| W01 | BOTNETS NU OOK OP ANDROID GSM’S
In verscheidene gratis en zelfs betalende (!) Android spelletjes werd malware ontdekt. Het programma dat de naam ‘Geinimi’ meekreeg verzameld persoonlijke informatie van de gebruiker en zend deze door naar een server. Het is de eerste Malware voor het Android platform dat botnet eigenschappen blijkt te bezitten. Het ziet er naar uit dat Geinimi zich hoofdzakelijk op Chinese Android gebruikers richt (en niet alleen omdat de code Chinees voor ons is, .. of eigenlijk juist wel :-) Sommige spelletjes blijkend duizenden keren gedownload te zijn en de ontwikkelaars werden verwittigd dat sommige van hun programma’s op niet zo bona fide websites werden aangeboden in een aangepaste vorm (de malware code werd gebruikt om het echte spelletje mee in te pakken). Onderzoek is nog volop bezig, maar ondertussen weten we wel dat de malware communiceert met een centrale ‘command-and-control’ server en dat deze server opdrachten naar de GSM kan doorsturen. Testen wezen uit dat de eigenaar van het toestel nog wel zijn
akkoord moet bevestigen alvorens een instructie zal uitgevoerd worden, maar de idee dat dergelijke software de controle over uw toestel (gedeeltelijk) kan overnemen is natuurlijk niet zo leuk (en een ernstig potentieel gevaar). Bovendien zal Geinimi de IMEI en SIM kaart informatie sowieso doorsturen naar de centrale server, alsook een overzicht van alle geïnstalleerde software. Het feit dat deze malware verschillende domeinen simultaan kan contacteren en dat hun server instructies kan doorsturen naar het toestel, maakt dat deze malware in de categorie ‘botnet malware’ valt. Zodra ik meer nieuws heb (wat is het uiteindelijke doel van Geinimi? Een onorthodoxe reclamecampagne, het verzamelen van persoonlijke gegevens of het opzetten van een wereldwijde botnet?) zal ik dit berichten in deze logs.
| W01 | MICROSOFT STUURT WAARSCHUWING BUITEN VOOR WORD
Opgelet: als MS een dergelijke waarschuwing buiten stuurt moeten we extra aandacht besteden aan inhoud en details. Crackers zouden een veiligheidsgaatje in word (nu) zijn beginnen misbruiken om malware te verspreiden. De bug is aanwezig in versies 2002, 2003, 2007 en 2010, maar werd in November met de klassieke maandelijkse beveiligingsupdates al voorzien van een pleister (een correcte vertaling van ‘patch’ maar het klinkt niet echt ;-). Word versies 2008 en 2011 voor Mac kregen hun eigen pleister, terwijl versie 2004 (nu) nog niet bediend werd. De aanval gebruikt een speciaal voor dit doel aangepast RTF document (dat bijvoorbeeld via een Email kan binnenkomen) dat een stack overflow genereert in Word. Aansluitend haalt de code een Trojan binnen die de computer meteen overneemt. Advies: nu meteen patchen indien u geen automatische updates installeert!! Voor ingeval u aanvullende informatie wenst geef ik nog even de Microsoft referentie mee: MS10-087.
| W01 | BEVESTIGING WINDOWS ZERO-DAY
Microsoft bevestigde een zero-day bug in Windows XP, Vista, Server 2003 en Server 2008. De oorzaak zit in het Windows onderdeel dat instaat voor het renderen van afbeeldingen (de ‘Graphics rendering engine’). Deze blijkt niet zo correct om te gaan met miniatuurafbeeldingen (‘thumbnails’). Voor de geinteresseerden: in de afbeelding zetten de hackers het aantal kleurenindexen in de kleurentabel op een negatief getal. De bug schiet in gang wanneer een gebruiker een map wil bekijken die een speciaal voor dit doel gemanipuleerde miniatuurafbeelding bevat. Meteen zal er een deurtje opengezet worden dat de hacker de mogelijkheid geeft om wat malware binnen te sluizen en zo de computer in een botnet in te lijven (dit is voorlopig mijn langste zin in 2011). Powerpoint of word documenten kunnen ook door hackers gebruikt worden wanneer ze hierin een gemanipuleerde miniatuurafbeelding verwerken. Een link naar de thumbnail volstaat uiteraard ook, bijvoorbeeld via een netwerk schijf of via een WebDAV map (bestanden delen). Microsoft werkt aan een patch die asap beschikbaar zal komen maar in afwachting is er een ‘workaround’ beschikbaar. Men is bij MS in 2011 blijkbaar al lekker druk in de weer … nu met deze bug erbij en de zero-day in internet Explorer plus de WMI active X bug die eind vorig jaar op de proppen kwamen... en de cross-fuzz! De volgende officiële MS update is voorzien voor 11 Januari.
| W01 | PHP FLOATING POINT BUG
Een pas ontdekt PHP bugje zou in staat zijn om servers te doen crashen (en in principe misbruikt kunnen worden door hackers), maar enige duiding is hier wel op zijn plaats. Het betreft de cirkel des doods (ik geef toe: een wat speciale vertaling van het gegeven ‘infinite loop’, maar het jaar is nog jong) waarin men kan terechtkomen wanneer je de volgende serie cijfers: ‘2.2250738585072011e-308’ van string naar floating point formaat probeert om te zetten. De bug blijkt alleen aanwezig te zijn in PHP versies 5.2 en 5.3 en uitsluitend wanneer zij draaien op een 32 bit Intel CPU die de x87 instructieset gebruikt. Even nakijken is de boodschap want er zijn al volop patches beschikbaar. Voor de techneuten (die dit waarschijnlijk al wisten) geef ik nog even mee dat het bovenstaande getal bekend staat als ‘"the largest subnormal double-precision floating-point number". Voila!
| W01 | KNEBER TERUG ACTIEF
Botnet Kneber die vorig jaar al eens in het nieuws kwam duikt nu weer op i.v.m. een grootschalige plundering van overheidsdocumenten. Tientallen overheidsinstellingen en hun toeleveranciers (hoofdzakelijk in de Verenigde Staten) waren het doelwit. De slachtoffers kregen een uitnodiging om hun elektronische kerstkaart op te halen en kregen er meteen een stukje malware bij. Vorig jaar werden ruim 75.000 computers aangetast door Kneber, deze keer werd er vastgesteld dat hij twintig procent slaagkans had, wat gigantisch veel is voor ‘nog een keertje van hetzelfde’! Kneber richt in principe geen schade toe en beperkt zich tot het zoeken naar PDF, Excel en Word documenten, die hij aansluitend naar een server in Belarus zend. Wat er daar verder met alle verzamelde documenten gebeurde is een raadsel.