Post on 30-Apr-2018
© 2007 Luc Decuyper Virussen, inbrekers en spyware 1
Luc Decuyper2008-04-09
… of http://www.lucinfo.net
Voorbeeld van Phishing:
© 2007 Luc Decuyper Virussen, inbrekers en spyware 2
Voorbeeld van Phishing:
Voorbeeld van Phishing:
Waarom een Digipass gebruiken:
© 2007 Luc Decuyper Virussen, inbrekers en spyware 3
Waarom een Digipass gebruiken:
Opletten met uw kredietkaart:
Zie filmpje op You Tube:
http://www.youtube.com/watch?v=Qg8-o4Ewp-A&feature=related
Zie ook:http://www.youtube.com/watch?v=k5XiXMKNI9s&NR=1
Voor we beginnen...
Windows verkenner
© 2007 Luc Decuyper Virussen, inbrekers en spyware 4
Voor we beginnen...
Windows verkenner
Zeker aanpassen !!!!
Wat is een virus?
Geef volgende URL in:
Surf.to/bsod
…en je krijgt volgendBlue Screen on Demand (bsod)
© 2007 Luc Decuyper Virussen, inbrekers en spyware 5
Definitie:Een computervirus is eenprogramma dat ongemerkt en/of ongewenst op je computer geplaatst werd en ongevraagdehandelingen verricht.
© 2007 Luc Decuyper Virussen, inbrekers en spyware 7
W32/Yaha-E augustus 2002
Aliases: I-Worm.Lentin.g, W32/Yaha.g@MM, I-worm/Yaha.D, 32.Yaha@F@mm,Win32/Yaha.E
It is not necessary for a user to double-click on the attachment to becomeinfected as this virus can exploit a security vulnerability in Microsoft Internet Explorer, Outlook and Outlook Express. To prevent reinfection, users of Microsoft Outlook and Outlook Express should install the following patchavailable from Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS01-027.asp (This patchfixes a number of vulnerabilities in Microsoft's software, including the oneexploited by this virus.)
Bron:http://www.sophos.com/virusinfo/analyses/w32yahae.html
© 2007 Luc Decuyper Virussen, inbrekers en spyware 8
• Content IE5• Windows XP
Deel 4: Nieuweontwikkelingen
• Webbugs
• SpamDeel 3: Spyware
• Wormen• Trojaanse paarden
Deel 2: Inbreken
• Bootvirussen• Bestandsvirussen• Macrovirussen
Deel 1: Virussen
Virussen en andere beestjes ….
Virussen en andere beestjes ….
Indeling:
Drie hoofdtypes:
•Bootvirussen
•Bestandsvirussen
•Macrovirussen
© 2007 Luc Decuyper Virussen, inbrekers en spyware 9
1 Bootvirussen:CorrecteSector
EB 3C 90 =JMP 003E
1 Bootvirussen:Ping-Pong virus
EB 1C 90 =JMP 001E
Foutboodschapvervangen doorprogramma
1 Bootvirussen: BIOS aanpassen!!!
© 2007 Luc Decuyper Virussen, inbrekers en spyware 10
1 Bootvirussen: BIOS aanpassen!!!
1 Bootvirussen: Anti-virusschildgebruiken!!!
1 Bootvirussen: Norton Antivirus waarschuwt
© 2007 Luc Decuyper Virussen, inbrekers en spyware 11
Reclame
Het Computerwinkeltje49,50 €Norton Antivirus 2003 Nl.30,95 €Panda Antivirus Titanium
66,44 €7,53 €
166,63 €
F-secure werkstation (cd’s + licentie)Bijkomende licentieF-secure Server
(bij schoollicentie: gratis voor ll. en lkr.)
45,67 €
27,38 €
Norton Antivirus stand-alone (licentie + cd)
Norton Antivirus Server 1 werkstationlicentie
Sumika
eTrust EZ antivirus (Inoculate): $19,95 (voor twee jaar)vernieuwing: $9,95
Reclame eTrust EZ antivirus (Inoculate): $19,95
Vernieuwing: $9,95
2 Bestandsvirussen:actief als je het programma start
Diskette:
E-mail:
© 2007 Luc Decuyper Virussen, inbrekers en spyware 12
2 Bestandsvirussen:ook niet-uitvoerbare programma’s !!!
2 Bestandsvirussen:
Oplossing:anti-virusprogrammaen schild gebruikenmet zeer recente
dat-files
2 Bestandsvirussen:• Downloaden dat-files
• Abonnement op nieuwsbrief i.v.m. nieuwe virussen
© 2007 Luc Decuyper Virussen, inbrekers en spyware 13
2 Bestandsvirussen:Zeer recente dat-file gebruiken !!!!
2 Bestandsvirussen:
W32/Yaha-E augustus 2002
Aliases: I-Worm.Lentin.g, W32/Yaha.g@MM, I-worm/Yaha.D,32.Yaha@F@mm, Win32/Yaha.E
2 Bestandsvirussen:W32.Bugbear@mm is a mass-mailing worm. It can also spread through network shares. It has keystroke-logging and backdoor capabilities. The worm also attempts to terminate the processesof various antivirus and firewall programs.
© 2007 Luc Decuyper Virussen, inbrekers en spyware 14
2 Bestandsvirussen:
2 Bestandsvirussen:
2 Bestandsvirussen:
© 2007 Luc Decuyper Virussen, inbrekers en spyware 15
3 Macrovirussen:VBA-programma’s gekoppeld aan eenMS-Officebestand
Verspreiding: via bijlagen aan e-mails
3 Macrovirussen:• Klik op Extra, Macro, Beveiliging…
• Klik op Extra, Opties, Opslaanselecteer ‘Vragen of Normal.dot moet worden opgeslagen’
3 Macrovirussen:• Controle van e-mail door virusschild
• Niet vergeten: DAT-files !!!!!
© 2007 Luc Decuyper Virussen, inbrekers en spyware 17
Ok, maar doet u ook eenOffice Update ????
http://office.microsoft.com/officeupdate/maincatalog.aspx?lc=nl-be
© 2007 Luc Decuyper Virussen, inbrekers en spyware 18
Virussen en andere beestjes ….
Andere beestjes… (hm)
Bestanden lezen en verwijderen, wachtwoorden kopiëren,schijven formatteren, … kortom, alles
wormen…
????????????
© 2007 Luc Decuyper Virussen, inbrekers en spyware 19
… zonder programmaInbraak via IP-nummer en gedeelde schijf of mappen
… zonder programmaInbraak via IP-nummer en gedeelde schijf of mappen
Computer overnemen via Internet
© 2007 Luc Decuyper Virussen, inbrekers en spyware 20
… met programma (Trojan horses)
Bestaat uit twee delen:•Client
(op de computer van de inbreker)
•Server (geïnstalleerd op de computer van het slachtoffer)
Inbraak via IP-nummer en openstaande poort
… SubSeven (server maken)
… SubSeven (server meegeven)
© 2007 Luc Decuyper Virussen, inbrekers en spyware 21
… SubSeven (server zoeken)
… SubSeven (resultaat)
… SubSeven (resultaat)
© 2007 Luc Decuyper Virussen, inbrekers en spyware 22
… zijn er oplossingen ???
•McAfee dat 4103 vindt deSubSevenserver niet
•Inoculate versie v468 wel
Beter voorkomen dan genezenwant:
… sluit de poorten (firewall)Suggestie: ZoneAlarm
ZoneAlarm (www.zonelabs.com)
© 2007 Luc Decuyper Virussen, inbrekers en spyware 23
ZoneAlarm (www.zonelabs.com)
ZoneAlarm (www.zonelabs.com)
ZoneAlarm (www.zonelabs.com)
© 2007 Luc Decuyper Virussen, inbrekers en spyware 24
ZoneAlarm (www.zonelabs.com)
Dit zijn “trojan horses”, programma’s (let op de grootte) die proberen uw computer te verbinden met een andere computer op het Internet om zo uw gegevens door te sturen.
Controleer dit regelmatig
ZoneAlarm (www.zonelabs.com)
… maar wat doet W32/Magistr@MM ?
© 2007 Luc Decuyper Virussen, inbrekers en spyware 25
… maar wat met Windows XP?
Geen controle uitgaande bestanden,wel binnenkomende.
… test je computer (grc.com)
… en controleer regelmatig
© 2007 Luc Decuyper Virussen, inbrekers en spyware 26
… en doe een ‘Leak’-test
Test via Sygate (http://scan.sygatetech.com/)
Test via Sygate (http://scan.sygatetech.com/)
© 2007 Luc Decuyper Virussen, inbrekers en spyware 27
… en gebruik Proxy
Met Proxy: 217.136.127.183Zonder proxy: 80.201.9.218(in te stellen via de Internet Explorer) - Extra, Internet-Opties, Verbindingen
… en vergeet niet er zijn er meerdan 481 !!!
Virussen en andere beestjes ….
© 2007 Luc Decuyper Virussen, inbrekers en spyware 28
Andere beestjes… (hm)
Bestanden lezen en verwijderen, wachtwoorden kopiëren,schijven formatteren, … kortom, alles
Spyware …
Spyware:
Server zit in zgn. Freeware
v.b.: •Go!zilla
•CuteFTP
•Kaazamaar ook in cookies
… zijn er oplossingen ???• gebruik een firewall zoals ZoneAlarm
maar:
Spyware kan ook werken in de browser,zodat de firewall niets opmerkt …
© 2007 Luc Decuyper Virussen, inbrekers en spyware 29
????????????
Niet terug te vinden op de harde schijf …
… zijn er oplossingen ???controleer uw software met Ad-Aware
CookieRegistersleutel
… zijn er oplossingen ???controleer uw software met Ad-Aware
© 2007 Luc Decuyper Virussen, inbrekers en spyware 30
… zijn er oplossingen ???Versie 6 bevat Ad-watch, een soort « schild »
… zijn er oplossingen ???Gebruik niet alleen AdAware, maar ook Spybot
… zijn er oplossingen ???Installeer Updates, Patches, nieuwe versies ….
Office 2000 Service Pack 2 (SP-2)
Office 2000 SP-2 bevat de recentsteproduct-updates voor Office 2000 Service Release 1 (SR-1). Office 2000 SP-2 is met name geschikt voor gebruik in bedrijven en kan ook door kleine bedrijven en individuelegebruikers worden geïnstalleerd. Office 2000 SP-2 bevat tevens de Outlook-beveiligingsupdate waarmee de manierwaarop in Outlook wordt omgegaan met bepaalde typen e-mailbijlagen, wordtaangepast. Laatst bijgewerkt: 14 november2000.
Office 2000-beveiligingsupdate: Probleemmet UA-besturingselementen
Met de Office 2000-update voor UA-besturingselementen wordt eenbeveiligingsprobleem opgelost in de Microsoft Office 2000-programma's. Aangezien hackers met kwade bedoelingen het huidige besturingselementkunnen gebruiken om schade aan uw systeem toe tebrengen, raadt Microsoft alle Office 2000-gebruikers aan deze update te installeren. Laatstbijgewerkt: 12 mei 2000.
© 2007 Luc Decuyper Virussen, inbrekers en spyware 31
Andere beestjes… (hm)
Een webbug is een afbeelding op een webpagina of in eene-mail (als je een html-document ontvangt) met de bedoeling na te gaan wie de webpagina of e-mail leest.
Daarbij probeert men zoveel mogelijk informatie te verzamelen over de bezoeker via cookies.
Webbugs zijn meestal onzichtbaar omdat zij eenpixelgrootte hebben van 1-bij-1. Andere benamingen zijn‘clear gifs’, ‘1-by-1 gifs’, ‘invisible gifs’ of ‘beacon gifs’.
Webbugs…
Webbugs:
Webbugs:
Wat wordt meegestuurd:•Naam (type) gebruikte browser
•Tijdstip
•IP-adres van uw computer
•IP-adres en URL van de website
•URL van de webbug
•De inhoud van een vooraf geplaatste cookie
De webbug is een afbeelding op een webpagina die moet opgehaald worden op een andere computer dan deze waar de webpagina opstaat. De opgehaalde afbeelding is onzichtbaar.
© 2007 Luc Decuyper Virussen, inbrekers en spyware 32
Webbugs:Voorbeeld (een bestelling bij Colruyt)
Cookies:
Cookies bekijken met Cookie Crusher
Adres: http://www.thelimitsoft.com/
Webbugs:
Cookie naar DoubleClick wordt op computer geplaatst
Webbugs:Soorten cookies:
•Permanente en tijdelijke cookies
•Directe en indirecte cookies
•Onbevredigende cookies
© 2007 Luc Decuyper Virussen, inbrekers en spyware 33
Webbugs:Cookies verbieden?(Extra, Internet-opties, Privacy)
Plaats de schuifregelaar zeker zo dat Normaal (hoog) gekozen wordt.
Indirecte cookies worden tegengehouden.
Webbugs:Cookies totaal verbieden?(Extra, Internet-opties, Privacy, Geavanceerd)
Bij ingave taalkeuze:
Bij openen webpagina:
… dit is dus niet haalbaar
Webbugs:Hoe oplossen?
• Verwijder regelmatig alle cookies• Nooit vertrouwelijke informatie ingeven diebewaard wordt in een cookie
m.a.w. geef dergelijke informatie enkel in via beveiligde webpagina’s en nooit via een niet beveiligd invulscherm
Amazon.com bewaart (bewaarde?) kredietkaartnummers in cookies !!!!!
© 2007 Luc Decuyper Virussen, inbrekers en spyware 34
Reclame:
Webbugs:Voor de Thomassen….
Lees uw cookies via een Finse website …
Adres: http://www.solutions.fi/index.cgi/extra_iebug?lang=eng
Spam:Spiced Pork and Meat(Gekookte, ingeblikte ham)
© 2007 Luc Decuyper Virussen, inbrekers en spyware 35
Spam:Verboden in België(wet van 11 maart 2003, van kracht sedert 28 maart)
Info: http://ludit.kuleuven.be/info/spam.html
Virussen en andere beestjes ….
Over welke map gaat het:
• Bij Windows 98 en Millenium
C:\Windows\Temporary Internet Files\Content.IE5\
•Bij Windows 2000 en XP
C:\Documents and Settings\<username>\Local Settings\Temporary Internet Files\Content.IE5
Content.IE5de verborgen map
© 2007 Luc Decuyper Virussen, inbrekers en spyware 36
Content.IE5de verborgen map
Zichtbaar maken via de Internet Explorer
Content.IE5de verborgen map
Scan uw computer via het Internet !!!!(en is dit veilig ???)
Gratis: http://www.virusscan.be/index.cfm
Content.IE5de verborgen map
Heel recente anti-virusprogramma’scontroleren deze map
© 2007 Luc Decuyper Virussen, inbrekers en spyware 37
Content.IE5de verborgen map
… maar wat met Windows XP?
Universal Plug and Play (UPnP):Iedereen kan (d.m.v. een buffer overflow) gelijk welke code uitvoeren op uw computer
…zoals b.v. formatteren…
Oplossing:
Download en gebruik het programma UnPnP.exe
Bron: Gibson Research Corp.http://grc.com/unpnp/unpnp.htm
… maar wat met Windows XP?
XPdite: met URL willekeurige directories wissenDoor te klikken op een Internetadres (URL) kan de inhoud van mappen gewist worden
Oplossing:
• Download en gebruik het programma XPdite.exe of
• Installeer Service Pack 1
Bron: Gibson Research Corp.http://grc.com/xpdite/xpdite.htm
© 2007 Luc Decuyper Virussen, inbrekers en spyware 38
… maar wat met Windows XP?Tik in bij Uitvoeren: services.msc
Er zijn 89 services voorzien in Windows XP:
• Daarvan worden er 36 automatisch gestart
• … na installatie van een aantal programma’s (o.a. anti-virus)werken er bij mij 83 services
• Om XP te laten werken zijn er slechts 8 services nodig …..
… maar wat met Windows XP?Nodig ?
WebClientRemote Registry Service (XP Pro)Windows Time
QoS RSVPApplication Layer Gateway Service
Portable Media Serial number
DHCP clientIndexing ServiceComputer Browser
MessengerIIS Admin (XP Pro)AutomaticUpdates
Net LoginError Reporting ServiceAlerter
Bron: Black Viper (http://www.blkviper.com)Rijksuniversiteit Groningen (http://www.rug.nl/rc/security/adviezen/)
(http://www.rug.nl/rc/security/adviezen/XP2.doc)
… maar wat met Windows XP?
© 2007 Luc Decuyper Virussen, inbrekers en spyware 39
… maar wat met Windows XP?Gevolgen…..
… maar wat met Windows XP?Controleer wat opstart: (Start, Uitvoeren, Msconfig)
… maar wat met Windows XP?Of gebruik What’s Running?
© 2007 Luc Decuyper Virussen, inbrekers en spyware 40
… maar wat met HP,
Logitech, Kodak, ..??
… en wat is dit ???
… tot slot
Bezin voor je begint……
bevat uw computer vertrouwelijke informatie, gebruik dan zeker geenMS-Windows 95, 98, ME
© 2007 Luc Decuyper Virussen, inbrekers en spyware 41
… wantmet het programma ShowPass wordenalle verborgen wachtwoorden zichtbaaren leesbaar
… en bij XP,Windows 2000,2003 (server), Vista
met een linux-systeemdiskette kun je alle wachtwoorden (ook dit van de administrator) blanco maken
http://home.eunet.no/~pnordahl/ntpasswd/
…• gebruik een intern netwerk, of
• gebruik MS-Windows 2000 / XP
• beveilig uw BIOS (systeemboot)
En hopelijk gebeurt dit nooit …