Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Антивирусное обозрение "Ежики"


Служба Рассылок Subscribe.Ru проекта Citycat.Ru

===========================================================================
Антивирусное Обозрение "Ежики"                     http://www.karimov.ru
 (события, факты, комментарии)
===========================================================================

"Blue Code" борется с "Code Red" и IIS-серверами

"Лаборатория  Касперского"  сообщает об обнаружении "Blue Code" - очередной
вредоносной   программы,   атакующей  Web-серверы  под  управлением  пакета
Microsoft  Internet  Information  Server  (IIS).  На данный момент компания
получила  несколько  сообщений  о фактах распространения данной вредоносной
программы в Китае.

Подобно   "Code   Red",   "Blue  Code"  поражает  IIS-серверы,  однако  для
проникновения на них он использует другую брешь в системе безопасности этой
платформы - Web Directory Traversal, которая была обнаружена в октябре 2000
г.  Внедрение на целевой сервер происходит таким образом, что сначала червь
получает  доступ  к его жесткому диску, загружает туда свой файл-носитель с
ранее зараженного компьютера и затем запускает его.

Файл-носитель  червя  создает  в  корневой  директории  диска  C  несколько
служебных  файлов:  SVCHOST.EXE,  HTTPEXT.DLL  и  D.VBS.  Имена первых двух
файлов  являются зарезервированными и принадлежат стандартным программам из
поставки  Windows  2000/NT. Таким образом, "Blue Code" пытается скрыть свое
присутствие в системе.

Вредоносный   файл  SVCHOST.EXE  регистрируется  в  разделе  автоматической
загрузки  системного  реестра Windows, так что червь будет активизироваться
после каждой загрузки компьютера.

В  свою  очередь,  файл  D.VBS  предпринимает ряд действий, направленных на
удаление  из  памяти  активных  копий червя "Code Red" и создание защиты от
него.  В  частности,  он  находит  и дезактивирует приложение INETINFO.EXE,
отвечающее  за  предоставление  доступа к ресурсам WWW сервера. Кроме того,
"Blue  Code"  изменяет  обработку специализированных HTTP-запросов, c целью
нейтрализации  возможных  попыток проникновения на сервер червя "Code Red".
Таким образом "Blue Code" освобождает ресурсы компьютера для своих нужд.

Для  своего  дальнейшего  распространения  червь  инициирует  100  активных
процессов  сканирования  IP-адресов  и  пытается  внедрить  свою  копию  по
описанному  выше  сценарию  на найденные удаленные компьютеры. Такое обилие
дополнительных   процессов  может  существенно  снизить  производительность
зараженного IIS-сервера.

"Blue  Code"  также  имеет неприятное побочное действие: с 10 до 11 утра по
Гринвичу он проводит с зараженных компьютеров DoS-атаку (Denial of Service)
на сервер http://www.nsfocus.com.

(c) VirusList.com
http://www.karimov.ru/news/article_2001_09_10_0833.html
===========================================================================
Все новости:  http://www.karimov.ru/news/

Андрей Каримов
e-mail: andy@karimov.ru
http://www.karimov.ru
===========================================================================

Another Banner Network

http://subscribe.ru/
E-mail: ask@subscribe.ru
Отписаться
Убрать рекламу
Рейтингуется SpyLog

В избранное