Zombies i området - LØB!

For et par dage siden fik bilisterne i Austin Texas en noget anden melding fra trafikskiltet nær et vejarbejde. De blev advaret mod zombier i området og blev opfordret til at komme væk. Nogle ynglinge havde taget kontrol over styringen af skiltet.

Selvom historien er lidt morsom, så er der også en alvorlig bagside. Meldingerne på skiltet kunne meget vel være udnyttet til at skabe panik med mulig fatal udgang. Hvis nu ordlyden havde været "Bombetrussel - STOP NU!". Så er der overvejende chance for at nogle ville panikbremse.


Nu blev det holdt som drengestreger, men det berører også et andet punkt. Sikkerheden på kontroldelen af disse skilte er efter sigende en ren joke. Styringspanelet er aflåst med en lille hængelås, der kan åbnes med papirklips. Her har man så adgang til det panel, hvor der er tilknyttet et keyboard.

Hvis adgangen er beskyttet med kodeord, så er det som standard "DOTS". Hvis det er ændret, så reset'er man blot adgangen ved at holde Ctrl + Shift nede samtidig med man taster "DIPY". Herefter vil teksten på skiltet blive reset og password vil igen være "DOTS". Tja...

Læs hele historien her: Austin,TX Overrun By Zombie Jokes, Hacked Electronic Road Signs

Malware og angrebssites klar til Valentinsdag

Den 14. februar 2009 er det igen Valentinsdag. Traditionen tro betyder det, at it-kriminelle vil udnytte denne specielle dag til at få spredt malware. De er allerede i gang 14 dage før dagen - og benytter malware som kun få scannere kan finde i skrivende stund.

Kun 3 ud af 39 af de antivirusscannere, som VirusTotal benytter, kan finde den malware som spredes på falske Valentinsdag websites. Ved direkte søgning på domænet i Google, kommer det fint frem som indekseret - men Google indikerer endnu ikke at siten er farlig.

Fremgangsmåden er hverken ny eller overraskende. Hvert år dukker der falske websites op i forbindelse med højtider og store mærkedage. Til trods for, at denne viden er kendt af både it-kriminelle og mange computerbrugerne - så rammes ufattelig mange af malware hvert år i disse perioder.

Det er grunden til vi hvert år ser disse angrebssites dukke op under et nyt navn og med den seneste malware klar til angreb. På blot 5-7 minutter blev der fundet to ydrepunkter på skalaen over angrebssites. Det ene var yderst simpelt, nærmest amatøragtigt, og det andet havde alt hvad man kan forvente af et professionelt udviklet website.

Den "forkromede udgave" var langt mere raffineret. Ud over et flot og gennemarbejdet layout - så forsøger man direkte af inficere den besøgende gennem sårbarheder i henholdsvis de Quicktime og Flash plugins som mange browsere har installeret.

Eksempel på et "simpelt" attacksite

Det følgende minitrace er blot data over et af de simple af slagsen. Lidt grafik og et link til en exe-fil indeholdende malwaren. Netop den simple opbygning er nærmest et skoleeksempel i, hvor enkelt det kan gøres. Man behøver ikke det store setup - selvom det naturligvis vil øge chancen for at få de lidt mere garvede brugere i nettet.

Domænet er allerede kendt på listen fra Malware Domain Blocklist og hos Norton Safe Web men Google indikerer endnu ikke dette domæne som værenede farligt:

GET / HTTP/1.1
Host: waleprojekt.com (88.174.191.30)

HTTP/1.1 200 OK
Server: nginx/0.6.34
Date: Sun, 01 Feb 2009 11:28:45 GMT
Content-Type: text/html
Connection: keep-alive
Content-Length: 245
Last-Modified: Sun, 01 Feb 2009 11:28:06 GMT
Accept-Ranges: bytes

[!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"]
[html]
[head]
[title]Love...[/title]
[/head]
[body]
[center]
[h4]Guess, which one is for you?[/h4]
[a href="meandyou.exe"][img border="0" src="img.jpg"][/a][/center]
[/body]
[/html]

Et nærmere kig på IP-adressen afslører den tilhører følgende:

Free SAS / ProXad
8, rue de la Ville L'Eveque
75008 Paris
+33 1 73 50 20 00
+33 1 73 92 25 69
Information: http://www.proxad.net/
Spam/Abuse requests: mailto:abuse@proxad.net

Websitet er helt ukompliceret. Der benyttes ikke avanceret scripts til at angribe den besøgende på andre sårbarheder. Det interessante var herefter at få en idé om, hvilken type malware dette website spredte. Derfor blev den angivne exe-fil hentet ned til videre analyse:

GET /meandyou.exe HTTP/1.1
Host: waleprojekt.com (221.124.70.181)

HTTP/1.1 200 OK
Server: nginx/0.6.34
Date: Sun, 01 Feb 2009 11:30:01 GMT
Content-Type: application/octet-stream
Connection: keep-alive
Content-Length: 392704
Last-Modified: Sun, 01 Feb 2009 11:29:06 GMT
Accept-Ranges: bytes

Download Complete (meandyou.exe, 392704 bytes recieved)

Cirka et minut efter at siden første gang blev kontaktet, har IP-adressen ændret sig. Malware filen hentes nu fra en helt anden adresse - men domænet er stadig det samme. Dette er bestemt ikke normal opførsel for et website 'med rent mel i posen'.

Filen blev kort efter oploadet til VirusTotal.com for at få en indikator på, hvad det er vi har med at gøre. Resultatet var ikke overraskende, at kun 3 ud af 39 antivirusscannere fandt noget mistænkeligt. Af de tre produkter der råber vagt i gevær, er Sophos den eneste som indikerer et navn - nemlig W32/Waled-W.

Se VirusTotal analysen her:
http://www.virustotal.com/analisis/fd128c0d200607a9b1f1ae86d140b501

Den nye IP-adresse blev også tjekket. Fra først at have været en tur i Frankrig - blev selve malware filen nu hentet i Hong Kong. Men stadig med reference til samme domæne:

ITMM HGC
Hutchison Telecom Tower,
9/F Low Block,
99 Cheung Fai Rd, Tsing Yi,
HONG KONG
phone: +852-21229555
fax-no: +852-21239523
e-mail: hgcnetwork@hgc.com.hk

Blot for at få en idé om hvad dette angrebssite egentlig viste sine besøgende, blev den benyttede JPG grafikfil også hentet:

GET /img.jpg HTTP/1.1
Host: waleprojekt.com (80.98.203.215)

HTTP/1.1 200 OK
Server: nginx/0.6.34
Date: Sun, 01 Feb 2009 11:38:37 GMT
Content-Type: image/jpeg
Connection: keep-alive
Content-Length: 60457
Last-Modified: Fri, 23 Jan 2009 04:22:14 GMT
Accept-Ranges: bytes

Download Complete (img.jpg, 60457 bytes recieved)

Endnu engang ændrede IP-adressen sig for domænet. Denne gang blev vejen lagt forbi Ungarn - nærmere bestemt Budapest:

Tamas Mogyorosi
UPC Magyarorszag Kft.
Kinizsi 30-36.
H-1092 Budapest
address: Hungary
phone: +3614562600
fax-no: +3612160058
e-mail: mogyoros@broadband.hu

På blot 3 forespørgsler, henholdsvis på siden, malwaren og et grafikbillede - ændrede IP-adressen sig for hver gang. Blot for sjov blev siden hentet flere gange med cirka et minuts interval. Hver gang var det en ny IP-adresse der svarede fra en ny lokalitet i verden.

Dette, og flere andre faktorer (det er en nginx/0.6.34 webserver der svarer hver gang) indikerer, at Sophos har ret i, at dette er malware tilhørende Waledac botnettet: http://www.sophos.com/security/analyses/viruses-and-spyware/w32waledw.html

Anden information:

Amerikanerne er det land i verden der sender flest lykønskningskort. Hele 7 milliarder kort om året ifølge The Greeting Card Association. Hver amerikansk husholdning køber cirka 30 lykønskningskort om året - og hver borger i USA modtager i gennemsnit 20 kort om året.

Der er i praksis et kort til enhver given lejlighed, men julekort kommer ind på en sikker førsteplads (60 procent). På en lige så sikker andenplads kommer Valentinsdag (25 procent). Efterfølgende kommer Mors Dag (4 procent), Påske (3 procent) og Fars Dag (3 procent). De sidste 5 procent dækker over brylluper, fødselsdag, udnævnelser og lignende.

Der bliver med andre ord blive sendt omkring 1.75 milliarder Valentinsdagskort, hvoraf cirka 200 millioner sendes elektronisk. Dette tal er i stigning, men amerikanerne foretrækker stadig et fysisk lykønskningskort. Men 200 millioner er da en slat :o/

Trojaner i piratudgave af Apple iWork 09

Mac-brugere har længe levet med et lille smil på læben, når talen faldt på it-sikkerhed. Målt op mod Windows-brugernes kvaler, så er malware rettet mod Mac nærmest latterlig lille. Men tiderne er ved at vende!

Som det seneste spredes der i øjeblikket en trojaner via torrentsites, hvor en piratudgave af Apples iWork 09 indeholder lidt ekstra kode. Installationsprogrammet, der ellers er fuldt funktionelt, indeholder nemlig også pakken iWorkServices.pkg. Når den afvikles vil trojaneren have read-write-execute rettigheder til root.

Trojaneren forbinder sig til servere på nettet, hvor den opdateres og henter anden type malware ned på maskinen. En ondsindet fjernbruger kan herefter forbinde sig til den ramte maskine og bruge den til andre formål. Forskellig antivirus til Mac, med signaturer fra den 22. januar, kan finde denne trojaner. Det er dog de færreste Mac-brugere der benytter antivirus. Hmmm....

Fokus på Mac sikkerhed

Som nævnt i indledningen, så har der ikke været megen fokus på malware rettet mod Mac's - platformen har været for ubetydelig for de it-kriminelle. Der har været et par sager gennem årene, men småting i de store sammenhæng. Men det seneste opsving for Apple har medført at vinden er begyndt at vende.

Når en platform begynder at blive populær, så kommer der fokus på at dyrke et marked for eksterne leverandører. Når markedet når en kritisk størrelse, på både den økonomiske og brugsmæssige side, vil forskellige typer af misbrug så småt starte. Det kan være alt fra piratkopiering og cracking til udvikling af malware og hacking.

Så Mac-brugerne kan godt indstille sig på, at det lille overbærende smil ikke er så sikkert længere. Frekvensen hvormed malware rettet mod OS X dukker op - er langsomt steget. Det varsler ændret tankegang hos Mac-brugerne, hvis de ikke vil tages på sengen som Windows-brugerne blev det ved årtusindskiftet.