Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
1.═Червь I-Worm.Maldal, также известный как Christmas, W32/Reeezak.A@mm, W32/Zacker.C@mm и Reeezak, приходит как файл Christmas.exe, прикрепленный к краткому письму в виде фразы: ╚С Новым годом╩. Вирус блокирует работу клавиатуры и пытается уничтожить файлы в системном каталоге Windows. Кроме того, червь меняет стартовую страницу Web-браузера Internet Explorer на http://geocities.com/jobreee/ZaCker.htm, при посещении которой на компьютер жертвы устанавливается скрипт-вирус VBS.Kerza. При этом вирус сначала просканирует адресную книгу и разошлет себя по всем адресам, содержащимся в ней. Maldal написан на языке программирования Visual Basic и представляет собой EXE-файл размером около 37 КБ, упакованный утилитой сжатия UPX.
2.═Червь, написанный на Java-Script специально для любителей порно, которые, в итоге, и страдают в первую очередь. JS/Coolsites.A@mm использует брешь в Microsoft VM, которая присутствует в некоторых версиях MS Internet Explorer (4.x и 5.x SP1). По электронной почте червь приглашает пользователя зайти на порносайт, где и происходит его активация. Для своего распространения червь JS/Coolsites.A@mm использует электронные сообщения со следующими характеристиками.
Тема: Hi!!
Текст письма: Hi. I found cool site!
http://celebxx.cjb.net
It▓s really cool! It▓s really cool!
Данный URL отсылает на скрытый порносайт, несмотря на переадресацию на http://cjb.net. Само сообщение не содержит инфицированных файлов-вложений. Оно только завлекает ╚любителей╩ на Web-страницу, на которой активируется вредоносный код. После этого зараженное письмо будет высылаться всем, кто в данный момент виден в папке MS Outlook Отправленные (Sent Items). Разойдясь по адресам, червь очищает эту папку, чтобы скрыть свое присутствие. JS/Coolsites.A@mm также заменяет стартовую страницу Internet Explorer на свою Web-страничку с порнографическим содержанием (размещенную по адресу http://balder.prohosting.com ≈ имя пользователя: mic124). Попытка попасть туда, набрав данный URL в адресной строке, приводит к ошибке 404.
3.═Интернет-червь I-Worm.Zoher (W32/Sheer.A@mm) распространяется по электронной почте
в виде вложенных файлов. Если на компьютере-жертве не установлена ╚заплатка╩ для системы безопасности MS Outlook, то червь активизируется автоматически при чтении или предварительном просмотре зараженного письма. Ранее такой прием был использован
в сетевых червях Nimda, BadtransII, Aliz и др. Если же компьютер оснащен указанной ╚заплаткой╩, то Zoher может заразить систему, только если пользователь сам запустит вложенный файл.
Зараженные письма выглядят следующим образом:
Заголовок: Fw: Scherzo!
Имя вложенного файла: javascript.exe (6656 б).
Тело письма:
Con questa mail ti e stata spedita la FortUna; non la fortuna e basta, e neanche la Fortuna con la F maiuscola, ma addirittura la FortUna con la F e la U maiuscole. Qui non badiamo a spese. Da oggi avrai buona fortuna, ma solo ed esclusivamente se ti liberi di questa mail e la spedisci a tutti quelli che conosci. Se lo farai potrai: ≈ produrti in prestazioni sessuali degne di King Kong per il resto della tua vita ≈ beccherai sempre il verde o al massimo il giallo ai semafori ≈ catturerai tutti e centocinquantuno i Pokemon incluso l▓elusivo Mew ≈ (per lui) quando andrai a pescare, invece della solita trota tirerai su una sirena tettona nata per sbaglio con gambe umane ≈ (per lei) lui sara talmente innamorato di te che ti come una sirena tettona nata per sbaglio con le gambe Se invece non mandi questa mail a tutta la tua list entro quaranta secondi,allora la tua esistenza diventera una grottesca sequela di eventi tragicomici, una colossale barzelletta che suscitera il riso del resto del pianeta, e ticondurra ad una morte orribile, precoce e solitaria... No, dai, ho esagerato: hai sessanta secondi. Cascaci: e▓ tutto vero. Puddu Polipu, un grossista di aurore boreali cagliaritano, spedi▓ questa mail a tutta la sua lista ed il giorno dopo vinse il Potere Temporale della Chiesa alla lotteria della parrocchia. Ciccillo Pizzapasta, un cosmonauta campano che soffriva di calcoli, si preoccupo di diffondere questa mail: quando fu operato si scopri▓ che i suoi calcoli erano in realta diamanti grezzi. GianMarco Minaccia, un domatore di fiumi del Molise che non aveva fatto circolare questa mail, perse entrambe le mani in un incidente subito dopo aver comprato un paio di guanti. Erode Scannabelve, un pediatra mannaro di Trieste,non spedi a nessuno questa mail: dei suoi tre figli uno comincio a drogarsi, il secondo entro in Forza Italia e il terzo si iscrisse a Ingegneria.
После активизации червь устанавливает соединение с почтовым сервером, считывает адреса электронной почты из адресной книги Windows (Windows Address Book) и от имени владельца зараженного компьютера рассылает им свои копии. Особенность Zoher заключается в том, что каждый раз при рассылке своих копий по электронной почте червь запрашивает текст зараженных писем, имя и содержание вложенного файла с удаленного Web-сайта, расположенного в Италии. Таким образом, автор Zoher может изменять внешний вид писем и рассылать другие вредоносные программы. Никаких иных побочных действий данный червь не имеет.
╚Заплатка╩ для системы безопасности Outlook находится по адресу http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security /bulletin/MS01-020.asp. Это защитит вашу систему не только от этой, но и от других вредоносных программ, пытающихся проникнуть на компьютер через эту брешь.
4.═Червь W32/Shoho.A распространяется через электронную почту. Он использует уязвимость механизма IFRAME, позволяющего автоматически запускать вложенные файлы. Письма выглядят следующим образом:
Тема: Welcome to Yahoo! Mail
Текст письма: Welcome to Yahoo! Mail
Вложение: README.TXT .PIF
Пробелы между расширениями файла предназначены для визуального обмана пользователя, чтобы тот подумал, что это текстовый документ.
Для рассылки сообщений W32/Shoho обращается к SMTP-серверу. В качестве мишени червь ищет адреса электронной почты в системных файлах со следующими расширениями: eml, wab, dbx, mbx, xls, xlt и mdb. Все найденные электронные адреса он сохраняет в файл EMAILINFO.TXT.
Червь копирует себя в директории Windows и Windows\System под именем WINL0G0N.EXE.
аметьте, что в названии этого файла букве О соответствует цифра 0, а не наоборот, как кажется на первый взгляд. Далее, он вносит изменения в системный реестр Windows для того, чтобы загружаться каждый раз при запуске системы: KEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run WINL0G0N.EXEHKEY_ LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run WINL0G0N.EXE
Вдобавок, червь создает еще один файл ≈ EMAIL.TXT. Это файл формата MIME, использующий преимущества механизма IFRAME как уязвимого места системы.
5.═ Компания Symantec сообщила об обнаружении троянской программы Trojan/W32.Dlder, встроенной в популярные файлообменные системы Glokster и Limewire (приложение ≈ клиент Gnutella). Троян не наносит очевидного вреда зараженному компьютеру, зато он незаметно для пользователя пересылает его персональную информацию на другой адрес в Интернет.
екламное ПО (онлайновая лотерея) под названием Clicktilluwin, поставляемое с файлообменными пакетами, содержит W32.DIder. Хотя рекламное ПО (так называемое adware) давно уже поставляется с бесплатными файлообменными программами, зашитый в него вирус обнаружен в первый раз. Троян устанавливается на компьютер, даже если пользователь блокирует установку Clicktilluwin. Поэтому антивирусные компании рекомендуют проверить свои компьютеры, чтобы убедиться в отсутствии этих вирусов. Trojan/W32.Dlder состоит из 2-х компонентов: Explorer.exe, который и является трояном, и Dlder.exe, который загружает другую часть. Оба файла копируются в Windows в скрытый файл под названием Explorer, создаваемый специально под них.
Пользователи жаловались на подобные проблемы с другой файлообменной системой ≈ FastTrack Kazaa Media Desktop. Сотрудники CNET протестировали и это ПО, однако вирус там не обнаружен. Представители Limewire заявили, что версия их ПО, содержавшая зараженный Clicktilluwin, заменена на ╚чистую╩. Glokster пошел еще дальше и вместе с извинениями разослал своим пользователям программу, удаляющую зловредный код с их компьютеров.
╚У нас нет доступа к исходникам adware-программ, так что приходится верить нашим рекламодателям на слово, ≈ говорится в сообщении компании, размещенном на ее Web-сайте. ≈ Теперь, когда мы обнаружили трояна, мы сделаем все, чтобы уменьшить ущерб, который тот может нанести нашим пользователям╩.
К сожалению, поскольку упомянутые файлообменные системы пользуются изрядной популярностью, обнаруженный в них троянский конь теоретически мог заразить множество компьютеров.
6.═Bck/Binhe.60 ≈ клиент-серверный троян, который позволяет заполучить удаленный доступ к другим компьютерам и произвести на них действия: получить доступ к дисководам, снять копии экранов, контролировать клавиатуру и т.═д. Он копирует себя в папку C:\WINDOWS\SYSTEM, как правило, под именем SYSDLL32.EXE, хотя может и под другим. Затем троян открывает коммуникационный порт (7626 TCP), на котором он подслушивает запросы на сервис от клиента.
═Согласно данным SecuriTeam, приведенным на сайте (http://www.securiteam.com/securitynews/5XP061560U.html), в ActivePerl найдена уязвимость, через которую можно обнаруживать пути в системе посредством инсталлированной программы. ActivePerl ≈ это приложение, которое позволяет интегрировать язык Perl в системы под Windows.
Из-за этой уязвимости хакер может обнаружить истинный путь к серверу. Это происходит в тех случаях, когда URL с расширением .pl, который не существует в CGI-BIN, отсылается на Web-сервер. Тогда интерпретатор Perl (в этом случае ActivePerl) возвращает ошибку с указанием полного пути к Web-серверу. Эта уязвимость не столь серьезна, поскольку не предоставляет доступа к системе. И тем не менее о ней стоит побеспокоиться. Любая информация о системной конфигурации может быть полезной злоумышленнику при подготовке им атаки.
═По═данным═SecuriTeam (http://www.securiteam.com/windowsntfocus/6J00H0U3GW.html), обнаружена проблема блокировки файлов в Windows NT 4.0 и 2000. Эта проблема может отразиться на политике защиты, установленной администратором. Проблема возникает, когда приложение эксклюзивно обращает внимание на файл. В этом случае к файлу нельзя применить никакие дальнейшие блокировки. Механизм блокировки файла не проверяет наличие у файла разрешения или режима, в котором файл открывается перед его блокировкой. А это означает, что приложения с доступом только на чтение могут эксклюзивно его заблокировать.
В Windows NT и 2000, если файл заблокирован эксклюзивно приложением, никакое другое приложение не может получить доступ к файлу, вне зависимости от того, хочет оно заблокировать файл или нет.
Такая ситуация может спровоцировать ╚отказ в обслуживании╩. Например, пользователь без привилегий может остановить политику защиты и скрипты регистрации; остановить использование экранной заставки и тем самым остановить блокировку компьютера другим пользователем и даже отказать в доступе остальным пользователям.
Приложение AdRotate предназначено для организации системы меняющихся баннеров на Web-сайтах. Согласно данным SecurityFocus, приведенным по адресу http://www.securityfocus.com/cgi-bin/vulns-item.pl?section=info&id=3739, в этом ПО есть уязвимость, которая позволит командам исполняться на сервере из браузера Интернет.
AdRotate═(http://www.vanbrunt.com/adrotate/) основано на скриптах, написанных на языке Perl в комбинации с базой данных на MySQL. Выражения SQL конструируются в том числе и на основе входной информации, поставляемой пользователем. В них можно включать специальные символы, например, (⌠). А это означает использование символов, с помощью которых можно запустить на исполнение команды SQL.
Эта уязвимость поражает модуль adrotate.pm, поскольку он не проверяет присланные браузером клиента данные для предотвращения проникновения специальных символов, которые могут изменить структуру предложений SQL. Это означает, что с обычного браузера можно заслать код для манипуляции базой данных AdRotate или выполнить операции на сервере. К моменту написания этой заметки загрузить AdRotate Pro с их Web-сайта было нельзя. Остается надеяться, что вскоре патч появится.
КОМПЬЮТЕР-ИНФОРМ Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
Пейджер 238-6931(аб.3365)
e-mail:
Для пресс-релизов и новостей