Microsoft zag de bot voor het eerst in november 2008 verschijnen, maar het aantal infecties nam vanaf augustus sterk toe. De softwaregigant besloot daarom de malware aan de Malicious Software Removal Tool (MSRT) toe te voegen. Tussen januari en februari van dit jaar verwijderde de gratis tool de malware van meer dan 1 miljoen machines. In Nederland ging het om ruim 25.000 computers.

De meeste geïnfecteerde PC’s stonden in de Verenigde Staten, Zuid-Korea, Frankrijk en Mexico. Rimecud, zoals Microsoft de malware noemt, was in 190 landen actief. Onderzoekers vonden de persoonlijke gegevens van 800.000 gebruikers, zoals inloggegevens voor e-mailwachtwoorden, internetbankieren en bedrijfsnetwerken.

Schade
Het onderzoek is nog in volle gang, maar volgens Panda Security schat dat de schade door de fraude, financiële diefstal, dataverlies en schoonmaken in de miljoenen euro’s loopt.

Vrijuit
Het is goed mogelijk dat de drie aangehouden verdachten nooit de binnenkant van de gevangenis zullen zien. Spanje beschikt namelijk niet over de vereiste wetgeving. “Het is bijna onmogelijk om in Spanje voor dit soort misdrijven de gevangenis in te gaan, waar gevangenisstraf alleen voor ernstige misdrijven is”, zegt kapitein Cesar Lorenzana van de Guardia Civil. “In Spanje is het geen misdrijf om een botnet te hebben, te beheren of malware te verspreiden. Zelfs als we kunnen bewijzen dat ze een botnet gebruikten, moeten we ook bewijzen dat ze identiteiten en andere zaken stalen, en dat is waar we ons nu op richten.”

Ook Juan Santana, CEO van Panda Security, denkt niet dat het trio een celstraf zal krijgen, maar hoopt dat beleidsmakers nu strengere straffen voor computercriminaliteit zullen invoeren. “Ik denk niet dat deze gasten naar de gevangenis zullen gaan, zeker omdat het de eerst keer is dat ze een misdrijf begaan”, aldus Santana. Volgens de beveiliger zijn hackers in veel landen niet bang om te worden gepakt, aangezien ze toch geen celstraf krijgen. “De voordelen wegen nu zwaarder dan de risico’s.”

(bron: security.nl)

Firefox, Google Chrome, Safari, Internet Explorer en Opera beschikken allemaal over een filter om gebruikers tegen dit soort websites te beschermen. NSS Labs selecteerde 562 URLs en keek hoe snel de browsers de websites detecteerden. Daaruit blijkt dat Firefox 3.5 het snelst is met detecteren, maar Internet Explorer 8 veel meer sites herkent. Microsoft’s browser wist 85% van de kwaadaardige websites te herkennen, terwijl Safari 4 en Firefox 3.5 met 29% op een tweede plek eindigen. Google Chrome komt niet verder dan 17%, terwijl Opera onder de één procent blijft steken.

Met name het verschil tussen Safari, Firefox en Chrome is opmerkelijk, aangezien de drie browsers allemaal de Safe Browsing API van Google gebruiken, maar toch verschillend scoren. De leveranciers gaven geen verklaring, maar NSS Labs denkt dat dit komt door verschillende parameters, het anders beoordelen van te blokkeren websites en het moment dat de blacklist wordt opgevraagd.

SmartScreen
De onderzoekers zijn met name te spreken over het SmartScreen Filter in IE8. Microsoft’s browser haalde een unieke URL blocking score van 89% en een algehele bescherming van 85%. “Internet Explorer 8 is veruit de beste in het beschermen tegen social engineering malware.” De 30% toename van gedetecteerde kwaadaardige websites toont daarnaast een “superieur feedback mechanisme”. De overige vier browsers wisten na vijf dagen nauwelijks meer URLs te blokkeren.

Firefox en Safari zijn dan tweede met 29%, ze bieden 56% minder bescherming dan IE8. Google Chrome wist zich ten opzichte van de vorige test te verbeteren, toch ontbreekt er nog unieke URL bescherming binnen de eerste 24 uur, waardoor de uiteindelijk score lager uitvalt dan bij Firefox en Safari die ook de Safe Browsing API gebruiken. Opera faalde hopeloos en biedt volgens de onderzoekers helemaal geen bescherming tegen dit soort dreigingen.

Onafhankelijk
Bij Microsoft is men vanzelfsprekend blij met de resultaten. “Sinds we IE8 in maart 2009 lanceerden, heeft SmartScreen 560 miljoen pogingen om malware te downloaden geblokkeerd, wat neerkomt op 3 miljoen blocks per dag!”, zegt Eric Lawrence, Program Manager van Internet Explorer. Microsoft’s systemen en analisten evalueren elke dag 1 terabyte aan binaries om te bepalen of websites malware verspreiden.

Lawrence ziet SmartScreen als een reden om naar de browser over te stappen. “IE6 en 7 bieden geen bescherming tegen social engineering malware. Als je gezin en vrienden niet up-to-date zijn, adviseer ze dan om voor een veiligere internet ervaring naar IE8 over te stappen.” Het onderzoek van NSS Labs zou geheel onafhankelijk zijn, wat Microsoft’s Brandon LeBlanc benadrukt. “De onafhankelijk testresultaten tonen dat Internet Explorer 8 drie keer zoveel malware dreigingen dan Firefox 3 en tien keer zoveel malware dreigingen dan Google Chrome 2 blokkeert.”

(bron: security.nl)

Functionaliteit
De software werd sinds 2007 aangeboden, wat ook uit de compilatiedatum blijkt. “Het is onmogelijk om met zekerheid te zeggen dat dit Trojaanse paard altijd al in de software aanwezig was, maar op het eerste gezicht lijkt het er wel op”, zegtLiam O Murchu’s van Symantec.

De virusbestrijder houdt er zelfs rekening mee dat de malware zonder dat de ontwikkelaar het wist is toegevoegd. “Of deze Trojan functionaliteit bedoeld was of niet is onduidelijk, maar als dit het bedoelde gedrag is, dan is het zeker zeer verdacht”, gaat O Murchu verder. “Ik zou zeker niet willen dat mijn USB-lader zonder dat ik het weet bestanden downloadt en uitvoert, of mijn bestanden naar een remote locatie stuurt.”

Beveiligingslek
Energizer laat middels een persbericht weten dat er een beveiligingslek in de Windows versie van de software zat. Het programma wordt inmiddels niet meer aangeboden. Gebruikers krijgen het advies om de software van de computer te verwijderen, aangezien dit ook het lek verwijdert. De grote vraag blijft hoe de backdoor in het programma is beland. Energizer blijft het antwoord schuldig, maar zegt dat het met US-CERT een onderzoek naar de oorzaak is gestart.

(bron: security.nl)

“We beseffen dat veel gebruikers vragen over de privacy in hun browser hebben, dus hebben we een kleine video gemaakt om gebruikers dit uit te leggen”, zegtWieland Holfelder, engineering directeur van Google. Naast de privacyinstellingen, kan de browser nu ook automatisch websites vertalen. Beide functies zouden ergens in de komende weken voor de stabiele versie van Chrome moeten verschijnen.

(bron: security.nl)

Analyse links:

• http://www.threatexpert.com/report.aspx?md5=cd0ef868d892a1bf18a965adaeb1b7dc
• http://wepawet.cs.ucsb.edu/view.php?type=js&hash=251b879141a1e80994bd9595a0dbcf13&t=1267529511

De kleine zevenduizend Amerikanen die aan het onderzoek meededen werden gevraagd welk merk ze het meest vertrouwen. IBM staat op de tweede plaats voor Johnson en Johnson. Naast IBM staan ook IT-giganten Apple, Dell, Yahoo en Google in top 20, maar ontbreekt Microsoft in het overzicht. Van de bedrijven die vorig jaar in de top 20 stonden, wisten naast Facebook ook AOL en eLoan dit keer niet voldoende stemmen voor zich te winnen. Hieronder het volledige overzicht:

Vrijheid
Dat is volgens de burgerrechtenbeweging hard nodig, want we verliezen onze vrijheid in “sneltreinvaart”. Zo staat een open en vrij internet onder druk, onder meer door vergaande plannen om miljoenen Nederlanders in één klap tot crimineel bestempelen, zo schrijft BoF in het manifest.

“Bij grote informatiseringsprojecten staat het belang van burgers niet centraal, en projecten als het EPD en de OV-chipkaart roepen dan ook veel maatschappelijke weerstand op. En digitale technologie wordt steeds vaker ingezet om onverdachte burgers in de gaten te houden, zonder dat nut en noodzaak is aangetoond.” Er moet dan ook een rationeel en effectief beveiligingsbeleid komen, in plaats van symboolpolitiek.

Programmapunten
De volgende acht programmapunten zijn volgens BoF nodig voor een betrouwbare informatiesamenleving:

1. niemand mag van internet worden afgesloten
2. er moet een robuust beleid op het gebied van netwerkneutraliteit komen
3. de overheid moet cultuur stimuleren zonder burgers te controleren
4. privacy by design moet het uitgangspunt zijn bij grote informatiseringsprojecten
5. databanken moeten goed beveiligd worden
6. bestaande grote informatiseringsprojecten, zoals het EPD en de OV-chipkaart, moeten worden heringericht
7. effectiviteit moet centraal staan bij de bestrijding van criminaliteit en terrorisme
8. rechtsbescherming en controle moeten integraal onderdeel zijn van systemen
9. bestaande surveillance-systemen moeten aan kritisch onderzoek worden onderworpen

“Dit is een unieke kans om digitale vrijheid voor de komende jaren te beschermen. We hopen dat veel mensen meedoen met deze campagne, want alleen zo kunnen we zorgen dat politieke partijen ook luisteren”, aldus de burgerrechtenbeweging.

Die doet ook een beroep op de Nederlandse kiezer om politieke partijen aan te schrijven. Via deze pagina kunnen burgers hun politieke partij vragen om de digitale vrijheid te beschermen. Daarnaast kunnen mensen een banner plaatsen, erover bloggen en het aan vrienden, familie en kennissen doorgeven

Onveilig
Volgens de softwaregigant zijn Windows Help-bestanden “onveilig”, omdat ze automatische acties kunnen uitvoeren. “Hoewel ze erg waardevolle productiviteitstools kunnen zijn, kunnen aanvallers ze ook gebruiken om een systeem over te nemen”, zegt Jerry Bryant van het Microsoft Security Response Center (MSRC). De exploit voor het zero-day beveiligingslek verscheen vrijdag op het internet.

Aan de hand van het onderzoek dat Microsoft uitvoert zal het besluiten welke actie het onderneemt, zo laat Bryant weten. Daarbij vraagt hij onderzoekers wederom om kwetsbaarheden direct aan Microsoft te rapporteren. “Het op verantwoorde wijze melden van lekken beschermt het computer ecosysteem en individuele computergebruikers tegen aanvallen.”

F1 toets
Naast het niet gebruiken van F1, kunnen gebruikers ook Active Scripting uitschakelen, zo adviseert het Deense Secunia. De kwetsbaarheid is bevestigd op een volledig gepatcht Windows XP SP3 systeem met Internet Explorer 7. Volgens Maurycy Prodeus die het probleem ontdekte, zijn ook IE6 en IE8 kwetsbaar. Dit jaar hebben onderzoekers al verschillende lekken in Microsoft’s browser ontdekt.

(bron: security.nl)

PDF
Daarbij heeft het bedrijf ook een boodschap voor de fanatieke aanhang van de verschillende besturingssystemen. “Iedereen vindt het heerlijk om te vertellen hoe sneller, eenvoudiger, beter en veiliger hun favoriete besturingssysteem is dan de besturingssystemen van anderen. In werkelijkheid zijn besturingssystemen niet meer het probleem. Het is het aantal verschillende applicaties die erop draaien die het probleem vormen.”

Lekken in Windows, Linux en Mac OS X zijn goed voor slechts 20% van alle gerapporteerde lekken. Webapplicaties en kwetsbaarheden in client software zoals browsers en PDF-lezers vormen samen de twee voornaamste categorieën. Met name het aantal lekken in Adobe Reader kende een explosieve stijging. Samen met ActiveX exploits vormen ze het voornaamste wapen van aanvallers om systemen te infecteren en over te nemen. Daarbij is het Microsoft Office Web Components ActiveX-lek het meest misbruikt, gevolgd door vier kwetsbaarheden in Adobe. Om het volledige rapport te downloaden is registratie verplicht.

(bron: security.nl)

Domeinnaam
Eerder was al te zien dat de hoeveelheid spam met .CN linkjes aan het dalen was. Nu blijkt dat spammers massaal op Russische domeinnamen zijn overgestapt. Sinds de daling van het aantal .CN linkjes is het aantal .RU linkjes explosief gestegen.

Het aantal .CN spamberichten is in februari bijna verdwenen, terwijl .RU inmiddels voor 45% verantwoordelijk is. Volgens Samir Patil van Symantec is alleen het gebruik van .RU domeinnamen gestegen en is er geen groei bij andere top level domeinen (TLD) zichtbaar. “In de toekomst kunnen spammers andere domeinen proberen die eenvoudig te registreren zijn.”

(bron: security.nl)