-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Здравствуйте!
Спасибо всем, кто подписался на список рассылки Украинского Центра
информационной безопасности.
=================== Горячие новости =================================
Уязвимость пакетов Microsoft Index Server 2.0 и Option pack 4.0
Файл SQLQHit.asp входящий в пакеты Microsoft Index Server 2.0 и Option
pack 4.0 и используемый для организации SQL-поиска содержит
уязвимость, позволяющую получить доступ к некоторым временным папкам.
По материалам: http://www.net-security.org.
Червь PE_NIMDA.A - высшая степень опасности
В Сети обнаружен опасный вирус - PE_NIMDA.A. Данный вирус принадлежит
к классу "червей" и спустя всего 12 часов после своего появления в
диком виде сразу получил степень вирусной опасности "красная".
Данный вирус имеет два пути распространения: e-mail и Web-сервера. При
распространении через электронную почту тело вируса обычно содержится
во вложении readme.exe, однако были отмечены случаи, когда вложение
инфицированного письма имело расширения .wav и .com. Для
распространения через e-mail вирус использует стандартные процедуры
SMTP и Messaging API.
Также вирус может распространяться и через общедоступные ресурсы
инфицированной локальной сети. Вирус осуществляет поиск "расшаренных"
ресурсов с правами на запись. При обнаружении таковых NIMDA записывает
на эти ресурсы файл с расширением .eml или .nws, которые содержат код
вируса. Вирус заражает исполняемые файлы на общедоступном ресурсе.
Далее NINMDA в boot секцию system.ini помещает ключ "Explorer.exe
load.exe -dontrunold". При помощи этой записи тело вируса переносится
в системную директорию Windows, перезаписывая себя в RICHED20.DLL.
Другая копия тела вируса записывается в MMC.EXE.
При инфицировании Web-серверов используется механизм аналогичный
действию BLUCODE.A. То есть используется эксплоит Traversal. Вирус
NIMDA пытается загрузить ADMIN.DLL в корневой каталог инфицируемой
машины через протокол TFTP. Вирус выполняет скрипт, добавляющий
гостевую запись в локальные группы Guest и Administrator. Что
позволяет пользователю гостевой учетной записи выполнять действия на
компьютере с правами администратора. Затем вирус делает диск "С:\"
общедоступным ресурсом и регистрирует себя в качестве сервиса.
По материалам: http://www.rainbow.msk.ru.
Средство для обнаружения и устранения вируса Nimda
Вслед за сообщением об обнаружении опасного червя Nimda, вышел релиз
компании Panda Software, дающий рекомендации по борьбе с червем. Panda
Software рекомендует следующие действия:
Обновить антивирус перед открытием почтовых программ. После этого
необходимо просканировать все сообщения и системные файлы.
Установить максимальный уровень безопасности в Internet Explorer'е.
Обновить IIS-сервер.
Убедиться, что в опциях рабочего стола установлено "Использовать
классический рабочий стол Windows", а не "Отображать веб-содержимое на
рабочем столе". Это предотвратит автоматический запуск зараженных
файлов .eml простым нажатием на них.
Можно проверить свой компьютер на наличие этого червя и даже
нейтрализовать его в случае обнаружения с помощью бесплатной утилиты
Panda ActiveScan, которая доступна на сайте
http://www.pandasoftware.com.
По материалам: http://news.battery.ru.
____________________________________________
Украинский Центр информационной безопасности
e-mail: contacts@bezpeka.com
web-site: http://www.bezpeka.comhttp://www.bezpeka.nethttp://www.bezpeka.org
-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 6.5.3 for non-commercial use <http://www.pgp.com>;
iQA/AwUBO6jH/Yk3eTHhixd1EQImmgCgmtKJRtojUPVm8cyoiFY5XpsB7PIAnRLC
HekgSKCW2KYj8wUvTqlvqmEX
=0HRT
-----END PGP SIGNATURE-----
