Tag Archives: Conficker

Global hotrapport augusti 2011

Augusti månads globala hotrapport visar att INF/Autorun fortfarande toppade listan med en spridning på 6.40%, medan Win32/Conficker låg på andra plats med 4.22%. HTML/Iframe.B var det tredje största hotet (2.38%).

Värt att nämna är att Conficker har lyckats förbli en ”snackis” under hela dess existens som nu har nått tusen dagar. Detta förbryllar många med tanke på att det finns enkla åtgärder mot hotet.

Följande är några tips på hur man kan undvika Win32/Conficker; håll alla system väl uppdaterade, avaktivera autorun och dela inte oskyddade mappar.

Globala hot under juli månad

Under juli var INF/Autorun det mest vidspridda hotet både i Europa (5.27%) och globalt (6.51%). Win32/conficker, som också har hängt med ett tag, nådde 3.88% globalt och 3.12% i Europa under juli månad. På tredje plats för andra månaden i rad globalt fanns Win32/Sality (2.03%). Motsvarande position för Europa intogs av HTML/IFRAME.B.Gen, som nådde 3.05%.

En nykomling på tio-i-topp-listan är Win32/Dorkbot (1.47% under juli), som är en mask som sprids via externa media och innehåller en bakdörr som möjliggör fjärrstyrning. Masken samlar på sig användarnamn och lösenord medan den icke ont anande användaren surfar på vissa specifika sajter och sedan skickas all information till en extern maskin.

Hotrapport maj 2010

I ESET:s hotrapport för maj månad diskuteras etik vid säkerhetsföretagens produktdemonstrationer, nyheter från researchsidan och som vanligt listas även de tio mest förekommande hoten i cyber­rymden just nu.

Internationellt sett står Win32/Conficker stadigt kvar med 9,12 % på den internationella hotstegen. Det viktigaste att tänka på för användare som drabbas av Confickerhotet är att se till att systemet hålls uppdaterat med Microsofts patchar. Andra enkla tips för att inte smittas är att inaktivera Autorun och att inte använda osäkra delade mappar. Även om det här har funnits länge och kanske borde kunna undvikas tror Conficker Working Group att det fortfarande finns 6 miljoner drabbade datorer världen över. För mer detaljer, se här.

Rankad tvåa i hotrapporten är INF/Autorun (8,06 %), som liftar med USB-minnen och andra externa media. Som nämnt ovan är det allra bästa sättet att skydda sig mot detta hot att inaktivera Autorun-funktionen i Windows. Läs mer här.

På tredje plats finner vi Win32/PSW.OnLineGames (4,29 %), vars stora familj av trojaner fortsätter härja bland onlinespelare. För mer information om skadlig kod och onlinespel, kolla in ESET:s Year End Global Threat Report från 2008.

I övrigt kan vi bara konstatera att, även om värmen äntligen har kommit till Sverige, så fortsätter den skadliga koden att härja. Så se till att skydda era datorer, även då ni använder dem liggandes på en gräsmatta någonstans.

Skadlig kod, maj 2010

Skadlig kod, maj 2010

Hotrapport april 2010

Under april månad kunde vi kanske inte helt oväntat konstatera att Conficker fortfarande klassas som det största internationella hotet, med 9,47%. Även INF/Autorun (7,98%) fortsätter härska på den onda sidan, även om det nu är relativt enkelt att inaktivera den felaktiga inställning som gör attacken möjlig. Det har också upptäckts en front av EICAR-testfiler, vilket antyder att någon utför en hel massa tester…

Förutom Win32/Conficker och INF/Autorun ligger Win32/Agent (3,53%) och Win32/PSW.OnLineGames (3,48%) också kvar i toppen.

Överblick topp 10-hoten under april 2010

Den fullständiga hotrapporten för april tar även en titt på ESET-representationen vid årets expo på Earls Court i London, SEO-förgiftning (SEO – Search Engine Optimization) och Apple-säkerhet vid den kommande EICAR-konferensen i Paris.

Hotrapport Mars

I mars var det fullklottrat i cyberbrottslingarnas kalendrar. Win32/Conficker låg i toppen av varningslistan med 10,32 % – läs mer på hotcentret på Eset.eu. På andraplatsen hittar vi INF/Autorun (8,42 %) som är en hel uppsättning hot som använder autorun.inf för att kompromettera datorer i samband med användning av USB-utrustning. Trea på hotlistan är Win32/PSW.OnLineGames (5,15%), vilket är en trojanfamilj som attackerar online-spelare.

Ett antal andra cyberhot var i omlopp under mars månad. Däribland en hel del Blackhat SEO, som satte igång efter bombningarna i Ryssland då massiv exploatering av onlinebrottslingar ledde till en ökad spridning av falska antivirusprodukter. För Macanvändare kan en del av det som hände på CanSecWest-konferensen i Vancouver vara av intresse, då 20 zero-day-hål avslöjades i Apple-produkter. Exakt hur allvarligt det här hotet är vill inte säkerhetsanalytikern Charlie Miller (mannen som hittade hålen) dela med sig av, eftersom han menar att problemet då patchas och sedan sopas under mattan, istället för att produkternas grundläggande säkerhet förbättras.

På tal om CanSecWest i Vancouver så diskuterade vi för övrigt hackartävlingen Pwn2Own som sker i samband med konferensen i vår podcast från den 29 mars – lyssna här.

Conficker på telefoner lär ut en läxa

I Eurosecures podcast den 15 mars diskuterade vi problemet med hårdvara som levereras med maskar och trojaner från butik. Då var den stora nyheten en smartphone som såldes av operatören Vodafone i Spanien. På minneskortet – alltså inte på själva telefonen – fanns masken Conficker och igår rapporterade Computer Sweden att det enligt Vodafone rör sig om så många som 3000 infekterade enheter.

Hela affären är ju förstås väldigt genant för Vodafone och det finns en tendens att händelser av den här typen avfärdas som något som mest var lite lustigt. Jag väljer dock att måla fan på väggen, för det finns viktiga lärdomar att dra av det inträffade.

Den första är att om 3000 telefoner levereras med en mycket elak mask som ansluter infekterade datorer till ett av världens värsta botnät, så är det allvarligt. Någonstans i produktionskedjan finns en lucka och jag hoppas att Vodafone tar det här på allvar – och att alla andra tillverkare av elektroniska produkter som ansluts till datorer gör det också.

Den andra lärdomen är det är helt tydligt att smartphones enkelt kan fås att sprida skadlig kod, även om den inte är skriven för telefonens egen plattform. Minneskortet i många telefoner ansluter till datorn precis som vilket USB-minne som helst och sårbarheten blir precis densamma.

Än så länge har mycket få mobiltelefoner antivirusprogram, men slutsatsen blir ändå att detta aldrig kunnat ske om telefonerna haft ett skydd.

Säkerhetshål under uppsikt

Computer Sweden skriver om ett känt säkerhetshål i Windows Vista, Windows Server 2008 och Windows 7 RC, ett hål som potentiellt skulle kunna användas av hackers för att installera skadlig kod på datorer. Kod som utnyttjar säkerhetshålet har nu gjorts tillgänglig i säkerhetsverktyget Metasploit. Det gör att det är väldigt lätt för även ”ovana” hackare att ta över datorer.

Microsoft har i skrivande stund ännu inte täppt till det säkerhetshålet (ett problem med SMBv2 som gör att man kan köra skadlig kod på datorn), men de har släppt ett verktyg för att stänga av/inaktivera SMBv2. Det bästa är naturligtvis att se till att man har brandväggsregler som gör att inga andra tjänster finns tillgängliga än de man specifikt ger tillåtelse till, och att man installerar Windows-uppdateringarna så snart de finns tillgängliga.

Man varnar för en ny Conficker i och med detta, även om vi ännu inte sett någon ta över någon dator med hjälp av verktyget och den nya koden.

Vi håller ögonen öppna.

Virus som lamslår sjukvården

Computer Sweden har bekräftat att det var masken Conficker som drabbade sjukhusen i region Väst och region Skåne, en mask som till största del kan stoppas med så enkla medel som ett uppdaterat operativsystem. På sjukhus har man fullt upp med att kämpa mot vanliga virus och att maskar som Conficker tillåts infektera datorer som styr utrustning som potentiellt kan rädda liv betyder att säkerhetsrutinerna är kraftigt eftersatta.

Källan till den kod som infekterat datorerna i Region Väst och Syd var troligtvis anställdas USB-minnen. Missa inte måndagens podcast, som kommer att handla om just bärbara lagringsmedia.

Risker med USB-minnen

Det är förstås alltid tråkigt när ett företag eller en myndighet drabbas av en virusattack. IT-administratörerna får jobba över och fixa skadan, men förutom administratörernas tid kan det även kosta rejält mycket pengar. En brittisk myndighet fick lära sig detta häromdagen. Datorerna på myndighetens nätverk infekterades med Conficker D-viruset som spreds genom ett USB-minne. Snart var alla datorerna infekterade och man var tvungen att stänga ner hela nätverket. Hela historien slutade med en räkning på 501 000 pund, eller nästan sex miljoner kronor.

En talesperson för myndigheten sade att man hade lärt sig sin läxa. Det blev en väldigt dyr läxa om jag får säga det själv. Företag, myndigheter och även privatpersoner borde vara medvetna om att portabla lagringsenheter är en rejäl säkerhetsrisk. Folk verkar ha glömt att spridningen av skadlig kod började med den goda gamla disketten och ett USB-minne är ju egentligen baserat på samma idé. Skadlig kod sprids alltså inte bara online.