Контакт: обсуждение софта и железа. (comp.soft.review.kontaktsoft.kontactlist) : Рассылка : Subscribe.Ru

За 2005-06-08

[ksoft] SOPHOS: хакеры готовятся выпустить мощный супер-вирус

[ksoft] Три зловредные программы поэтапно захватывает компьютеры

[ksoft] В браузерах MOZILLA найдена очередная дыра

← Июнь 2005 →
	1	2 02.06.2005 11:51:26 11:51:36 11:51:44	3 03.06.2005 13:16:12 13:17:02 13:17:19	4 04.06.2005 10:30:05 10:30:20 10:30:31	5
6	7	8 08.06.2005 08:30:09 08:30:31 08:31:15	9	10	11 11.06.2005 11:14:43 11:14:47 11:14:52 11:15:07 11:15:32	12
13	14	15 15.06.2005 08:31:15 08:31:28 22:31:38 22:33:02 22:33:11 22:33:28	16	17 17.06.2005 08:19:03 09:11:26 09:11:53 09:12:01 17:58:58 17:59:05 17:59:23	18	19
20 20.06.2005 20:35:25 20:35:34 20:35:37	21 21.06.2005 22:06:17 22:06:53	22	23	24 24.06.2005 08:20:15 08:20:35 08:20:48 08:22:39 21:15:27 21:15:55 21:16:23 21:16:29	25	26
27 27.06.2005 21:42:17 21:42:26	28	29	30

← Июнь 2005 →

02.06.2005
11:51:26
11:51:36
11:51:44

03.06.2005
13:16:12
13:17:02
13:17:19

04.06.2005
10:30:05
10:30:20
10:30:31

08.06.2005
08:30:09
08:30:31
08:31:15

11.06.2005
11:14:43
11:14:47
11:14:52
11:15:07
11:15:32

15.06.2005
08:31:15
08:31:28
22:31:38
22:33:02
22:33:11
22:33:28

17.06.2005
08:19:03
09:11:26
09:11:53
09:12:01
17:58:58
17:59:05
17:59:23

20.06.2005
20:35:25
20:35:34
20:35:37

21.06.2005
22:06:17
22:06:53

24.06.2005
08:20:15
08:20:35
08:20:48
08:22:39
21:15:27
21:15:55
21:16:23
21:16:29

27.06.2005
21:42:17
21:42:26

Привет, All!

Сотрудники компании Sophos, специализирующейся на вопросах
компьютерной безопасности,
http://www.sophos.com/virusinfo/articles/mytob.html
предупреждают, что в интернете в ближайшее время может разразиться
глобальная вирусная эпидемия.

К такому выводу эксперты Sophos пришли, проанализировав код
многочисленных вариантов червя Mytob. Первая модификация Mytob была
обнаружена в конце февраля нынешнего года. Вредоносная программа
распространяется по электронной почте в виде вложений, а также через
дыру в локальной подсистеме аутентификации пользователей (LSASS)
операционных систем Microsoft Windows 2000/ХР. Попав на компьютер,
червь извлекает из файлов с определенными расширениями адреса
электронной почты и рассылает по ним свои копии.

Сотрудники Sophos отмечают, что модификации Mytob мало чем отличаются
друг от друга, и большинство антивирусов способны обнаруживать новые
варианты вредоносной программы даже без обновления баз данных. Тем не
менее, комментарии в коде Mytob и другие признаки позволяют
предположить, что авторы Mytob действуют согласно четкому плану с
целью превращения червя в мощный супер-вирус. В пользу этого говорят и
заложенные в тело Mytob функции отключения опций безопасности на
инфицированных компьютерах, а также возможность блокирования червем
доступа к веб-сайтам антивирусных компаний. Некоторые версии Mytob
также способны открывать "черный ход" в систему и загружать
дополнительные компоненты.

В настоящее время большая часть вирусного трафика в интернете
приходится именно на долю различных вариантов Mytob. Эксперты
опасаются, что очередная модификация этого вируса может принципиально
отличаться от предыдущих. Это не позволит быстро блокировать ее
распространение и приведет к многомиллионным убыткам.

NetVamp 2005-06-08 08:31:15 (#380707)

Привет, All!

Антивирусные эксперты выражают озабоченность появлением целого
"ансамбля" зловредных программ, которые, поэтапно убивая все средства
антивирусной защиты и брандмауэры, установленные на заражённом
компьютере, постепенно превращают его в "зомби" для пересылки спама
или организации DoS-атак.

Злоумышленники выработали целую "тройственную" стратегию заражения и
захвата компьютера: указанные трояны - Glieder, Fantibag и Mitglieder
- проникают на компьютер по очереди и отключают конкретные защитные
программы, заодно скачивая друг друга с удалённых сайтов.

Первым идёт Glieder.AK, он же Tooso, он же Bagle.bo. По данным
"Лаборатории Касперского",
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=82665
самостоятельно вирус-троян не размножается, он
изначально был разослан по спам-рассылке. Запускается он тоже только
вручную - если у пользователя хватит ума открыть и запустить вложенный
файл, червь начинает активно безобразничать.

При инсталляции червь создает в системном каталоге Windows файлы с
именами winshost.exe и wiwshost.exe.

Затем червь регистрирует себя в ключе автозапуска системного реестра и
изменяет файл %System%\drivers\etc\hosts, перекрывая доступ к длинному
списку
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=82665
сайтов, в первую очередь, принадлежащим антивирусным
компаниям. Кроме того, червь удаляет из системного реестра Windows
ключи антивирусных пакетов и брандмауэров.
http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=43216#infection По
данным антивирусной компании Computer
Associates, червь также закрывает процессы антивирусных пакетов и
межсетевых экранов и сканирует длинный список адресов, с которых
пытается скачать Fantibag и Mitglieder, своих "подельников".

http://securityresponse.symantec.com/avcenter/venc/data/trojan.fantibag.a.html
Fantibag блокирует доступ к сайтам,
посвящённым сетевой безопасности, и хуже того, интегрирует свой
dll-файл в explorer.exe, чтобы скрыть следы своего присутствия в
системных процессах. Впрочем, его выдают модифицированные ключи
реестра в разделе Run, - оказавшись в системном реестре, он
запускается при каждом старте Windows.

Последний из троянов -
http://www.f-secure.com/v-descs/mitglied.shtml
Mitglieder - работает как средство пересылки почты, при
этом он также блокирует некоторые программы и передаёт своим
создателям некую информацию, а точнее, в свою очередь, пытается
выкачать ещё один троян - Ldpinch - с трёх разных сайтов. По данным
F-Secure, Ldpinch с тех сайтов уже удалён.

Антивирусные эксперты предполагают, что подобная "кооперация" между
тремя программами имеет целью создание крупной сети
компьютеров-"зомби".

По http://www.newscientist.com/article.ns?id=dn7474
утверждению Саймона Терри, вице-президента по стратегии
компании Computer Associates, хакеры используют сети
"зомби"-компьютеров для элементарного вымогательства у коммерческих
компаний (платите, иначе получите DDoS-атаку). А сами
"зомби"-компьютеры - http://net.compulenta.ru/175687/
расхожий товар, торговля которым между хакерами
осуществляется "на подпольном подобии аукциона Ebay".

NetVamp 2005-06-08 08:30:31 (#380702)

← Июнь 2005 →

2 02.06.2005 11:51:26 11:51:36 11:51:44

3 03.06.2005 13:16:12 13:17:02 13:17:19

4 04.06.2005 10:30:05 10:30:20 10:30:31

8 08.06.2005 08:30:09 08:30:31 08:31:15

11 11.06.2005 11:14:43 11:14:47 11:14:52 11:15:07 11:15:32

15 15.06.2005 08:31:15 08:31:28 22:31:38 22:33:02 22:33:11 22:33:28

17 17.06.2005 08:19:03 09:11:26 09:11:53 09:12:01 17:58:58 17:59:05 17:59:23

20 20.06.2005 20:35:25 20:35:34 20:35:37

21 21.06.2005 22:06:17 22:06:53

24 24.06.2005 08:20:15 08:20:35 08:20:48 08:22:39 21:15:27 21:15:55 21:16:23 21:16:29

27 27.06.2005 21:42:17 21:42:26

Привет, All!

В браузерах Mozilla и Firefox http://secunia.com/advisories/15601/
обнаружена очередная уязвимость. По сообщению датской компании
Secunia, брешь теоретически может использоваться с целью кражи
конфиденциальной информации о пользователях интернета.

Для реализации нападения злоумышленнику вначале необходимо вынудить
жертву открыть веб-сайт, принадлежащий какой-либо известной компании
или крупной организации, например, банку. Затем нужно заставить
пользователя запустить в другом окне онлайновую страницу, содержащую
вредоносный код. Если атака окажется успешной, в окне заслуживающего
доверия веб-сайта будет отображено фальшивое содержимое,
сформированное злоумышленниками.

Компания Secunia охарактеризовала дыру как умеренно критическую.
Примечательно, что, по информации Secunia, о подобной уязвимости было
известно еще семь лет назад, тем не менее, она до сих пор присутствует
в коде браузеров Mozilla и Firefox. Кстати, атакам подвержены
пользователи программных продуктов Mozilla с индексами 1.7.x и Firefox
версий 1.x. Способов устранения дыры на сегодняшний день не
существует, поэтому эксперты по вопросам сетевой безопасности
настоятельно рекомендуют избегать посещения неизвестных или
подозрительных веб-сайтов.

Проверить свой браузер на наличие вышеописанной уязвимости можно на
http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/
этой странице.

NetVamp 2005-06-08 08:30:09 (#380700)