputers zijn pc's die met trojaanse paarden besmet zijn en daardoor hackers in staat stellen de controle over de pc over te nemen. In de meeste gevallen is de eigenaar zich hiervan niet bewust.

De gekaapte pc's worden vervolgens ingezet in een botnet, een netwerk van meerdere besmette computers. Deze botnets kunnen door hackers willekeurig ingezet worden om DDoS-aanvallen op websites uit te voeren, spam te versturen of spyware te installeren.

Het Honeynet Project liet drie onbeschermde computers met een internetverbinding - of honey pots - kapen door hackers, en bestudeerde de activiteiten van de besmette pc's. De pc's waren uitgerust met Windows XP of Windows 2000, zonder patches.

Medewerkers van het Duitse project telden meer dan honderd botnets; sommige netwerken bestonden uit een legertje van meer dan 50.000 zombiecomputers. Het onderzoeksteam schat dat er wereldwijd meer dan één miljoen pc's in handen zijn van cybercriminelen, maar vreest dat dit nog maar het topje van de ijsberg is.

"Sommige aanvallers zijn zeer bedreven en goed georganiseerd, en behoren waarschijnlijk tot de georganiseerde misdaad," waarschuwt Thorsten Holz, een van onderzoekers. "Maar ook in handen van amateurs zijn botnets een krachtig en schadelijk wapen."

In een specifiek geval zocht speciale bot-software naar besmette pc's waarop het spelletje Diablo II was geïnstalleerd, een populair online rollenspel waarbij spelers allerlei items en vaardigheden kunnen verzamelen. Was het spelletje aanwezig, dan ontvreemdde de hacker items van de speler om die op de veilingsite eBay te verkopen. "Heel vernuftig en bijzonder moeilijk op te merken", zo schrijft Holz.

Een doorsnee bot kan beschikken over 10.000 computers, die via het chatsysteem IRC instructies krijgen van de hacker. Er is wel een tendens tot het opzetten van kleinere netwerken, die moeilijker te detecteren zijn dan reusachtige netwerken. Ook zullen toekomstige botnets zich vaker bedienen van communicatietechnieken uit peer-to-peer netwerken, waardoor ze nog moeilijker te bestrijden zijn.

Met een bijdrage van Robert Lemos, News.com

Hacker kraakt server universiteit Twente

Den Haag, 9.42 uur - Een hacker heeft ingebroken op een server van de Universiteit Twente (UT). Het incident had afgelopen weekeinde plaats, maar is pas vandaag naar buiten gebracht. Als gevolg van de computerinbraak waren zaterdag en zondag ruim duizend computerwerkplekken buiten bedrijf. De UT heeft bij de politie aangifte gedaan.

De inbraak in een van de servers van de UT werd vrijdag ontdekt. "Uit veiligheidsoogpunt zijn toen ook de andere servers van de universiteit buiten bedrijf gesteld'', zegt een woordvoerder van de UT. Er is verder geen schade aangericht en er zijn geen gegevens verloren gegaan.

De voorlichter zegt dat er bij de UT continue bewaking is om hackers buiten de deur te houden. "Maar 100 procent beveiligen kun je nooit.'' Desondanks gaat de universiteit onderzoeken of de beveiliging van het computernetwerk kan worden geoptimaliseerd. (anp)

Crackers maken gegevens LexisNexis buit

Donderdag, 10 maart 2005 - Identiteitsdieven zijn er geslaagd om gegevens van 32.000 Amerikaanse burgers buit te maken bij een inbraak bij LexisNexis.

De inbrekers waren onder meer in staat om namen, adressen, nummerbordgegevens en 'social security'-nummers buit te maken, zo meldt de Washington Post. De dieven kunnen dergelijke gegevens onder meer gebruiken bij het aanvragen van creditcards op andermans naam.

LexisNexis staat bekend om zijn grote databanken met juridische en zakelijke informatie. Daarnaast verzamelt en verkoopt het bedrijf persoonlijke informatie over miljoenen Amerikaanse consumenten.

De inbraak vond plaats bij het onderdeel Seisint. LexisNexis, onderdeel van Reed Elsevier, nam Seisint (een afkorting voor 'seismic intelligence') afgelopen zomer over voor 775 miljoen dollar.

De Amerikaanse opsporingsautoriteiten hebben inmiddels een onderzoek naar de inbraak ingesteld.

bron:WebWereld

DAS ontraadt gebruik Internet-Explorer

Den Haag, 10.40 uur - Rechtsbijstandverzekeraar DAS signaleert een toename van het aantal zaken over internetfraude. Ook ziet DAS een verschuiving in de technieken die worden gebruikt om de internetgebruiker geld uit de zak te kloppen. Veel trucs zouden berusten op zwaktes in Internet Explorer. DAS raadt z'n klanten dan ook aan een andere browser te gebruiken.

Het meest voorkomend is de zogeheten inbelfraude: na het aanklikken van een pop-up komt er software de computer in (een dialer), die de computer laat inbellen met een peperduur 0900-nummer van de oplichter. Steeds vaker wordt daartoe gebruik gemaakt van nummers in het buitenland (Tuvalu en Diega Garcia).

Een groot aantal zaken die bij DAS binnen komen, hebben te maken met kinderen. Zij maken gebruik van een website waar je 'gratis' je eigen website op kunt bouwen. Vaak wordt niet of onduidelijk vermeld dat er meteen sprake is van een jaarbonnement, tenzij expliciet wordt opgezegd. Weken later ontvangen ouders facturen voor het abonnementsgeld van 20 euro per maand. Op dat moment is de wettelijke bedenktijd om een overeenkomst te vernietigen, allang verstreken.

Betrekkelijk nieuw zijn ook de zaken waarin een bedrijven gratis dvd's aanbieden via internet. Consumenten bestellen deze dvd's, en ontvangen ze ook per post. Pas na een jaar valt er een brief op de mat waarin het bedrijf vraagt om een bedrag van 560 euro, zijnde abonnements- en aanmaningskosten. Ook hier is dan de bedenktijd allang verstreken.

Veel zaken betreffen internetsites waarop gratis kan worden gechat. Consumenten melden zich aan voor de gratis proeftermijn en maken gebruik van de dienst. Na afloop van de gratis proeftermijn, melden zij zich niet aan voor een contract. Na maanden ontvangt de consument toch een rekening van gemiddeld circa 500 euro. In de voorwaarden op internet zou te lezen zijn dat de proefperiode automatisch wordt omgezet naar een jaarcontract.

DAS waarschuwt dat het is vaak moeilijk om te achterhalen is wie de eigenaren van deze louche websites zijn. En als ze al achterhaald kunnen worden, is een juridisch verweer niet eenvoudig. Ze raadt aan de 0900-nummers door KPN te laten blokkeren, de firewall zo in te stellen dat pop-ups worden tegengehouden en in plaats van Internet Explorer een andere browser te gebruiken, want tot nu toe komen al deze zaken via Internet Explorer binnen. (Rolf Zaal)

Mobiel virus verspreidt zich via mms

Ook CommWarrior treft Symbian








Virussen voor mobiele telefoons worden steeds geavanceerder. Eerst was er Cabir, dat zich verspreidde via bluetooth. Toen kwam er Lasco, dat zich behalve via bluetooth ook via attachments kan verspreiden. En nu is er weer een nieuw virus ontdekt: CommWarrior. Dit virus, dat werd ontdekt door antivirus-bedrijf F-Secure, is de eerste die zich via mms kan verspreiden. Mms (Multimedia Messaging Service) is een soort geavanceerde versie van sms; via mms kan behalve tekst ook audio, video of foto's worden verstuurd. Verspreiding via mms is veel gevaarlijker dan via bluetooth. Voor een bluetooth-verbinding moeten twee toestellen zich immers binnen tien meter van elkaar verbinden, terwijl mms de hele wereld rond kan gaan, net als een e-mailworm. CommWarrior kan systemen besmetten die draaien op het populaire Symbian besturingssysteem met de Series 60 interface. Het virus bevat Russische tekst en lijkt dus in Rusland te zijn gemaakt.

Nieuwe Bagle-variant installeert Trojaans paard

Woensdag, 2 maart 2005 - Antivirusbedrijven waarschuwen voor een nieuwe variant van het Bagle-virus. Deze gaat onorthodox te werk en installeert een achterdeur op getroffen pc's.

Bagle.BB (ook wel BagleDI-L genoemd) verspreidt zich via massale spamcampagnes. In tegenstelling tot de meeste recente virussen probeert de nieuwe variant zich echter hierna niet verder te verspreiden via het adresboek van een getroffen pc. Wel installeert Bagle.BB een zogenoemd Trojaans paard.

Dit gebeurt via meegezonden zip-bestanden met namen als doc_01.exe of prs_03.exe. Eenmaal geïnstalleerd maakt het programma contact met een website om een ander kwaadaardig programma te downloaden en te installeren.

Dit programma zou gebruikt worden door spammers om grote hoeveelheden e-mails te kunnen versturen vanaf de gekaapte computers, zo stelt virusbestrijder Eset. Ook bedrijven als Sophos en F-Secure waarschuwen voor de nieuwe variant.

Hotmail-hoax

In de lijst van meestvoorkomende virussen van februari komt Bagle.BB vanzelfsprekend nog niet voor. Zafi-D voert bij Sophos de lijst aan, gevolgd door Netsky-P, Zafi-B en Bagle-BK. Bij de toptien van hoaxes voert de bekende Hotmail-hoax de lijst aan.

Maar liefst 37 procent van alle meldingen had betrekking op deze nepmail. Met grote afstand volgen hoaxes als Bonsai kitten, A virtual card for you en verschillende tsunami-mailtjes als 'Undentified tsunami boy'.

Windows-pc binnen 18 minuten willoze zombie

Duizenden aanvallen op slecht beveiligde machines

StillSecure heeft een experiment uitgevoerd door zes machines met zes verschillende besturingssystemen direct aan internet te koppelen. De resultaten waren ontluisterend.

StillSecure, dat zich bezighoudt met de beveiliging van netwerken en computers, sloot een mix van pc's met Windows en Linux-distributies aan op internet. De machines waren als honey pot - een lokkertje - neergezet. StillSecure hield bij hoe vaak de machines gescand werden en of exploitatie van de computer succesvol was.

Al na achttien minuten klopten Sasser en Blaster aan de poort - in een poging zwakke plekken in de verdediging van computers te vinden. Het meest ontluisterend presteerde Windows XP, voorzien van het eerste servicepack (SP1). Deze versie van XP was binnen een uur (!) willig slachtoffer van virussen en spammers. De machine met Windows XP SP1 werd maar liefst 4857 keer aangevallen.

Met het tweede servicepack (SP2) lijkt Microsoft een behoorlijke veiligheidsslag te hebben gemaakt. Nog altijd werd 16 keer geprobeerd om in te breken, maar die waren allen onsuccesvol.

Beter presteerden een aantal populaire Linux-distributies: StillSecure testte Suse Professional 9.2, Red Hat Fedora Core 3 en Red Hat 9. Deze machines werden gemiddeld 8 keer aangevallen, maar niet gekraakt.

Het zich op Unix baserende Mac OS X (Jaguar) werd eveneens getest. Slechts drie onsuccesvolle pogingen de machine binnen te komen werden geregistreerd. De Linux-machines werden niet voorzien van extra patches en allen out of the box getest.

Microsoft stelt in de Denver Post dat de test bewijst dat 'een besturingssysteem' kwetsbaar is, als niet alle lekken zijn gedicht. SP2 haalt - in tegenstelling tot SP1 - standaard alle patches automatisch op.

Microsoft-woordvoerder Sean Sundwall zegt niet verbaasd te zijn dat virussen een kwartiertje nodig hadden om de Windows XP SP1 machine over te nemen, aangezien SP1 "niet meer bij de tijd is."

De conclusies zijn helder: wie met Windows XP werkt, doet er goed aan SP2 te installeren. Wie dat niet wil of (om technische reden) niet kan, moet minstens investeren in een firewall en virusscanner. De alternatieve besturingssystemen presteren vers geïnstalleerd allemaal beter dan Windows, al is Windows XP SP2 - mits voorzien van alle patches - een stuk robuuster in het afslaan van aanvallen uit het internet.

Overigens kunnen bedrijven de komst van SP2 niet langer blijven negeren - Microsoft zal vaker aandringen op installatie van SP2. Tot nu toe konden bedrijven via een speciaal stukje software SP2 negeren. In bepaalde gevallen, waar de pc zonder tussenkomst updates ophaalt en installeert, zal SP2 vanaf 12 april automatisch op de computer komen.