xpost: dk.edb.sikkerhed,dk.edb.sikkerhed.virus
fut: ingen
Hej grupper.
Malware Alarm! - nej, det er det ikke men det kunne det ligeså godt være.
Jeg har endelig fået lavet et playback af den tidligere omtalte fake
scanner.
Baggrunden for disse screen dumps og playbacks er selvfølgelig at advare om
'whats out there'.
Playback'et med en fake movie download var inspiretet af Kent Friis geniale
idé med at ændre temaer.
Her kan man så afprøve med sine egne temaer/farvevalg, og se hvordan den
skiller sig ud.
Den 'nye' playback med virus scanneren var inspireret af udtalelser som 'den
dukker ikke op af sig selv'.
Men - jo - det gør de squ netop.
Det er klart, at for dem som ved noget om EDB, så dukker der ikke noget
pludseligt op.
Men hvad tænker Hr. og Fru Ny PC?
Hvis man bemærker adresselinien i virusscanneren, så ændrer den sig ikke, så
det handler bare om at få sneget et <script> tag ind på en troværdig
hjemmeside.
En anden angrebsvektor kunne også være at lave html injection på diverse
fora/blogs.
Ud over at vise hvordan det rent faktisk foregår, synes jeg også man skal
bemærke hvor svært det er at undgå en download.
Der er ikke tale om ukritisk at trykke ok eller ej.
Næsten uanset hvor man trykker, ender man med en download.
Jeg håber i kan bruge det som inspiration, evt. som advarsel til
famile,venner og bekendte.
Der har også tidligere været et indlæg om en der havde haft besøg med
administrator rettigheder.
Hvis man kigger godt efter metodikken i scanneren, og tænker på _referrer_
spam.
Så vil referrer, altså den injectede side, optræde i statistikker over
besøgende.
Disse statistikker er (måske) kun tilgængelige for _webmastere_, og ved at
lægge en passwordlogger ind i stedet for malware, har man automatisk
brugerid og password til administrationsdelen af et website, når
webmasteren er nysgerrig og tænker: "Nej hvor spændende at få besøg fra
XXX" og klikker på linket.
Link til de 2 playbacks:
<
http://w-o-p-r.dk/xoomer/wopr.xoomer.playbacks.asp>
Beklager at det er holdt i (forkølet) engelsk, men normalt holder jeg mere
til i udenlandske grupper.
Men i hvert fald - be ware of the evil lurking in the darkness.
--
Med venlig hilsen
Stig Johansen