Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта

Безопасность систем, сетей, бизнеса 

Вирусы

╚Лаборатория Касперского╩ предупреждает пользователей о заметной активности сразу нескольких Интернет-червей. Продолжают поступать сообщения от пользователей, ставших жертвами вируса Hybris. Вирус представляет собой очень сложную вредоносную программу, которая может быть обновлена ее автором через собственную Web-страницу и через антивирусную конференцию alt.comp.virus, уже переполненную плагинами этого вируса.

Также заметную активность продолжает проявлять Интернет-червь Navidad. Несмотря на свою вполне безобидную сущность, он доставляет немало неприятностей пользователям. Письмо содержит вложенный файл и сообщение ╚Никогда не нажимайте эту кнопку╩. Нажатие кнопки может сильно попортить пользователю нервы: на экране появляется  надпись о том, что за свое любопытство он потеряет компьютер. Однако в действительности вредоносную утилиту можно легко удалить вручную, при условии, что ПК работает не под испанской версией Windows.

Поступили первые сообщения об Интернет-черве Music, который также имеет все шансы стать эпидемией. Вирус сопровождается картинкой на рождественскую тему и мелодией. Текст и тема сообщения таковы:

Subject:
Testing to send file
Text:
Hi, just testing email using Merry Christmas music file, not bad music.
Или:
Text:
Hi, just testing email using Merry Christmas music file, you▓ll like it.

Music имеет способность обновлять свои компоненты с Web-страницы. Вредоносная утилита скачивает оттуда файлы, являющиеся ее компонентами, проверяет их и, в случае если они более новые, заменяет ими уже существующие версии. Таким образом, червь оказывается способным менять свою функциональность в зависимости от нужд и желаний своего автора.
Еще один вирус, привлекший внимание специалистов ╚Лаборатории Касперского╩ ≈ Интернет-червь Blebla. Он обнаружен 16 ноября в Польше. Вирус представляет собой электронное сообщение в формате HTML с двумя присоединенными файлами MYJULIET.CHM и MYROMEO.EXE.
Особенность вируса заключается в том, что для запуска вредоносной программы не требуется открытие вложенных файлов ≈ они запускаются автоматически во время просмотра самого зараженного письма. Для своего запуска вирус использует ╚дыру╩ в безопасности MS Windows. Первая часть вредоносной утилиты содержит Script-программу, которую автоматически активизирует эта ОС. В результате происходит загрузка и активизация CHM ≈ компонента сообщения (собственно MYJULIET.CHM ≈ файла), который, в свою очередь, запускает выполняемый файл MYROMEO.EXE ≈ основное тело вредоносного кода. Зараженное сообщение открывает адресную книгу и отправляет свои копии по всем найденным адресам, в качестве темы выбирая одно из следующих названий:

Romeo&Juliet
:))))))
hello world
!!??!?!?
subject
ble bla, bee
I Love You;)
sorry...
Hey you!
Matrix has you...
my picture
from shake-beer

Процедуры защиты от всех описанных выше Интернет-червей уже добавлены в антивирусные базы ╚Антивируса Касперского╩ (AVP) (http://www.kaspersky.ru/updates.asp). Технические подробности о принципах и порядке их функционирования доступны на сайте Вирусная Энциклопедия Касперского.
http://www.viruslist. comviruslist.asp?id=3240&key=000010001400001&f_page=0

30 октября компания Finjan Software выпустила ПО SurfinShield Corporate 5.5 и SurfinGate 5.5. ПО SurfinShield Corporate 5.5 осуществляет мониторинг исполняемых модулей, ActiveX, Java и скрипт-программ в реальном времени для обнаружения вредоносных действий и автоматически блокирует входящее активное содержимое, нарушающее политику безопасности (например, попытки удаления файла или открытия сетевого соединения). Новые свойства:
1. Защита от атак во время процесса синхронизации Palm-
to-PC.
2. Мониторинг присоединенных скриптов, исполняемых Windows Scripting Host (.VBS, .JS, .WSH и т. д.).
3. Новая серверная консоль управления, упрощающая процесс администрирования.
4. Поддержка Windows 2000 и Windows ME.

ПО SurfinGate 5.5 √ это шлюз, проверяющий содержимое загружаемых ActiveX, Java и скрипт-программ для защиты пользователей ПК внутри организаций. Любое действие, нарушающее политику безопасности, завершается и регистрируется (а пользователи оповещаются о попытке атаки). Новые свойства SurfinGate 5.5:
1. Сканирование в реальном времени скриптов Visual Basic, загружаемых с Web-сайтов, и блокировка любых скриптов, нарушающих политику безопасности (например, пытающихся удалить файл).
2. Поддержка брандмауэров: MS Proxy-сервера, ISA Web и кэширующего сервера, Axent Raptor брандмауэра и Check Point Firewall 1. SurfinGate сертифицирован на взаимодействие с Cisco PIX Firewall.
3. Поддержка цифровых сертификатов Netscape и MS Authenticode.
Цена SurfinShield Corporate 5.5 за пользовательскую лицензию ≈ $59, а SurfinGate 5.5 ≈ $49.
http://www.finjan.com

1 ноября компания iLumin начала поставки ПО Digital Handshake Server 3.1, предназначенного для обеспечения безопасных онлайновых транзакций цифровых документов в различных приложениях: финансовых (инициации кредитных карт, займов, чеков, вкладов и торговых счетов); отправки различных форм по человеческим ресурсам (формы 401k, медицинских страховок, внутренних документов); управлении здравоохранением и др. ПО основано на технологиях Java, цифровая подпись (PKI), XML и Web-приложения. В него входят:

• ╚Комната онлайновой подписи╩ (Online Signing Room), в которой аутентифицированные бизнес-пользователи создают различные цифровые документы, просматривают их, модифицируют и подписывают (в цифровом виде).
• Приложение Digital Clerk, с помощью которого осуществляется управление различными процессами (фиксация времени создания документов, модернизация БД, взаимодействие с внутренними/внешними рабочими потоками, подтверждение и регистрация подписанных документов). В Digital Clerk также реализована и функция аудиосопровождения всех действий, совершаемых во время транзакции (Thumbprint).
• Приложение iCabinet, c помощью которого осуществляется архивирование цифровых документов, их поиск, просмотр и аудит.
  ПО Digital Handshake Server 3.1 поддерживает Internet Explorer 5.x, Oracle 8i и MS SQL Server 7.0. Кроме того, поддерживаются Windows NT 4.0 SP6, Windows 2000, Windows 98 и Windows 95 OSR2. Поддержка ОС Sun Solaris будет реализована в первой половине 2001 г.
  http://www.ilumin.com

Дыры и заплатки

По сообщению Cnet, браузер от Microsoft содержит брешь в защите, через которую можно получить доступ к кэшированным файлам и управлять компьютером пользователя через Интернет. Проблема обнаруживается при использовании браузера Internet Explorer 5.5 и почтовых клиентов MS Outlook и Outlook Express. Слабым местом оказались архивированные help-файлы с расширением chm. Эксперт Георгий Гунинский (Georgi Guninski) заявил, что избежать проблемы можно при отключении функции обработки скриптов ≈ установки в браузере, которая добавляет ему больше гибкости, но одновременно порождает проблемы с безопасностью.
http://www.cnews.ru/news/comp/2000/11/21/20001121164405.shtml

30 октября компания McAfee.com выпустила бета-версию антивирусного резидентного сканера для портативных компьютеров, работающих под управлением ОС Palm OS ≈ McAfee.com Anti-Virus Resident Scanner (MARS). MARS инсталлирует антивирусный движок небольшого размера (17 КБ ОП) на Palm-устройстве, обеспечивающий антивирусную защиту ╚по требованию╩. Основные свойства MARS:

• Антивирусное сканирование в любое время (даже без соединения с ПК). Это обеспечивает защиту Palm-устройства от вирусов, передаваемых через инфракрасные лучи с зараженных
  ПК или через беспроводные модемы.
• Гибкое обнаружение вирусов. C помощью MARS можно сканировать как все файлы на устройстве, так и только программы.
• Модернизация вирусных сигнатур.

Подписчики McAfee.com могут загрузить ПО MARS с Web-сайта.
http://www.mcafee.com

Компания ╚Инфотекс╩ совместно с НТЦ ╚Атлас╩ предлагает российскую смарт-карту ╚РИК╩ для доступа в VPN, созданную по технологии ViPNet, а также в систему шифрованной IP-телефонии. Программное шифрование IP-трафика в сети по технологии ViPNet дополнено аппаратным шифрованием непосредственно в самой телефонной трубке, созданной в НТЦ ╚Атлас╩. Таким образом, достигается двойной рубеж криптозащиты.

Компания Microsoft выпустила:

• Обновление, устраняющее брешь в защите MS Internet Information Services 5.0 (ISS 5.0). Пробел в защите мог позволить хакеру запускать команды ОС на Web-сервере. Когда IIS получает правильный запрос на выполнение ехе-файла, она передает имя требуемого файла в ОС для выполнения. Оказалось, что можно создать деформированный запрос, который будет содержать как имя ехе-файла, так и одну, или несколько команд ОС. После получения такого запроса IIS 5.0 передаст всю последовательность в ОС, которая сначала запустит exe-файлы, а затем выполнит команды. Это позволит хакеру выполнять на Web-сервере все действия, доступные для пользователя, вошедшего в систему интерактивно. Он не будет иметь прав администратора, тем не менее, сумеет при желании нанести определенный ущерб. Например, он сможет добавлять, удалять и изменять файлы на сервере, выполнять программы, установленные на сервере, загружать свои коды и запускать их. Уязвимые версии программ: MS II Server 4.0; MS II Service 5.0. Вставку к IIS 4.0 можно применять к системам, работающим с Windows NT 4.0 Service Pack 6a. Она будет включена в Windows NT 4.0 Service Pack 7. Вставка в ISS 5.0 может применяться к системам, работающим с Windows 2000 Gold или Service Park 1. Она будет включена в Windows 2000 Service Pack 2.
• Общий патч для двух проблем с безопасностью пользователя в Windows Media Player, которые позволяли производить запуск постороннего, в частности, вредоносного, кода на компьютере пользователя. Программа, устанавливаемая по умолчанию в ОС Windows ME, позволяет устанавливать так называемые ╚скины╩ ≈ решения дизайна панели программы. Файл с расширением WMS, содержащий ╚скин╩, при запуске с помощью Windows Media Player может выполнять сценарии. Таким образом, возможно внедрение в WMS-файл злонамеренного кода, который, будучи присланным другому пользователю, выполнится без ведома последнего при установке ╚скина╩ в Media Player. ╚Дыра╩ была обнаружена GFI Security Labs. Вторая проблема связана с переполнением буфера в .ASX-файлах и была выявлена компанией @Stake. Предназначенные для перенаправления медиа-потока из Интернет, они содержат буфер, переполнение которого не проверяется. Таким образом, переполненный буфер может перекрыть часть исполняемого кода, а подобранный соответствующим образом исполняемый код, помещенный в переполняемую часть буфера, выполнится на компьютере.  

  КОМПЬЮТЕР-ИНФОРМ 
    Главная страница || Статьи ╧ 22 || Новости СПб || Новости России || Новости мира

Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка

Главная страница

Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.

Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
Пейджер 238-6931(аб.3365)
e-mail:
Для пресс-релизов и новостей