Tag Archives: mask

Social ingenjörskonst – ”Paypals” och Facebookplågor

Vissa dagar duggar försöken till lurendrejeri på nätet tätt. Just nu sprids ännu en mask på Facebook som lovar att avslöja vilka som är inne på din sida och snokar.

Håll gärna koll när ni får poster som denna, de sprider sig själva med oerhörd effektivitet och du kommer inte att kunna se vem som varit inne på din profil.

Det trevliga phishingförsöket nedan utger sig för att komma från grabbarna eller tjejerna på PayPal och är också intressant. Det är visserligen undertecknat ”mvh, Paypal”, men den uppmärksamme ser att e-postadressen kommer från domänen paypals.com och inte paypal.com:


Många har nog sett liknande – och äkta – meddelanden från Facebook. De har ju även börjat be användarna att registrera datorer som tillförlitliga, för att kunna vara säkra på att ingen loggar in på konton från underliga platser.

Jag skulle tro att detta nätfiskeförsök är en spin-off på temat och det är ganska troligt att åtminstone någon går på detta mycket kortfattade meddelande och därmed lägger sitt PayPal-konto i händerna på bedragare.

Conficker på telefoner lär ut en läxa

I Eurosecures podcast den 15 mars diskuterade vi problemet med hårdvara som levereras med maskar och trojaner från butik. Då var den stora nyheten en smartphone som såldes av operatören Vodafone i Spanien. På minneskortet – alltså inte på själva telefonen – fanns masken Conficker och igår rapporterade Computer Sweden att det enligt Vodafone rör sig om så många som 3000 infekterade enheter.

Hela affären är ju förstås väldigt genant för Vodafone och det finns en tendens att händelser av den här typen avfärdas som något som mest var lite lustigt. Jag väljer dock att måla fan på väggen, för det finns viktiga lärdomar att dra av det inträffade.

Den första är att om 3000 telefoner levereras med en mycket elak mask som ansluter infekterade datorer till ett av världens värsta botnät, så är det allvarligt. Någonstans i produktionskedjan finns en lucka och jag hoppas att Vodafone tar det här på allvar – och att alla andra tillverkare av elektroniska produkter som ansluts till datorer gör det också.

Den andra lärdomen är det är helt tydligt att smartphones enkelt kan fås att sprida skadlig kod, även om den inte är skriven för telefonens egen plattform. Minneskortet i många telefoner ansluter till datorn precis som vilket USB-minne som helst och sårbarheten blir precis densamma.

Än så länge har mycket få mobiltelefoner antivirusprogram, men slutsatsen blir ändå att detta aldrig kunnat ske om telefonerna haft ett skydd.

Slovakisk mask sprider sig över världen

Det tros ha börjat som ett spratt mot en lokal motorcykelverksamhet i Slovakien, men nu har maskarna Win32/Zimuse.A och Win32/Zimuse.B spritt sig över världen. I början var nittio procent av alla infekterade datorer begränsade till Slovakien, men nu finns de flesta i USA och maskarna har även spridit sig till andra länder världen över.

Masken, som upptäcktes av ESET:s viruslabb, innebär att den drabbade datorns MBR (Master Boot Record) – hårddiskinformation som krävs för att starta operativsystem – skrivs över för alla tillgängliga enheter med sina egna uppgifter, vilket gör lagrad data otillgänglig.

Spridningen sker antingen genom att masken gömmer sig i legitima webbsajter i form av en självuppackande ZIP-fil eller som ett IQ-testprogram, alternativt via utbytbara media, så som USB-enheter.

Maskens två varianter, Win32/Zimuse.A och Win32/Zimuse.B, skiljer sig åt genom att A-varianten behöver 10 dagar på att sprida sig, medan B-varianten bara behöver 7. Dock kräver B-varianten kortare elimineringstid (20 dagar jämfört med 40). Men på samma sätt som man måste välja rätt tråd att klippa för att desarmera en bomb så innebär en felaktig elimineringsmetod att masken går över i destruktivt läge.

ESET-användare där ute; var lugna – ESET NOD32 Antivirus och ESET Smart Security skyddar mot denna mask. Men för att eliminera risken för dataförluster till följd av dess korruption genom masken rekommenderas alla användare att säkerhetskopiera era viktiga data.

För ytterligare information om masken, se en artikel från TechWorld här.

Dom i hovrätten mot skaparen av masken Ganda

I en podcast den 18 januari berättade vi lite om den man som programmerade masken Ganda, som fick viss spridning 2003.

Mannen fick 2007 en villkorlig dom som överklagades, och fallet togs upp i hovrätten för nedre Norrland den 13 januari. Hovrättens kvarnar har nu malt färdigt och den nya domen föll igår. Mannen anses inte längre ha gjort sig skyldig till egenmäktigt förfarande, men dömdes enligt Allehanda.se till villkorlig dom och 70 dagsböter.

Lyssna på Eurosecures podcast om Ganda

Ny mask infekterar dokument och filer i Windows

Kinesiska myndigheter varnar för en nyligen upptäckt datormask kallad ”Worm_Piloyd.B” som kan infektera html-dokument och körbara Windows-filer med exe-ändelse. Den kinesiska antivirusmyndigheten publicerade upptäckten i helgen och varnar nu för den aktuella masken, som kan sabotera filer, förhindra åtkomst till filer och anropa externa Internetresurser för ytterligare nedladdning av skadlig kod.

Detta är intressant och vi borde hålla ögonen öppna. Det är nämligen ganska ovanligt att kinesiska myndigheter är först ute med virusvarningar – samtidigt som vi är vana vid att en hel del skadlig kod härrör från landet.

Tommy Engfors på TechWorld har skrivit om detta här:
http://sakerhet.idg.se/2.1070/1.272844/kina-varnar-for-ny-datormask

Ny iPhone-mask – alla populära system hackas förr eller senare

Igår rapporterade bland andra IT-sajten eweek.com och Computer Sweden att det slutligen har hänt: För första gången har en mask slagit till mot Apples iPhone. Jag skulle säga att det bara var en tidsfråga innan någon lyckades sprida skadlig kod bland iPhones, eftersom det finns mer att vinna på att attackera en plattform ju populärare den är.

Masken drabbar inte alla telefoner, utan hittills bara en del australiska användare med ”jailbreakade”, dvs. knäckta, telefoner, som inte har bytt ut originallösenordet för inloggning via ssh. Än så länge kan alltså normalanvändaren vara ganska lugn, men det är nog bra om ytterligare några av dem som hävdar att Apples produkter är virusfria tar sig en funderare till.

Attacken var en typisk proof of concept-attack – allt masken gör utöver att försöka sprida sig vidare är nämligen att installera en bakgrundsbild föreställande popsångaren Rick Astley på telefonen. Oavsett vad man har för åsikter om Rick Astley, så får man nog säga att det är mer irriterande än direkt skadligt.

Computer Sweden berättar dock att en holländsk hackare snabbt var framme och försökte tjäna pengar på samma säkerhetslucka genom att kapa telefoner och kräva fem euro för instruktioner om hur säkerhetsinställningarna kan rättas till.

Vi får ett pedagogiskt exempel uppmålat för oss – vissa hackar bara för att visa att det går och för att utmana sig själva, medan andra, och de är de riktigt farliga, ser varje säkerhetslucka som en potentiell guldgruva.

Du kan lyssna på vår podcast om skadlig kod i mobiltelefoner och vår podcast om operativsystem som sägs få färre virus än andra.

Virus som lamslår sjukvården

Computer Sweden har bekräftat att det var masken Conficker som drabbade sjukhusen i region Väst och region Skåne, en mask som till största del kan stoppas med så enkla medel som ett uppdaterat operativsystem. På sjukhus har man fullt upp med att kämpa mot vanliga virus och att maskar som Conficker tillåts infektera datorer som styr utrustning som potentiellt kan rädda liv betyder att säkerhetsrutinerna är kraftigt eftersatta.

Källan till den kod som infekterat datorerna i Region Väst och Syd var troligtvis anställdas USB-minnen. Missa inte måndagens podcast, som kommer att handla om just bärbara lagringsmedia.