30.8.07

Stormangreb har ramt Blogger og CSIS

Et ondskabsfuldt angreb kører på ottende måned på nettet, også fordi angrebet konstant skifter ham. Der er tale om den såkaldte Worm-orm, der på det seneste også har evnet at trænge ind på Blogger - den blogplatform, jeg bruger.

Worm-bagmændene forsøger på forskellig vis at lokke folk til at klikke på en lænke, men gør man det, er der risiko for, at ens pc'er ender på et sted, hvor den straks inficeres. Smitten indebærer, at en ubeskyttet eller mangelfuldt beskyttet pc kommer til at indgå i et net af angrebspc'er. Det er et såkaldt botnet (robotnet), som bagmændene har fuld kontrol over, når de vil det.

Nyhedstjenesten The Register skriver her lidt om Bloggerangrebet og forhistorien. Nyhedstjenesten citerer analytikere for, at omkring 1,7 millioner pc'er allerede er en slags sovende agenter for bagmændene.

En blog tilknyttet sikkerhedsfirmaet Sunbelt viser, hvorledes det udmønter sig på Blogger. Angrebet, der ses som selvstændige indlæg på en blog, har typisk tekster som "Dude what if your wife finds this" and "Sheesh man what are you thinkin". Målet er, at få folk til at klikke på en "afslørende" YouTube-video, men man ryger altså i stedet direkte til en smittekilde.

Ifølge det danske it-sikkerhedsselskab CSIS er det sandsynligvis en russisk bande, der står bag Worm. CSIS fortæller i dag, at bagmændene har sat et angreb ind mod firmaets eget Skanderborg-kontor, hvis system ikke længere kan få forbindelse med internettet. Der er tale om et såkaldt Denial of Service-angreb, hvor servere bombarderes med så meget trafik (typisk via botnets), at de opgiver ævret. Nyhedstjenesten Comon har historien.

Worm-starten i januar gik med en mail, der varslede, at en alvorlig vinterstorm var på vej til Nordeuropa, og som vist anmodede folk om at klikke på lænke, der ville føre til mere viden. Siden har bagmændendes mails lokket med sex-fotos og bebudelser om, at man har fået et "greeting" card fra familie eller venner. Dem så jeg en del af blandt de mails, som min Gmail havde frasorteret som spammails.

Hele sagen udgør endnu en påmindelse om, at man skal have sin firewall på plads, en anti-viruspakke, der løbende ajourføres, samt at man også har en løbende ajourføring med sikkerhedspatches (Windows Update og lignende tjenester).

Jeg vil senere skrive lidt om, hvorledes man kan afsløre, om ens pc er blevet shanghajet - en del af et botnet. Ved ikke nok om det lige nu, men har søgt bistand, Andre er imidlertid mere end velkommen til at fortælle nærmere under kommentarer.

Tilføjelse den 31. august.
CICS' Peter Kruse har i en mail til mig givet følgende oplysninger:
"Først og fremmest må den almindelige PC bruger desværre til at indstille sig på, at angreb ikke længere er isoleret til e-mail. I snart et halvt år har størstedelen af inficerede maskiner opnået deres status via drive-by angreb (hvor der plantes exploits fra fjendtlige hjemmesider). Brugere lokkes via e-mail, links på blogs eller forums eller nyhedsgrupper. Der er mange forskellige typer lokkemad og kreativiteten fejler bestemt ikke noget.

Generelt er Storm en yderst kompleks kode med rootkit funktionalitet, så det kan være svært, efter infektion, at spotte den uønskede kode.

Et par symptomer er imidlertid mange udadgående forbindelser og deraf langsommere Internet hastighed samt deaktivering af sikkerhedssoftware.

Hvis man har mistanke om infektion bør man besøge en online scanner - der er flere gode bl.a. F-Secures online scanner som er rigtig god til at detekte Storm kode.

Hvis online scanneren ikke vil køre kan det være et tegn på infektion.
Citat slut.
Tak til Peter Kruse for denne hjælp. F-Secures online-scanner findes her. Ordet Exploit står for kode, der udnytter en svaghed. Ordet Rootkit forklares her, og det er altså oprindeligt betegnelsen for en række værktøjer, der gør det muligt for "administrator" blandt andet at overtage kontrollen over pc'en - for eksempel som led i fejlfinding. Hackerne smugler egne rootkits ind.


PS:
Vedr. angrebet på blogs, skrevet på blogplatformen Blogger. Formodningen går p.t. på, at det ondartede indlæg kommer ind via den funktion, der tillader, at man kan sende sit indlæg via email (til en særlig adress), så man ikke skal logge ind i Blogger med videre. Jeg har IKKE slået e-mailfunktionen til for min blogs.

6 kommentarer:

Anonym sagde ...

Hej Dorte.
Tak for en god blog med mange indsigtsfulde og interessante indlæg. Jeg griber ofte mig selv i at ønske at flere danske IT-journalister havde dit niveau.

Noget der springer mig i øjnene igen og igen, når jeg læser dine indlæg, er din brug af ordet "lænke" istedet for "link". Jeg vil tro at "lænke" er det helt korrekte ord at bruge på dansk, men samtidig giver det mig altid samme fornemmelse som når jeg hører folk benytte ordet "datamat". Lettere uddateret og anakronistisk. Tror du ikke at det er en tabt kamp at forsøge at få danskerne til at bruge ordet "lænke"?

Dorte Toft sagde ...

Jeg har hørt det "lettere uddaterede" før, og jeg forsøger at bruge link, fordi det er begrebet, der bruges mest, men lænke falder mig så naturligt, at det smutter ind imellem.

Datamaten! Jo, det er en historie for sig, ligesom brik - det danske udtryk for en byte. Brikken tog jeg aldrig til mig, men en stund brugte jeg datamaten, som jeg dog smed væk så snart "computer" var blevet et ord, som hvermand kendte og brugte. Jeg tror på, at man bliver nødt til at følge med folks sprogbrug.

Så ja. Det er en tabt kamp at få danskere til at bruge danske it-udtryk.

Unknown sagde ...

Hej Dorte og co.

Jeg har lavet en hjemmeside, som viser hvordan man via 5 nemme og gratis trin får sikret sin Windows-pc. Samtidigt kan man blive holdt opdateret om sikkerhedshuller, nye programversioner, få tips via nyhedsbrevet m.m.

Besøg den på http://www.sikkerwindows.dk

Håber den kan hjælpe lidt :-)

Mvh
Lars
SikkerWindows.dk

Dorte Toft sagde ...

Hej Lars,
Tak for den hjælpende hånd, men dit indlæg er betænkeligt nær på en reklame. Jeg lader den dog stå (foreløbig), da 5-trinspunktet vist henviser til gratis-tjenester. Men du bør nok oplyse, hvordan du får finansieret dit websted. Er det via reklamerne for købeprodukterne?

Unknown sagde ...

Hej Dorte

Som jeg skriver på SikkerWindows.dk under "Kontakt/Info" drives hjemmesiden på privat non-profit basis, uden kommercielle interesser.

Så jeg får finansieret hjemmesiden ved selv at finansiere den :-)

Udover tid koster det nu altså heller ikke mange øre, at holde den i luften og den feedback jeg har fået har bestemt været det hele værd.

Mvh.
-Lars

Dorte Toft sagde ...

Tak fordi du lige forklarede sammenhængen, Lars.
Jeg bedømte blot ud fra forsiden.
Et godt initiativ er det. Vældig konkret, og det er der behov for.