of - users.skynet.beusers.skynet.be/SessieVirussen/VirussenEnBeestjesKl.pdf · kunnen gebruiken om...

© 2007 Luc Decuyper Virussen, inbrekers en spyware 1

Luc Decuyper2008-04-09

… of http://www.lucinfo.net

Voorbeeld van Phishing:




Waarom een Digipass gebruiken:


Waarom een Digipass gebruiken:

Opletten met uw kredietkaart:

Zie filmpje op You Tube:

http://www.youtube.com/watch?v=Qg8-o4Ewp-A&feature=related

Zie ook:http://www.youtube.com/watch?v=k5XiXMKNI9s&NR=1

Voor we beginnen...

Windows verkenner


Voor we beginnen...

Windows verkenner

Zeker aanpassen !!!!

Wat is een virus?

Geef volgende URL in:

Surf.to/bsod

…en je krijgt volgendBlue Screen on Demand (bsod)


Definitie:Een computervirus is eenprogramma dat ongemerkt en/of ongewenst op je computer geplaatst werd en ongevraagdehandelingen verricht.


W32/Yaha-E augustus 2002

Aliases: I-Worm.Lentin.g, W32/Yaha.g@MM, I-worm/Yaha.D, 32.Yaha@F@mm,Win32/Yaha.E

It is not necessary for a user to double-click on the attachment to becomeinfected as this virus can exploit a security vulnerability in Microsoft Internet Explorer, Outlook and Outlook Express. To prevent reinfection, users of Microsoft Outlook and Outlook Express should install the following patchavailable from Microsoft:

http://www.microsoft.com/technet/security/bulletin/MS01-027.asp (This patchfixes a number of vulnerabilities in Microsoft's software, including the oneexploited by this virus.)

Bron:http://www.sophos.com/virusinfo/analyses/w32yahae.html


• Content IE5• Windows XP

Deel 4: Nieuweontwikkelingen

• Webbugs

• SpamDeel 3: Spyware

• Wormen• Trojaanse paarden

Deel 2: Inbreken

• Bootvirussen• Bestandsvirussen• Macrovirussen

Deel 1: Virussen

Virussen en andere beestjes ….


Indeling:

Drie hoofdtypes:

•Bootvirussen

•Bestandsvirussen

•Macrovirussen


1 Bootvirussen:CorrecteSector

EB 3C 90 =JMP 003E

1 Bootvirussen:Ping-Pong virus

EB 1C 90 =JMP 001E

Foutboodschapvervangen doorprogramma

1 Bootvirussen: BIOS aanpassen!!!


1 Bootvirussen: BIOS aanpassen!!!

1 Bootvirussen: Anti-virusschildgebruiken!!!

1 Bootvirussen: Norton Antivirus waarschuwt


Reclame

Het Computerwinkeltje49,50 €Norton Antivirus 2003 Nl.30,95 €Panda Antivirus Titanium

66,44 €7,53 €

166,63 €

F-secure werkstation (cd’s + licentie)Bijkomende licentieF-secure Server

(bij schoollicentie: gratis voor ll. en lkr.)

45,67 €

27,38 €

Norton Antivirus stand-alone (licentie + cd)

Norton Antivirus Server 1 werkstationlicentie

Sumika

eTrust EZ antivirus (Inoculate): $19,95 (voor twee jaar)vernieuwing: $9,95

Reclame eTrust EZ antivirus (Inoculate): $19,95

Vernieuwing: $9,95

2 Bestandsvirussen:actief als je het programma start

Diskette:

E-mail:


2 Bestandsvirussen:ook niet-uitvoerbare programma’s !!!

2 Bestandsvirussen:

Oplossing:anti-virusprogrammaen schild gebruikenmet zeer recente

dat-files

2 Bestandsvirussen:• Downloaden dat-files

• Abonnement op nieuwsbrief i.v.m. nieuwe virussen


2 Bestandsvirussen:Zeer recente dat-file gebruiken !!!!

2 Bestandsvirussen:

W32/Yaha-E augustus 2002

Aliases: I-Worm.Lentin.g, W32/Yaha.g@MM, I-worm/Yaha.D,32.Yaha@F@mm, Win32/Yaha.E

2 Bestandsvirussen:W32.Bugbear@mm is a mass-mailing worm. It can also spread through network shares. It has keystroke-logging and backdoor capabilities. The worm also attempts to terminate the processesof various antivirus and firewall programs.


2 Bestandsvirussen:

2 Bestandsvirussen:

2 Bestandsvirussen:


3 Macrovirussen:VBA-programma’s gekoppeld aan eenMS-Officebestand

Verspreiding: via bijlagen aan e-mails

3 Macrovirussen:• Klik op Extra, Macro, Beveiliging…

• Klik op Extra, Opties, Opslaanselecteer ‘Vragen of Normal.dot moet worden opgeslagen’

3 Macrovirussen:• Controle van e-mail door virusschild

• Niet vergeten: DAT-files !!!!!


Opletten: Hoax !!!!!!


Ok, maar doet u ook eenOffice Update ????

http://office.microsoft.com/officeupdate/maincatalog.aspx?lc=nl-be



Andere beestjes… (hm)

Bestanden lezen en verwijderen, wachtwoorden kopiëren,schijven formatteren, … kortom, alles

wormen…

????????????


… zonder programmaInbraak via IP-nummer en gedeelde schijf of mappen

… zonder programmaInbraak via IP-nummer en gedeelde schijf of mappen

Computer overnemen via Internet


… met programma (Trojan horses)

Bestaat uit twee delen:•Client

(op de computer van de inbreker)

•Server (geïnstalleerd op de computer van het slachtoffer)

Inbraak via IP-nummer en openstaande poort

… SubSeven (server maken)

… SubSeven (server meegeven)


… SubSeven (server zoeken)

… SubSeven (resultaat)

… SubSeven (resultaat)


… zijn er oplossingen ???

•McAfee dat 4103 vindt deSubSevenserver niet

•Inoculate versie v468 wel

Beter voorkomen dan genezenwant:

… sluit de poorten (firewall)Suggestie: ZoneAlarm

ZoneAlarm (www.zonelabs.com)



Dit zijn “trojan horses”, programma’s (let op de grootte) die proberen uw computer te verbinden met een andere computer op het Internet om zo uw gegevens door te sturen.

Controleer dit regelmatig


… maar wat doet W32/Magistr@MM ?


… maar wat met Windows XP?

Geen controle uitgaande bestanden,wel binnenkomende.

… test je computer (grc.com)

… en controleer regelmatig


… en doe een ‘Leak’-test

Test via Sygate (http://scan.sygatetech.com/)

Test via Sygate (http://scan.sygatetech.com/)


… en gebruik Proxy

Met Proxy: 217.136.127.183Zonder proxy: 80.201.9.218(in te stellen via de Internet Explorer) - Extra, Internet-Opties, Verbindingen

… en vergeet niet er zijn er meerdan 481 !!!




Bestanden lezen en verwijderen, wachtwoorden kopiëren,schijven formatteren, … kortom, alles

Spyware …

Spyware:

Server zit in zgn. Freeware

v.b.: •Go!zilla

•CuteFTP

•Kaazamaar ook in cookies

… zijn er oplossingen ???• gebruik een firewall zoals ZoneAlarm

maar:

Spyware kan ook werken in de browser,zodat de firewall niets opmerkt …


????????????

Niet terug te vinden op de harde schijf …

… zijn er oplossingen ???controleer uw software met Ad-Aware

CookieRegistersleutel

… zijn er oplossingen ???controleer uw software met Ad-Aware


… zijn er oplossingen ???Versie 6 bevat Ad-watch, een soort « schild »

… zijn er oplossingen ???Gebruik niet alleen AdAware, maar ook Spybot

… zijn er oplossingen ???Installeer Updates, Patches, nieuwe versies ….

Office 2000 Service Pack 2 (SP-2)

Office 2000 SP-2 bevat de recentsteproduct-updates voor Office 2000 Service Release 1 (SR-1). Office 2000 SP-2 is met name geschikt voor gebruik in bedrijven en kan ook door kleine bedrijven en individuelegebruikers worden geïnstalleerd. Office 2000 SP-2 bevat tevens de Outlook-beveiligingsupdate waarmee de manierwaarop in Outlook wordt omgegaan met bepaalde typen e-mailbijlagen, wordtaangepast. Laatst bijgewerkt: 14 november2000.

Office 2000-beveiligingsupdate: Probleemmet UA-besturingselementen

Met de Office 2000-update voor UA-besturingselementen wordt eenbeveiligingsprobleem opgelost in de Microsoft Office 2000-programma's. Aangezien hackers met kwade bedoelingen het huidige besturingselementkunnen gebruiken om schade aan uw systeem toe tebrengen, raadt Microsoft alle Office 2000-gebruikers aan deze update te installeren. Laatstbijgewerkt: 12 mei 2000.



Een webbug is een afbeelding op een webpagina of in eene-mail (als je een html-document ontvangt) met de bedoeling na te gaan wie de webpagina of e-mail leest.

Daarbij probeert men zoveel mogelijk informatie te verzamelen over de bezoeker via cookies.

Webbugs zijn meestal onzichtbaar omdat zij eenpixelgrootte hebben van 1-bij-1. Andere benamingen zijn‘clear gifs’, ‘1-by-1 gifs’, ‘invisible gifs’ of ‘beacon gifs’.

Webbugs…

Webbugs:

Webbugs:

Wat wordt meegestuurd:•Naam (type) gebruikte browser

•Tijdstip

•IP-adres van uw computer

•IP-adres en URL van de website

•URL van de webbug

•De inhoud van een vooraf geplaatste cookie

De webbug is een afbeelding op een webpagina die moet opgehaald worden op een andere computer dan deze waar de webpagina opstaat. De opgehaalde afbeelding is onzichtbaar.


Webbugs:Voorbeeld (een bestelling bij Colruyt)

Cookies:

Cookies bekijken met Cookie Crusher

Adres: http://www.thelimitsoft.com/

Webbugs:

Cookie naar DoubleClick wordt op computer geplaatst

Webbugs:Soorten cookies:

•Permanente en tijdelijke cookies

•Directe en indirecte cookies

•Onbevredigende cookies


Webbugs:Cookies verbieden?(Extra, Internet-opties, Privacy)

Plaats de schuifregelaar zeker zo dat Normaal (hoog) gekozen wordt.

Indirecte cookies worden tegengehouden.

Webbugs:Cookies totaal verbieden?(Extra, Internet-opties, Privacy, Geavanceerd)

Bij ingave taalkeuze:

Bij openen webpagina:

… dit is dus niet haalbaar

Webbugs:Hoe oplossen?

• Verwijder regelmatig alle cookies• Nooit vertrouwelijke informatie ingeven diebewaard wordt in een cookie

m.a.w. geef dergelijke informatie enkel in via beveiligde webpagina’s en nooit via een niet beveiligd invulscherm

Amazon.com bewaart (bewaarde?) kredietkaartnummers in cookies !!!!!


Reclame:

Webbugs:Voor de Thomassen….

Lees uw cookies via een Finse website …

Adres: http://www.solutions.fi/index.cgi/extra_iebug?lang=eng

Spam:Spiced Pork and Meat(Gekookte, ingeblikte ham)


Spam:Verboden in België(wet van 11 maart 2003, van kracht sedert 28 maart)

Info: http://ludit.kuleuven.be/info/spam.html


Over welke map gaat het:

• Bij Windows 98 en Millenium

C:\Windows\Temporary Internet Files\Content.IE5\

•Bij Windows 2000 en XP

C:\Documents and Settings\<username>\Local Settings\Temporary Internet Files\Content.IE5

Content.IE5de verborgen map



Zichtbaar maken via de Internet Explorer


Scan uw computer via het Internet !!!!(en is dit veilig ???)

Gratis: http://www.virusscan.be/index.cfm


Heel recente anti-virusprogramma’scontroleren deze map




Universal Plug and Play (UPnP):Iedereen kan (d.m.v. een buffer overflow) gelijk welke code uitvoeren op uw computer

…zoals b.v. formatteren…

Oplossing:

Download en gebruik het programma UnPnP.exe

Bron: Gibson Research Corp.http://grc.com/unpnp/unpnp.htm


XPdite: met URL willekeurige directories wissenDoor te klikken op een Internetadres (URL) kan de inhoud van mappen gewist worden

Oplossing:

• Download en gebruik het programma XPdite.exe of

• Installeer Service Pack 1

Bron: Gibson Research Corp.http://grc.com/xpdite/xpdite.htm


… maar wat met Windows XP?Tik in bij Uitvoeren: services.msc

Er zijn 89 services voorzien in Windows XP:

• Daarvan worden er 36 automatisch gestart

• … na installatie van een aantal programma’s (o.a. anti-virus)werken er bij mij 83 services

• Om XP te laten werken zijn er slechts 8 services nodig …..

… maar wat met Windows XP?Nodig ?

WebClientRemote Registry Service (XP Pro)Windows Time

QoS RSVPApplication Layer Gateway Service

Portable Media Serial number

DHCP clientIndexing ServiceComputer Browser

MessengerIIS Admin (XP Pro)AutomaticUpdates

Net LoginError Reporting ServiceAlerter

Bron: Black Viper (http://www.blkviper.com)Rijksuniversiteit Groningen (http://www.rug.nl/rc/security/adviezen/)

(http://www.rug.nl/rc/security/adviezen/XP2.doc)



… maar wat met Windows XP?Gevolgen…..

… maar wat met Windows XP?Controleer wat opstart: (Start, Uitvoeren, Msconfig)

… maar wat met Windows XP?Of gebruik What’s Running?


… maar wat met HP,

Logitech, Kodak, ..??

… en wat is dit ???

… tot slot

Bezin voor je begint……

bevat uw computer vertrouwelijke informatie, gebruik dan zeker geenMS-Windows 95, 98, ME


… wantmet het programma ShowPass wordenalle verborgen wachtwoorden zichtbaaren leesbaar

… en bij XP,Windows 2000,2003 (server), Vista

met een linux-systeemdiskette kun je alle wachtwoorden (ook dit van de administrator) blanco maken

http://home.eunet.no/~pnordahl/ntpasswd/

…• gebruik een intern netwerk, of

• gebruik MS-Windows 2000 / XP

• beveilig uw BIOS (systeemboot)

En hopelijk gebeurt dit nooit …


Dank voor uw aandacht

Luc Decuyper

… of gebruik steeds …

of - users.skynet.beusers.skynet.be/SessieVirussen/VirussenEnBeestjesKl.pdf · kunnen gebruiken om...

Documents

Transcript of of - users.skynet.beusers.skynet.be/SessieVirussen/VirussenEnBeestjesKl.pdf · kunnen gebruiken om...