Blog over PC Beveiliging
34 beveiligingslekken in Microsoft Windows gefixt
14 okt
Microsoft heeft updates uitgebracht voor Microsoft Windows, waarmee verschillende beveiligingslekken worden verholpen. Wij raden aan de door Microsoft beschikbaar gestelde beveiligingsupdates te downloaden en te installeren om zo misbruik van uw computer te voorkomen.
Klik hier voor de oplossing (pc beveiligen forum)
Beveiligings-update voor Adobe Acrobat en Reader beschikbaar
14 okt
Adobe heeft nieuwe versies van Reader en Acrobat uitgebracht waarin meerdere beveiligingslekken zijn verholpen. Adobe Reader is een programma waar u PDF bestanden mee kunt openen. Met Adobe Acrobat kunt u PDF bestanden maken.
pcbeveiligen.nl raadt u aan om deze nieuwe versies te downloaden en te installeren.
Klik hier voor de oplossing (pc beveiligen forum)
Top 10 bedreigingen september
12 okt
Wereldwijd scoort het Autorun/INF-virus nog altijd hoog. Dit virus verspreidt zich via draagbare media en wordt geactiveerd dankzij de Autorun-functie van Windows. Deze functie in het besturingssysteem staat dus nog steeds bij veel mensen aan. Deze usb-gebaseerde bedreigingen zijn zelfs sterk in opkomst in onder andere Slowakije, Israël en de Verenigde Arabische Emiraten. In de VS wordt de Conficker-worm nog steeds veel aangetroffen. Deze malware verspreidt zich via mail en internetsites.
“Verschillende gedragingen op internet zorgen voor verschillende bedreigingen. Je kunt bijna een wereldkaart van internetactiviteiten maken als je kijkt naar welke malware op welke plekken wordt gevonden”, aldus Nienke Ryan, product- en strategiemanager van SpicyLemon. “Het is dan ook belangrijk dat mensen hun computers niet zomaar beschermen, maar bewust kijken naar wat zij precies op internet doen en vervolgens daarvoor een passende oplossing kiezen. Daarom hebben we onlangs enkele tests op onze site gezet waarmee bezoeker er zelf achter kunnen komen wat precies hun internetgedrag is en hoe zij hun identiteit online kunnen beschermen.”
Top 10 bedreigingen
De wereldwijde top 10 van september ziet er als volgt uit (percentages gebaseerd op aantal detecties van totaal aantal bedreigingen):
1. INF/Autorun – 3.97 %
2. Win32/Conficker.AA – 3.76 %
3. Win32/PSW.OnLineGames.NNU – 3.61 %
4. INF/Autorun.gen – 3.54 %
5. Win32/Agent – 2.88 %
6. Win32/Conficker.AE – 2.84 %
7. INF/Conficker – 1.99 %
8. Win32/PSW.OnLineGames.NMY – 1.52 %
9. Win32/Qhost – 1.44 %
10. Win32/Genetik – 1.41 %
De lijst voor Nederland ziet er als volgt uit:
1. WMA/TrojanDownloader.GetCodec.Gen – 8.10 %
2. Win32/TrojanDownloader.Small.NFG – 5.90 %
3. WMA/TrojanDownloader.GetCodec.C – 2.00 %
4. Win32/Genetik – 1.96 %
5. Win32/Adware.Virtumonde.NEO~datafile – 1.95 %
6. Win32/TrojanDownloader.FakeAlert.AJT – 1.92 %
7. Win32/Kryptik.ANC – 1.88 %
8. Win32/Agent – 1.64 %
9. Win32/Adware.OneStep.A – 1.50 %
10. Win32/Toolbar.MyWebSearch – 1.40 %
Bescherm uw FTP inloggegevens tegen trojans
27 sep
FTP, oftewel File Transfer Protocol, is de standaard methode voor het uploaden van scriptbestanden naar een webserver. Er zijn meerdere bekende FTP programma’s; CoffeeCup Direct FTP, TransSoft FTP Control 4, Core FTP, GlobalScape CuteFTP, FileZilla, Far Manager (met FTP plugin), FlashFXP, SmartFTP, FTP Navigator en Total Commander. Het probleem met het FTP protocol is echter dat de gebruikersnaam en het wachtwoord als ‘plain text’ worden verstuurd.
Verschillende Trojans, zoals bijvoorbeeld de Daurso Trojan, stelen deze inloggegevens en misbruiken deze informatie. Uw site wordt geïnjecteerd met Malware of is in z’n geheel niet meer voor u bereikbaar. Veiliger is het om andere protocollen te gebruiken zoals SFTP, FTPS of SCP.
SFTP (Secure File Transfer Protocol) is FTP over SSH (Secure shell) en FTPS (File Transfer Protocol SSL)is FTP over SSL (Secure Sockets Layer). SSH en SSL zijn encryptie-protocollen die communicatie op het Internet beveiligen. Het grote voordeel van SFTP ten opzichte van FTP is dat alle pakketen, zowel de control sessie als de data sessie, versleuteld worden door een encrytpie methodiek (AES, 3DES etc.). SFTP vindt plaats over de SSH poort; TCP poort 22 en staat standaard aan als OpenSSH wordt geïnstalleerd. FTPS daarintegen geeft de mogelijkheid of de data sessie wel of niet versleuteld moet worden. Omdat reeds versleutelde data niet opnieuw versleuteld hoeft te worden kan dit bandbreedte besparen. FTPS vindt plaats over TCP/UDP 990 poort voor de control sessie en TCP/UDP 989 poort voor de data sessie.
Een verwant van SFTP is SCP (Secure Copy). SCP kan worden gebruikt om bestanden tussen verschillende systemen op een veilige manier te kopiëren (RCP commando op Linux / Unix). SCP gebruikt ook SSH, standaard over TCP poort 22.
Bij het gebruik van een up-to-date pc met geschikte AV software en een verstandige gebruiker achter het toetsenbord is de kans behoorlijk klein op dit soort diefstallen tengevolge van een dergelijk infectie. Maarja, voorkomen is beter dan genezen..
Polymorfisch “Virut” virus doet neigen naar Format C:\
26 sep
Ondanks de huidige infectie-trend om op de achtergrond gegevens te stelen zoals inlogcodes, FTP gegevens, WOW accounts en dergelijke zijn er nog steeds virussen die voornamelijk uit zijn op schade en vernietiging. Virut (W32/Virut.n) is hier zo’n voorbeeld van, dit polymorfische virus is ontdekt op 2 maart 2003 en is ‘gratis af te halen’ bij het gebruiken van cracks en andere illegale downloads. Na besmetting met Virut infecteerd deze alle EXE en SCR bestanden en opent het een backdoor naar een IRC server (TCP poort 65520 naar IRC servers proxima.ircgalaxy.pl & irc.zief.pl). Verder infecteerd Virut script bestanden zoals PHP, ASP en HTML, waar het een kwaadaardig Iframe in verstopt. Zodra het slachtoffer deze scriptbestanden upload naar een webserver probeert Virut via verschillende exploits ook de bezoekers te infecteren.
Virut infecteerd als eerste het Winlogon.exe proces, zodra dat gelukt is wordt het bestand %WINDOWS%\TEMP\VRT7.tmp gedownload, daarna wordt er een nieuw svchost.exe proces opgestart waarmee in de map %WINDOWS\System32 de bestanden 8.tmp (data file) en 9.tmp worden gecreëerd. Het vorige bestand %WINDOWS%\TEMP\VRT7.tmp wordt daarna weer verwijderd. Het bestand 9.tmp wordt uitgevoerd en er wordt meer Malware binnengehaald. De string 127.0.0.1 ZieF.pl wordt aan het HOSTS bestand toegevoegd. Enkele lopende processen worden geïnjecteerd met kwaadaardige code en de functies NtCreateFile, NtCreateProcess, NtCreateProcessEx, NtOpenFile en NtQueryInformationProcess uit ntdll.dll worden gekoppeld aan Virut zelf. Met behulp van de registersleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List verkrijgd het kwaadaardige Winlogon.exe proces doorgang van de firewall. Via enkele IRC kanalen ontvangt Virut opdrachten. Verzamelde e-mail adressen worden doorgestuurd naar IP 69.46.16.191.
‘Grappige’ is dat het infecteren van de verschillende bestanden op een foute manier plaatsvind waardoor herstel zo goed als onmogelijk wordt gemaakt. Buiten dat haalt Virut aanvullende Malware binnen en wordt het HOSTS bestand gewijzigd. Door deze aanpassing in het HOSTS bestand en de HTML infectie is Virut in staat om nieuwe ‘schone’ machines te infecteren en tegelijkertijd de verbinding met de kwaadaardige IRC servers te beperken om waarschijnlijk de Virut server een ‘overload’ te besparen.
Volledig herstel van een infectie is niet onmogelijk, maar behoorlijk omslachtig omdat er zoveel bestanden zijn geïnfecteerd en tevens beschadigd. Gezien de moeite en inzet die een volledig herstel met zich meebrengt lijk een schone her-installatie de simpelste methode. Gelet op het feit dat er ná de infectie geen EXE, SCR, PHP, ASP en HTML bestanden van de pc worden gehaald als ‘backup’! Ook gemaakte back-ups (soms op aangekoppelde externe schijven) dienen grondig te worden nagekeken.
Hiermee wordt nogmaals het bewijs geleverd dat het hebben van een recente, schone en externe backup z’n voordeel opleverd..
PC WebPlus test Norton AntiVirus 2009
23 sep
Onze partner PC WebPlus heeft een test uitgevoerd met Norton AntiVirus 2009. Vroeger stond Norton bekend als een programma wat vrij zwaar op het systeem leunde. Versie 2009 en 2010 zouden deze negatieve eigenschap niet meer, of in ieder geval minder bezitten. Desondanks is de uitslag van de test niet bijster positief. De conclusie van MaxStar:
“Norton AntiVirus is een redelijke VirusScanner met opties die niet direct een noodzakelijke toevoeging zijn voor een dergelijk pakket”
Eindcijfer: 6.5
Het volledige rapport is hier te bekijken
“Norton antivirus is een redelijke virusscan met opties die niet direct een noodzakelijke toevoeging zijn voor een antivirusscan.