/ Forside/ Teknologi / Internet / Andet internet / Tip
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Andet internet
#NavnPoint
Klaudi 15941
o.v.n. 10991
refi 7735
molokyle 7317
miritdk 6664
Nordsted1 5250
severino 4485
webnoob 3820
tedd 3588
10  stl_s 3378
Falsk Microsoft opdatering
CLAN har modtaget 5 point for dette tip
Fra : CLAN
Vist : 477 gange

Dato : 25-06-03 20:58

Kruse Security advarer mod falsk Microsoft Opdatering!

Navnet "W32.Ifud.worm" vil ændre sig i takt med antivirus producenternes
almindelige navngivningspolitik.

En SPAM mail, som indeholder oplysninger om en kritisk opdatering fra Microsoft,
er i omløb. Mailen henviser brugeren til en hjemmeside, som automatisk forsøger
at plante ondsindet kode på et ikke opdateret Microsoft Windows system.

Hjemmesiden udnytter en svaghed i Internet Explorer: "Cumulative Patch for
Internet Explorer (818529)", som blev frigivet d. 4. Juni 2003:
http://www.microsoft.com/technet/security/bulletin/MS03-020.asp

Det anbefales, at blokkere adgang til hjemmesiden:
http://www.windows-update.com. Det kan ske i en central firewall.

Nysgerrige brugere bør ikke klik på dette link, da den kan aktivere koden uden
at brugeren tillader det.

Mailen indeholder følgende tekst:

Dear Windows User!

New Windows 9x/2000/NT/XP critical patch has been released.
Due to security problems, your system needs to be updated as earlier as possible.

You can download an update patch on Windows Update site:
http://www.windows-update.com

Best regards, Windows Update Group

På hjemmesiden befinder sig et meget stort antal Iframes, som henviser til en fil,
som befinder sig på domænet windows-update.com. Der er tale om ikke færre end 3355
Iframes som åbner nye vinduer i browseren.

Siden indeholder:

<html>
<head>
<title>Microsoft Update</title>
</head>
<iframe src="update0932.exe"> (hvor Iframen er kopieret 3354 gange).

Filen "update0932.exe" som forsøges afviklet, er pakket med UPX (Ultimate Packer
for eXecutables) og indeholder en trojan downloader. Denne peger på IP adressen:
38.115.134.3 (som læses fra en droppet fil), hvor der hentes yderligere en fil
(svsghost.exe). Denne indeholder en IRC bagdør af typen Sdbot. Ingen af disse
filer detektes af antivirus programmer.

Kruse Security analyserer i øjeblikket koden og vil poste opdateringer
på følgende URL:
http://www.krusesecurity.dk/advisories/ifud-worm.txt


 
 
Bedømmelse

Fra : Phylock


Dato : 25-06-03 23:28



Bedømmelse

Fra : ram2


Dato : 25-06-03 23:47



Bedømmelse

Fra : Fnollerpige


Dato : 25-06-03 21:19



Bedømmelse

Fra : phoolan


Dato : 25-06-03 21:19



Bedømmelse

Fra : gasmanden


Dato : 25-06-03 21:29



Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke lave en bedømmelse til dette tip.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177579
Tips : 31968
Nyheder : 719565
Indlæg : 6409074
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste