Luc Decuyper 2008-04-09 of http://www.lucinfo.net Voorbeeld van Phishing: Virussen, inbrekers en spyware 1
Voorbeeld van Phishing: Voorbeeld van Phishing: Waarom een Digipass gebruiken: Virussen, inbrekers en spyware 2
Waarom een Digipass gebruiken: Opletten met uw kredietkaart: Zie filmpje op You Tube: http://www.youtube.com/watch?v=qg8-o4ewp-a&feature=related Zie ook: http://www.youtube.com/watch?v=k5xixmkni9s&nr=1 Voor we beginnen... Windows verkenner Virussen, inbrekers en spyware 3
Voor we beginnen... Windows verkenner Wat is een virus? Geef volgende URL in: Surf.to/bsod en je krijgt volgend Blue Screen on Demand (bsod) Virussen, inbrekers en spyware 4
Definitie: Een computervirus is een programma dat ongemerkt en/of ongewenst op je computer geplaatst werd en ongevraagde handelingen verricht. Virussen, inbrekers en spyware 5
Virussen, inbrekers en spyware 6
W32/Yaha-E augustus 2002 Aliases: I-Worm.Lentin.g, W32/Yaha.g@MM, I-worm/Yaha.D, 32.Yaha@F@mm, Win32/Yaha.E It is not necessary for a user to double-click on the attachment to become infected as this virus can exploit a security vulnerability in Microsoft Internet Explorer, Outlook and Outlook Express. To prevent reinfection, users of Microsoft Outlook and Outlook Express should install the following patch available from Microsoft: http://www.microsoft.com/technet/security/bulletin/ms01-027.asp (This patch fixes a number of vulnerabilities in Microsoft's software, including the one exploited by this virus.) Virussen, inbrekers en spyware 7
Virussen en andere beestjes. Deel 1: Virussen Deel 2: Inbreken Deel 3: Spyware Deel 4: Nieuwe ontwikkelingen Bootvirussen Bestandsvirussen Macrovirussen Wormen Trojaanse paarden Webbugs Spam Content IE5 Windows XP Virussen en andere beestjes. Indeling: Drie hoofdtypes: Bootvirussen Bestandsvirussen Macrovirussen Virussen, inbrekers en spyware 8
1 Bootvirussen: Correcte Sector EB 3C 90 = JMP 003E 1 Bootvirussen: Ping-Pong virus EB 1C 90 = JMP 001E Foutboodschap vervangen door programma 1 Bootvirussen: BIOS aanpassen!!! Virussen, inbrekers en spyware 9
1 Bootvirussen: BIOS aanpassen!!! 1 Bootvirussen: Anti-virusschild gebruiken!!! 1 Bootvirussen: Norton Antivirus waarschuwt Virussen, inbrekers en spyware 10
Sumika Norton Antivirus stand-alone (licentie + cd) Norton Antivirus Server 1 werkstationlicentie F-secure werkstation (cd s + licentie) Bijkomende licentie F-secure Server (bij schoollicentie: gratis voor ll. en lkr.) Het Computerwinkeltje Norton Antivirus 2003 Nl. Panda Antivirus Titanium 45,67 27,38 66,44 7,53 166,63 49,50 30,95 etrust EZ antivirus (Inoculate): $19,95 (voor twee jaar) vernieuwing: $9,95 etrust EZ antivirus (Inoculate): $19,95 Vernieuwing: $9,95 2 Bestandsvirussen: actief als je het programma start Diskette: E-mail: Virussen, inbrekers en spyware 11
2 Bestandsvirussen: ook niet-uitvoerbare programma s!!! 2 Bestandsvirussen: Oplossing: anti-virusprogramma en schild gebruiken met zeer recente dat-files 2 Bestandsvirussen: Downloaden dat-files Abonnement op nieuwsbrief i.v.m. nieuwe virussen Virussen, inbrekers en spyware 12
2 Bestandsvirussen: Zeer recente dat-file gebruiken!!!! 2 Bestandsvirussen: W32/Yaha-E augustus 2002 Aliases: I-Worm.Lentin.g, W32/Yaha.g@MM, I-worm/Yaha.D, 32.Yaha@F@mm, Win32/Yaha.E 2 Bestandsvirussen: W32.Bugbear@mm is a mass-mailing worm. It can also spread through network shares. It has keystroke-logging and backdoor capabilities. The worm also attempts to terminate the processes of various antivirus and firewall programs. Virussen, inbrekers en spyware 13
2 Bestandsvirussen: 2 Bestandsvirussen: 2 Bestandsvirussen: Virussen, inbrekers en spyware 14
3 Macrovirussen: VBA-programma s gekoppeld aan een MS-Officebestand Verspreiding: via bijlagen aan e-mails 3 Macrovirussen: Klik op Extra, Macro, Beveiliging Klik op Extra, Opties, Opslaan selecteer Vragen of Normal.dot moet worden opgeslagen 3 Macrovirussen: Controle van e-mail door virusschild Niet vergeten: DAT-files!!!!! Virussen, inbrekers en spyware 15
Opletten: Hoax!!!!!! Virussen, inbrekers en spyware 16
Ok, maar doet u ook een Office Update???? http://office.microsoft.com/officeupdate/maincatalog.aspx?lc=nl-be Virussen, inbrekers en spyware 17
Virussen en andere beestjes. Andere beestjes (hm) wormen Bestanden lezen en verwijderen, wachtwoorden kopiëren, schijven formatteren, kortom, alles???????????? Virussen, inbrekers en spyware 18
zonder programma Inbraak via IP-nummer en gedeelde schijf of mappen zonder programma Inbraak via IP-nummer en gedeelde schijf of mappen Computer overnemen via Internet Virussen, inbrekers en spyware 19
met programma (Trojan horses) Inbraak via IP-nummer en openstaande poort Bestaat uit twee delen: Client (op de computer van de inbreker) Server (geïnstalleerd op de computer van het slachtoffer) SubSeven(server maken) SubSeven (server meegeven) Virussen, inbrekers en spyware 20
SubSeven (server zoeken) SubSeven(resultaat) SubSeven(resultaat) Virussen, inbrekers en spyware 21
zijn er oplossingen??? Beter voorkomen dan genezen want: McAfee dat 4103 vindt de SubSevenserver niet Inoculate versie v468 wel sluit de poorten (firewall) Suggestie: ZoneAlarm ZoneAlarm (www.zonelabs.com) Virussen, inbrekers en spyware 22
ZoneAlarm (www.zonelabs.com) ZoneAlarm (www.zonelabs.com) ZoneAlarm (www.zonelabs.com) Virussen, inbrekers en spyware 23
ZoneAlarm (www.zonelabs.com) Controleer dit regelmatig Dit zijn trojan horses, programma s (let op de grootte) die proberen uw computer te verbinden met een andere computer op het Internet om zo uw gegevens door te sturen. ZoneAlarm (www.zonelabs.com) maar wat doet W32/Magistr@MM? Virussen, inbrekers en spyware 24
maar wat met Windows XP? Geen controle uitgaande bestanden, wel binnenkomende. test je computer (grc.com) en controleer regelmatig Virussen, inbrekers en spyware 25
en doe een Leak -test Test via Sygate (http://scan.sygatetech.com/) Test via Sygate (http://scan.sygatetech.com/) Virussen, inbrekers en spyware 26
en gebruikproxy Zonder proxy: 80.201.9.218 (in te stellen via de Internet Explorer) - Extra, Internet-Opties, Verbindingen Met Proxy: 217.136.127.183 en vergeet niet er zijn er meer dan 481!!! Virussen en andere beestjes. Virussen, inbrekers en spyware 27
Andere beestjes (hm) Spyware Bestanden lezen en verwijderen, wachtwoorden kopiëren, schijven formatteren, kortom, alles Spyware: Server zit in zgn. Freeware v.b.: Go!zilla CuteFTP Kaaza maar ook in cookies zijn er oplossingen??? gebruik een firewall zoals ZoneAlarm maar: Spyware kan ook werken in de browser, zodat de firewall niets opmerkt Virussen, inbrekers en spyware 28
???????????? Niet terug te vinden op de harde schijf zijner oplossingen??? controleer uw software met Ad-Aware Registersleutel Cookie zijner oplossingen??? controleer uw software met Ad-Aware Virussen, inbrekers en spyware 29
zijner oplossingen??? Versie6 bevatad-watch, eensoort«schild» zijner oplossingen??? Gebruik niet alleen AdAware, maar ook Spybot zijner oplossingen??? Installeer Updates, Patches, nieuwe versies. Office 2000 Service Pack 2 (SP-2) Office 2000 SP-2 bevat de recentste product-updates voor Office 2000 Service Release 1 (SR-1). Office 2000 SP-2 is met name geschikt voor gebruik in bedrijven en kan ook door kleine bedrijven en individuele gebruikers worden geïnstalleerd. Office 2000 SP-2 bevat tevens de Outlookbeveiligingsupdate waarmee de manier waarop in Outlook wordt omgegaan met bepaalde typen e-mailbijlagen, wordt aangepast. Laatst bijgewerkt: 14 november 2000. Office 2000-beveiligingsupdate: Probleem met UA-besturingselementen Met de Office 2000-update voor UAbesturingselementen wordt een beveiligingsprobleem opgelost in de Microsoft Office 2000-programma's. Aangezien hackers met kwade bedoelingen het huidige besturingselement kunnen gebruiken om schade aan uw systeem toe te brengen, raadt Microsoft alle Office 2000- gebruikers aan deze update te installeren. Laatst bijgewerkt: 12 mei 2000. Virussen, inbrekers en spyware 30
Andere beestjes (hm) Webbugs Een webbug is een afbeelding op een webpagina of in een e-mail (als je een html-document ontvangt) met de bedoeling na te gaan wie de webpagina of e-mail leest. Daarbij probeert men zoveel mogelijk informatie te verzamelen over de bezoeker via cookies. Webbugs zijn meestal onzichtbaar omdat zij een pixelgrootte hebben van 1-bij-1. Andere benamingen zijn clear gifs, 1-by-1 gifs, invisible gifs of beacon gifs. Webbugs: Webbugs: De webbug is een afbeelding op een webpagina die moet opgehaald worden op een andere computer dan deze waar de webpagina opstaat. De opgehaalde afbeelding is onzichtbaar. Wat wordt meegestuurd: Naam (type) gebruikte browser Tijdstip IP-adres van uw computer IP-adres en URL van de website URL van de webbug De inhoud van een vooraf geplaatste cookie Virussen, inbrekers en spyware 31
Webbugs: Voorbeeld (een bestelling bij Colruyt) Cookies: Cookies bekijken met Cookie Crusher Adres: http://www.thelimitsoft.com/ Webbugs: Cookie naar DoubleClick wordt op computer geplaatst Webbugs: Soorten cookies: Permanente en tijdelijke cookies Directe en indirecte cookies Onbevredigende cookies Virussen, inbrekers en spyware 32
Webbugs: Cookies verbieden? (Extra, Internet-opties, Privacy) Plaats de schuifregelaar zeker zo dat Normaal (hoog) gekozen wordt. Indirecte cookies worden tegengehouden. Webbugs: Cookies totaal verbieden? (Extra, Internet-opties, Privacy, Geavanceerd) Bij ingave taalkeuze: Bij openen webpagina: dit is dus niet haalbaar Webbugs: Hoe oplossen? Verwijder regelmatig alle cookies Nooit vertrouwelijke informatie ingeven die bewaard wordt in een cookie m.a.w. geef dergelijke informatie enkel in via beveiligde webpagina s en nooit via een niet beveiligd invulscherm Amazon.com bewaart (bewaarde?) kredietkaartnummers in cookies!!!!! Virussen, inbrekers en spyware 33
Reclame: Webbugs: Voor de Thomassen. Adres: http://www.solutions.fi/index.cgi/extra_iebug?lang=eng Lees uw cookies via een Finse website Spam: Virussen, inbrekers en spyware 34
Spam: Virussen en andere beestjes. Content.IE5 de verborgen map Over welke map gaat het: Bij Windows 98 en Millenium C:\Windows\Temporary Internet Files\Content.IE5\ Bij Windows 2000 en XP C:\Documents and Settings\<username>\Local Settings\ Temporary Internet Files\Content.IE5 Virussen, inbrekers en spyware 35
Content.IE5 de verborgen map Zichtbaar maken via de Internet Explorer Content.IE5 de verborgen map Scan uw computer via het Internet!!!! (en is dit veilig???) Gratis: http://www.virusscan.be/index.cfm Content.IE5 de verborgen map Heel recente anti-virusprogramma s controleren deze map Virussen, inbrekers en spyware 36
Content.IE5 de verborgen map maar wat met Windows XP? Universal Plug and Play (UPnP): Iedereen kan (d.m.v. een buffer overflow) gelijk welke code uitvoeren op uw computer zoals b.v. formatteren Oplossing: Download en gebruik het programma UnPnP.exe Bron: Gibson Research Corp. http://grc.com/unpnp/unpnp.htm maar wat met Windows XP? XPdite: met URL willekeurige directories wissen Door te klikken op een Internetadres (URL) kan de inhoud van mappen gewist worden Oplossing Bron: Gibson Research Corp. http://grc.com/xpdite/xpdite.htm Virussen, inbrekers en spyware 37
maar wat met Windows XP? Tik in bij Uitvoeren: services.msc Er zijn 89 services voorzien in Windows XP: Daarvan worden er 36 automatisch gestart na installatie van een aantal programma s (o.a. anti-virus) werken er bij mij 83 services Om XP te laten werken zijn er slechts 8 services nodig.. maar wat met Windows XP? Nodig? Alerter Automatic Updates Computer Browser Windows Time Portable Media Serial number Error Reporting Service IIS Admin (XP Pro) Indexing Service Remote Registry Service (XP Pro) Application Layer Gateway Service Net Login Messenger DHCP client WebClient QoS RSVP Bron: Black Viper (http://www.blkviper.com) Rijksuniversiteit Groningen ( maar wat met Windows XP? Virussen, inbrekers en spyware 38
maar wat met Windows XP? Gevolgen.. maar wat met Windows XP? Controleer wat opstart: (Start, Uitvoeren, Msconfig) maar wat met Windows XP? Of gebruik What s Running? Virussen, inbrekers en spyware 39
maar wat met HP, Logitech, Kodak,..?? en wat is dit??? tot slot Bezin voor je begint bevat uw computer vertrouwelijke informatie, gebruik dan zeker geen MS-Windows 95, 98, ME Virussen, inbrekers en spyware 40
want met het programma ShowPass worden alle verborgen wachtwoorden zichtbaar en leesbaar en bij XP,Windows 2000,2003 (server), Vista met een linux-systeemdiskette kun je alle wachtwoorden (ook dit van de administrator) blanco maken gebruik een intern netwerk, of gebruik MS-Windows 2000 / XP beveilig uw BIOS (systeemboot) En hopelijk gebeurt dit nooit Virussen, inbrekers en spyware 41
of gebruik steeds Dank voor uw aandacht Luc Decuyper Virussen, inbrekers en spyware 42