Läser hos PandaLabs att de har mottagit stora mängder av spam som skickas för att sprida varianter av trojanen Sinowal. Att detta pågår verifieras även av RedOrbit som pratat med Symantec och Appriver. Mailen försöker utnyttja hysterin kring svininfluensan för att få läsaren att besöka en infekterad hemsida.

Mailen som går ut uppmanar mottagaren att gå in på en hemsida för att registrera sin vaccineringsprofil, men den innehåller istället en typ av attack-kod som tyst installerar trojanen på besökarens dator:

You have received this e-mail because of the launching of State Vaccination H1N1 Program. You need to create your personal H1N1 (swine flu) Vaccination Profile on the cdc.gov website. The Vaccination is not obligatory, but every person that has reached the age of 18 has to have his personal Vaccination Profile on the cdc.gov site. This profile has to be created both for the vaccinated people and the not-vaccinated ones. This profile is used for the registering system of vaccinated and not-vaccinated people.

Create your Personal H1N1 Vaccination Profile using the link:

create personal profile
—-
Centers for Disease Control and Prevention (CDC) – 1600 Clifton Rd – Atlanta GA 30333 – 800-CDC-INFO (800-232-4636)

De ämnesrader som använts mest frekvent i utskicken är:

Governmental registration program
State Vaccination H1N1 Program
Your Personal Vaccination Profile
Create your personal Vaccination Profile
State Vaccination Program
Creation of personal Vaccination Profile

och det kan vara en bra idé att lägga upp dessa ämnesrader i din mailfiltrering så att du slipper den värsta anstormningen av mail. Mailen innehåller i sig ingen skadlig kod, och ditt mailserver-antivirus kanske inte reagerar (men ev. spamskydd bör göra det).

Mer teknisk information om trojanen Sinowal hittar ni i PandaLabs bloggpost om detta.

Daniel Nyström Datasäkerhet, Panda Security drive-by-downloads, pandalabs, sinowal, spam, svininfluensa

Webbläsare och deras kringkomponenter fortsätter att vara den vanligaste och mest effektiva angreppsvektorn för skadlig kod, och jag såg förra veckan att ytterligare en sårbarhet i Adobe Shockwave har publicerats.

Vi har sett mängder av attacker under det gångna året som har haft ursprung i legitima sidor som preparerats med skadlig kod, bland dessa olika Gumblar varianter och mycket annat. Bland annat släpptes de första typerna av maskar som attackerade de nyare säkerhetshålen i Windows (MS08-067, som Conficker.A bland annat) via preparerade siter.

Varför är då webbläsare ett så populärt mål? Det finns säkerligen många anledningar, men de huvudsakliga fördelarna för “the bad guys” är att:

- De måste bara hacka en server och preparera en webbsida med skadlig kod.
- Brandväggar och annat spelar ingen större roll. Infektionen sker via redan tillåtna program.
- Ingen, i stort sett, patchar ordentligt. Mängden infekterbara datorer är därav stor.

Vet du om dina datorer har de senaste verisonerna av Adobe Reader, Flash, Shockwave, Java eller andra plugins och ActiveX komponenter? Vet du ens om dina datorer har de senaste Windows patcharna?

Ditt nätverks säkerhet är bara så starkt som den svagaste länken, och om du inte har kontroll över vilka versioner som används kan du aldrig göra en korrekt riskanalys eller anse att du är säker. Till exempel, vid den senaste säkerhetsöversynen vi gjorde i ett relativt väl underhållet nätverk så hittade vi upp emot 10 olika versioner av Acrobat Reader. Samtliga av dessa hade säkerhetshål som kunde användas för att infektera deras datorer om de besökt preparerade webbsidor.

Gumblar är ett bra exempel. Den planterades på webbsidor runt om i världen och var extremt aktiv i Maj och har varit igång sen dess. Den är dessutom så smart så den samlar in inloggningsdetaljer till andra servrar ifrån de infekterade datorerna, och modifierar sen alla webbsidesfiler (.htm & .html) över FTP med hopp om att infektera fler datorer den vägen. Det här har lett till infektioner i flera led, där kanske en dator var infekterad från början men smittat andra via intranät och andra interna webbsidor.

Trenden har varit tydlig ett tag nu. Det gäller för oss alla som administrerar nätverk att se över mjukvarorna i vårt nätverk. Har vi inte kontroll över miljön kan vi aldrig anse oss säkra.

Daniel Nyström Datasäkerhet acrobat reader, drive-by-downloads, gumblar, inventering, säkerhet, webbläsare