Virusinfo / Sikkerhetsinfo

  Exploit.B

 Det ble rett før nyttår oppdaget et nytt hull i Windows systemet. Noen har publisert en artikkel om hvordan man kan utnytte en svakhet i windows uten at Microsoft har publisert noen oppdatering for denne denne svakheten. Foreløpig er denne svakheten dokumentert på en side der det lastes en Windows Meta File WMF i en IFRAME. Denne WMFen installerer seg lokalt på den datamaskinen som besøker denne siden.

Internet Explorer er rapportert å ikke motta noen som helst form for advarsel før denne metafilen installlerer seg på maskinen. FireFox brukere spørres om de vil laste et bilde inn i programmet "Windows Picture and Fax Viewer" Dette er i seg selv ingen advarsel fordi de fleste mener at det er trygt å svare ja på et sånt spørsmål med de følgene å bli infisert.

Spredning av Exploit.B har foreløpig vært gjennom en spammail med ett bilde lagt ved. Dette bildet har navnet HappyNewYear.jpg, men er ikke en "ren" bildefil. Ved kjøring av denne trojaneren prøver den å laste ned en ny trojaner som kan gi angriperne tilgang til maskinen din. Denne trojaneren blir i skrivende stund detektert som W32/Malware i Normans Antivirusprogram. Forsikre deg om at ditt antivirusprogram er oppdatert!

Microsoft Har nå, fire dager før planlagt utsendelse, valgt å legge ut en offisiell patch på sin Windows Update side. Det anbefales sterkt å installere denne patchen. Trykk på linken under for å komme til Windows update.

Windows update

En uavhengig tredjeperson (Ilfak Guilfanov) har utviklet en patch som skal tette  dette hullet, men Microsoft anbefaler ikke å installerre den. Hvis du er interessert i å lese mer om denne patchen eller kanskje bruke den, kan du følge denne linken.

03.01.06 - oppdatert 04.01 - oppdatert 06.01

  Kelvir.B  /  W32/Spybot

  Er du bruker av chattetjenesten MSN messenger så er du et mål for dette nye viruset som har dukket opp idag. Viruset er en orm. Det som skjer er at du får en link i en melding fra andre MSN kontakter som er infisert av viruset. Linken som foreløpig blir distribuert er som følger (der xyz er byttet ut med opprinnelig adresse).

http://xxxx.zzzzzzz.yyy/~gallery10/omg.pif omg.pif

i tillegg kan teksten: LOL! see if u'll like it følge med.

http://www.zzzzzzz.com/file.exe Er også brukt for å distribuere viruset, men er i skrivende stund ikke tilgjengelig.
 

En feilmelding med overskriften MessengerAPI og som inneholder følgende dukker opp under installasjon:
Run-time Error '429'
ActiveX component can't create object

 Viruset vil hvis det kjøres på maskinen din, installere seg og et annet virus W32/Spybot.

Nyeste antivirusdefinisjoner (07.03) må være installert for å oppdage viruset.

07.03.05

Julevirus 2004 - Zafi.d?

  Et nytt virus har begynt å florere på internett. Viruset spres via mail og gir uttrykk for at det er et julepostkort. Viruset har vist seg å ha en viss evne til å tilpasse seg mottaker ved at det forekommer i flere språkvarianter.  Blandt annet kan emnefeltet innholdet "christmas postkort", dette burde i seg selv være grunn nok til å slette mailen siden den mikser engelsk og norsk.  Vær veldig kritisk til hva slags mail du åpner og ikke kjør eventuelle vedlegg du ikke er sikker på hva er.

  Vi kommer tilbake med mer dersom det viser seg at viruset blir en stor plage.
 

Oppdatert 14.11.2004 - 23:30:

  Viruset spres også via fildelingsnettverk under navnene winamp 5.7 new.exe og ICQ 2005a new!.exe. Hvis maskinen din er infisert kopierer den seg sel videre til mapper som har share, music og upload i mappenavnet  

Når viruset kjøres genererer den en feilmelding og kopierer seg til systemområdet under navnet  "Norton Update.exe". Den vil også lage flere andre filer som for det meste er koblet til mailadresser på den infiserte maskinens system

Følgende registernøkler legges til:

Viruset finner mailadresser i følgende filer:
htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr, fpt, inb

Filvedlegget i mailene er en av følgende .cmd .bat .pif .com eller .zip.

14.12.04

Ny versjon av Bagle viruset

  Viruset Bagle har kommet i hittil 2 nye versjoner. Disse versjonene heter Bagle.AK og Bagle.AQ. Mange store e-post servere, hovedsaklig i Norge og Danmark har siden i dag tidlig mottatt en storm av disse nye virusene. Det ventes at en topp ikke vil når før om noen dager. Disse virusene spres gjennom E-post og såkalte Peer2Peer nettverk, kjent som fildeling. (eks. Kazaa, DC++ o.s.v.). I de tilfellene der viruset sendes ut som E-post, går de ut med vedlegg av typen .com, .cpl, .exe og .scr. Det er ikke kjent hvilke potensielle skader disse virusene kan føre til, men alle oppfordres til å slette all uventet søppelmail og ikke kjøre noen vedlegg som dere ikke vet med sikkerhet hva er.

For en gratis virussjekk av maskinen din hos TREND antivirus, trykk her!



29.10.04
 

Viruset Funner angriper MSN

  Enda et plagsomt virus er i ferd med å spres. Denne gangen spres det via microsofts populære tjeneste Messenger. Vær kritisk til hva du tar i mot av filer over messenger og sørg for å ha oppdatert antivirus programvare.

For en gratis virussjekk av maskinen din hos TREND antivirus, trykk her!



12.10.04
 

Nye utgaver av Bagle og Lovegate virusene

  Det lages stadig nye utgaver bygd på gamle virus og lite taler for at disse er de siste i rekken. Vær forsiktig med å åpne vedlegg i mail du ikke vet 100% hva er. Det er på den måten de fleste virus blir aktivert. I tillegg må du alltid holde operativsystemet ditt opdatert. Du kan oppdatere operativsystemet ditt hos microsoft.

 Les mer om disse virusene hos norman her: W32/Bagle.AE@mm, W32/Bagle.AF@mm, W32/Bagle.AH@mm og W32/Lovgate.AJ

For en gratis virussjekk av maskinen din hos TREND antivirus, trykk her!



20.07.04

 

CERT advarer mot Internet Explorer

 Oppdatert 06.07.04

  Microsoft har sluppet en oppdatering som skal forhindre Internet Explorer fra å være utsatt for Microsoft.Ject. Den kan du finne her What You Should Know About Download.Ject eller ved å gå oppdatere Internet Explorer via Verktøy --> Windows Update eller her ved å trykke her!.

  Siden 90% - 95% av alle internett brukere surfer med Internet Explorer vil ikke vi gå så langt som å advare dere mot Internet Explorer, derimot kan vi opplyse om at det finnes noen gode alternativer i  Opera, MyIE2 og Mozilla Firefox.

Fra 03.07.04:

 Det nye viruset Microsoft.Ject (alias Scob, Dialogarg, JS.Scob.Trojan og JS.Toofeer) beskrevet i artikkelen under denne, utnytter et hull i Microsofts nettleser. Dette hullet finnes det ingen beskyttelse mot i selskapets Internet Information Services (IIS) 5-programmer, som russiske hackere har utnyttet.

De russiske hackerne skal ha lagt ut javascript som utnytter sikkerhetshullet på flere nettsteder. Følgen av dette er at når internettbrukere surfer på disse sidene åpnes nye tilsynelatende harmløse annonse vinduer. Skult i disse sidene ligger det kode som analyserer tastene brukeren har trykket.

Dette skal ifølge Computer Emergency Readiness Team (CERT) gjøre det mulig å finne frem til kredittkortnummere som er brukt på nettet.

Ifølge CERT kan hackerne utnytte sårbarhet i Internet Explorers modul for å fastslå MIME-type, DHTML, nettleserens modul for å skille mellom soner og ActiveX-script. Også andre nettlesere kan være sårbare om de bruker ActiveX.

Den eneste beskyttelsen mot sikkerhetshullet er å slå av script og ActiveX i nettleseren.


03.07.04 (oppdatert 06.07.04)

 

Microsoft.ject alias Scob, Dialogarg, JS.Scob.Trojan og JS.Toofeer

  Et virus som knyttes til russisk mafia er oppdaget. Dette viruset smitter gjennom besøk på nettsider der serveren som er vert for sidene er smittet. Viruset laster ned en fil som heter msits.exe. Microsoft mener viruset har infisert internett serverene via samme sikkerhetsrisiko som blandt annet sasser viruset benyttet seg av (Microsoft Security Bulletin MS04-011). Symptomene på å være infisert av viruset er at filene kk32.dll og surf.dat finnes på maskinen din. Finner du disse filene på din PC, må du oppsøke nettstedet til din antivirusleverandør og følge utlagte instrukser for hvordan maskinen skal renses.
 

  Viruset samler tastetrykkene på maskinen som er infisert og kan på den måten fange opp brukernavn og passord. I tillegg kan viruset også brukes til å sende ut spam. Microsoft har laget en egen side med informasjon om hvordan du kan beskytte deg mot viruset (What You Should Know About Download.Ject).


28.06.04

 

Zafi.B alias W32.Erkez.B@mm

  Det har igjen dukket opp et nytt virus. Denne gangen er viruset "norsktalende", noe som gjør det verdt å være ekstra påpasselig. Viruset er en epost orm som sprer seg videre ved å åpne vedlegget mailen fører med seg. Det kjennetegnes ved at det ofte har «E-Postkort!» og meldingen «Vakre roser jeg sammenligner med deg... !» i emne eller hovedtekst.


For å lese mer om dette viruset kan du ta en titt på Symantecs sider her!
For en gratis virussjekk av maskinen din hos TREND antivirus, trykk her!

14.06.04

 

Sasser.A Sasser.B

   02.05.04 Nytt virus (orm) som spres via nettverk (ikke e-post)

 Utnytter et hull i operativsystemet som er nærmere beskrevet MS 04-011 security bulletin fra Microsoft. Viruset spres på port 445/tcp og vil, hvis maskinen er sårbar, forårsake en "buffer overrun i LSASS.EXE.

 Ormen kopierer seg selv til windows katalogen under navnet AVSERVE.EXE. Et ukjent antall andre filer kan også bli opprettet som en del av infeksjonsprosessen.

Register nøkkel laget av ormen:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run avserve.exe = %WINDIR%\avserve.exe

Viruset setter opp et Shell på port 9996/tcp og FTP på port 5554/tcp. Disse kan brukes til å få tilgang og kontroll over maskinene. På grunn av buffer overrun angrepet mot LSASS.EXE kan også operativsystemet bli ustabilt

For å lese mer om dette viruset kan du ta en titt på Normans sider her!
For å laste ned en fix hvis du har viruset, kan du gjøre det her!
Husk også å kjøre Windows Update for å unngå å bli infisert av viruset.
For en gratis virussjekk av maskinen din hos TREND antivirus, trykk her!

 

MyDoom.A alias Novarg.A, Shimg.A, Mimail.R

   29.01.04 Ser ut til at dette er den nye plagen i Virusverdenen.
Hvis du har fått en epost med et av nedenforstående ord i overskriften:

 Vilkårlige bokstaver
"Error"
"Status"
"Server report"
"Mail Transaction Failed"
"Mail Delivery System"
"Hello"
"Hi"

og du i tillegg har klikket på vedlegget i mailen, er det sansynlig at maskinen din er smittet av dette viruset.

For å lese mer om dette viruset kan du ta en titt på Normans sider her!
For å laste ned en fix hvis du har viruset, kan du gjøre det her!
For en gratis virussjekk av maskinen din hos TREND antivirus, trykk her!

 

Dumaru.A

   21.12.03 De siste 4 dagene har viruset Dumaru.A vært særdeles plagsomt. Viruset gir seg ut for å være en patch fra Microsoft og ser slik ut:



Husk at Microsoft ALDRI sender ut patcher pr. mail.
Dette viruset legger igjen en IRC Trojaner.
Hvis du tror du har fått dette viruset, kan du laste ned en fiks her!

 

Swen.A

  Vi på PC-Hjelpen får inn en del mail. Blandt dem dukker det også opp virus. Bare 07.12.2003 fikk vi flere mail som inneholdt det samme viruset (Swen.A). Tilsynelatende kommer dette viruset fra Microsoft og utgir seg for å være en sikkerhetsoppdatering (se bilde under). Hvis du får denne mailen, slett den med en gang.

 - For mer informasjon om Swen.A (Norman antivirus), trykk her!
 - Hvis du mistenker at du har dette viruset, last ned en fix fra Norman her!
 - For gratis virus sjekk av maskinen (Trend antivirus), trykk her!

Viktig!
  Virus scan og fixer er finner og fjerner eventuelle virus du måtte ha på maskinen, men det er ingen automatikk i at du ikke kan få det samme viruset igjen. For slik beskyttelse trenger du et oppdatert antivirusprogram installert på din PC.

Slik ser mailen som inneholder Swen.A viruset ut:


 

   Last ned gratis virusfix fra AntiVirus selskapene

 - Last ned fix for Sasser her!
 - Last ned fix for MyDoom.A her! 
 - Last ned fix for Dumaru.A her!
 - Last ned fix for Swen.A her!
 - Last ned fix for Blaster her!
 - Last ned fix for Klez her!
 - Last ned fix for Bugbear her!
 - Last ned fix for Yaha her!