Неделя ИТ. Энциклопедия хакера

Soft-hack.net.ru | Новости | Аналитика | Файловый архив | Форум | О сайте

№ 10, 10 мая 2006 года

• Вирус Love Bug – спустя шесть лет, компания Sophos комментирует изменение ландшафта вредоносного ПО
• Очередная критическая уязвимость в IE
• Firefox 1.5.0.3 — исправление DoS-уязвимости
• SANS: Mac OS теряет репутацию «бронированной» операционной системы
• Российский студент осужден за создание веб-сайтов, предназначенных для распространения вирусов
• Windows XP может автоматически установить программу для борьбы с пиратскими копиями
• AMD нашла ошибку в процессорах Opteron x52 и x54
• Технология BitLocker затруднит установку других ОС одновременно с Windows Vista
• Антивирус Dr.Web защищает пиринговые сети от опасного вируса Win32.Polipos
• Результаты опроса, проведенного компанией Sophos, показали, что выбираемые сотрудниками пароли подвергают риску коммерческую информацию

• Десять основных угроз и мистификаций по данным Sophos за апрель 2006 года

Новости высоких технологий

Вирус Love Bug – спустя шесть лет, компания Sophos комментирует изменение ландшафта вредоносного ПО

Шесть лет назад, 4 мая 2000 года, вирус VBS/Lovelet-A (также известный как червь Love Bug или ILOVEYOU) причинил значительные повреждения, инфицировав компьютеры по всему миру. Согласно мнению экспертов SophosLabs™, глобальной сети центров компании Sophos по анализу вирусов, шпионских программ и спама, в настоящее время произошли большие изменения в структуре вредоносного ПО.

Червь Love Bug, автором которого предположительно считается филиппинский студент Онель де Гусман (Onel de Guzman), вводил в заблуждение пользователей компьютеров, полагавших, что они получили по электронной почте любовное письмо. Таким образом, при открытии файла, вложенного в письмо, вирус попадал в систему и пересылал самого себя по всем адресам электронной почты, которые он обнаруживал на инфицированном компьютере.

«Червь Love Bug и его предшественник Melissa явились предвестниками новой эры в истории вредоносных червей с массовой рассылкой по электронной почте, которые использовали приемы социальной инженерии, соблазняя пользователей дважды щелкнуть мышью на вредоносном вложении, - сказал Грэхем Клули (Graham Cluley), старший технический консультант Sophos. – Системы электронной почты были перегружены лавинами таких вредоносных червей, переносимых электронной почтой, как Sobig, Anna Kournikova и Naked Wife. Тем не менее, сейчас массовая рассылка червей на спаде, поскольку мы наблюдаем взамен нее бурный рост целевых атак с использованием троянов».

В 2001 году 21% всех угроз, выявленных компанией Sophos, составляли «троянские кони». К апрелю 2006 года эта цифра возросла до 86%, поскольку хакеры используют троянов для загрузки вредоносного кода, тайного наблюдения за пользователями, хищения информации или получения несанкционированного доступа к компьютерам.

«Очень часто трояны рассылаются вместе со спамом ни в чем не повинным пользователям, или внедряются на веб-сайты, чтобы осуществить попытку незаметно установить себя на компьютеры жертв. Однажды установленные, они могут открыть «черный ход» хакерам для хищения информации, включая секретные данные, такие как пароли банковских систем, - продолжил Клули. – Большинство пользователей вряд ли помнят, но червь Love Bug был действительно предшественником некоторых из этих видов деятельности, поскольку он был задуман для подбора и хищения паролей доступа к Интернет-подключениям, что давало его создателям дешевый доступ в сеть».

После появления червя Love Bug 4 мая 2000 года возникло много других вирусов, которые подобным же образом побуждали пользователей дважды щелкнуть мышью на вредоносном вложении. В памятном 2001 году червь, который выдавал себя за фотографии российской теннисистки Анны Курниковой, благополучно распространился по всему земному шару. Другие вирусы выдавали себя за файлы, связанные с Шакирой, Бритни Спирс, Перис Хилтон или Дженифер Лопес.

Эксперты компании Sophos уверены, что многие пользователи компьютеров все еще находятся под угрозой поражения вредоносным ПО, использующим психологические трюки для проникновения, но хакеры, движимые финансовыми мотивами, предпочитают использовать троянов вместо массовой рассылки червей.

«Во времена Love Bug большинство вредоносного ПО было написано скорее для хвастовства, чем для получения денег. Новые организованные преступные группы, вооруженные вредоносным ПО, не желают, чтобы их атаки стали предметом всеобщего обозрения, так как это увеличит осведомленность общества об угрозах. Поэтому они используют троянов, которые нацелены на небольшие группы людей, вместо массовой рассылки червей, которые могут одновременно заразить миллионы компьютеров по всему миру, - продолжил Клули. – Это печально, но как бы далеко ни продвинулись технологии за последние шесть лет, большинство обычных людей все еще удручающе безграмотны относительно того, как безопасно работать в Интернете и наилучшим образом обезопасить свои банковские счета и личные данные».

Законы, предназначенные для борьбы с компьютерными злоупотреблениями, были введены властями Филиппин только в июне 2000 года и в результате инцидента с червем Love Bug. Эти законы не имеют обратной силы, и подозреваемый Онель де Гусман гуляет на свободе.

«Никто не был осужден за распространение вируса Love Bug, и похоже на то, что уже никогда и не будет наказан», - сказал Клули.

Информационная служба компании ДиалогНаука

Очередная критическая уязвимость в IE

Датская компания Secunia, специализирующаяся на вопросах компьютерной безопасности, обнаружила очередную брешь в браузере Microsoft Internet Explorer. Выявленная уязвимость представляет собой вариант критически опасной дыры, найденной в IE в конце прошлого месяца.

В двадцатых числах апреля польский исследователь Михаль Залевски обнародовал информацию об ошибке, возникающей в Internet Explorer при обработке определённых последовательностей HTML-тегов. Дыра теоретически обеспечивает возможность получения несанкционированного доступа к удаленному компьютеру и последующего выполнения на нём произвольного кода. Реализовать атаку можно через сформированный специальным образом веб-сайт.

В ходе изучение уязвимости специалисты Secunia выявили другую похожую брешь, также связанную с особенностями обработки браузером Microsoft тегов HTML. Подробности относительно дыры из соображений безопасности не разглашаются. Однако в бюллетене Secunia отмечается, что уязвимость позволяет выполнить произвольные операции на машине жертвы. Причём проблема актуальна для полностью пропатченных компьютеров с операционной системой Windows ХР SP2 и Internet Explorer 6.

Компания Microsoft уже поставлена в известность, однако заплатки для уязвимости пока не существует. Не исключено, что соответствующий патч войдет в состав очередной серии обновлений для продуктов Microsoft, выпуск которой состоится в следующий вторник, 9 мая. Пока же специалисты рекомендуют пользователям IE воздержаться от посещения сомнительных сайтов или перейти на альтернативный браузер.

Компьюлента

Firefox 1.5.0.3 — исправление DoS-уязвимости

Браузер Mozilla Firefox получил очередное обновление, и теперь самая последняя версия носит номер 1.5.0.3.

С этим обновлением была устранена найденная недавно уязвимость, позволяющая сценариям JavaScript значительно затормаживать работу системы. Сообщается также, что в теории эту ошибку можно использовать и для выполнения на машине произвольного кода.

Это уже не первый случай, когда в Firefox ветки 1.5 находят критические уязвимости. Патч Firefox 1.5.0.2, к примеру, был выпущен также после обнаружения опасных дыр в защите. Оперативность и ответственность, с которой разработчики из фонда Mozilla устраняют возникающие ошибки, не может не радовать пользователей браузера, но скорость появления самих ошибок вызывает должные опасения. Особенно - с учётом того, что скоро браузер должен обновиться до версии 2.0.

На этот раз, правда, уязвимость не столь критична, и затронула лишь Firefox, так что пользователи Mozilla Suite ветки 1.7 могут не беспокоиться. О присутствии обнаруженной дыры в Mozilla Thunderbird, SeaMonkey и Mozilla Suite 1.8а никаких данных пока не опубликовано.

Скачать обновление можно с CITKIT.ru или с сайта проекта.

Компьюлента

SANS: Mac OS теряет репутацию «бронированной» операционной системы

Американский институт SANS опубликовал результаты анализа проблем компьютерной безопасности, выявленных в течение нынешнего года.

Эксперты SANS отмечают, что в последнее время обнаруживается все больше уязвимостей в операционной системе Apple Mac OS. Так, в прошлом году в этой программной платформе были выявлены более 50 дыр, причем порядка 17 из них так и не были устранены. Для сравнения, в 2004 году количество найденных в Mac OS уязвимостей составило 24. Эксперты компании Qualys отмечают, что не так давно под угрозой так называемых атак zero-day (когда нападение совершается раньше, чем производитель успевает выпустить соответствующую заплатку) оказались пользователи браузера Apple Safari.

В целом, подчеркивают специалисты SANS, программная платформа Mac OS теряет репутацию «бронированной» операционной системы. Причем хакеры начали уделять разработкам Apple гораздо больше внимания после перехода компании на процессоры Intel. А с выпуском фирмой Apple инструментария Boot Camp, при помощи которого на «Маке» можно установить одновременно и Mac OS, и Windows ХР, увеличивается риск появления вредоносных программ, способных функционировать сразу на двух этих платформах.

В первом квартале нынешнего года эксперты SANS отмечают уменьшение количества новых уязвимостей в службах Windows. А вот количество дыр в клиентских приложениях Microsoft, например, Internet Explorer, напротив растет. Кстати, все чаще с необходимостью установки патчей сталкиваются пользователи браузера Firefox и других продуктов Mozilla. Кроме того, отмечается рост количества фишинг-атак, инцидентов, связанных с несанкционированным доступом к базам данных, а также атак, при проведении которых злоумышленники используют сформированные особым образом мультимедийные файлы или документы.

Более подробно с весенним отчетом SANS можно ознакомиться на этой странице.

Компьюлента

Российский студент осужден за создание веб-сайтов, предназначенных для распространения вирусов

Эксперты SophosLabs™, глобальной сети центров компании Sophos по анализу вирусов, шпионских программ и спама, приветствовали вынесение приговора человеку, который не только создавал свое собственное вредоносное ПО, но и поддерживал два веб-сайта, с помощью которых он распространял более 4000 различных видов компьютерных вирусов.

Сергей Казачков, студент Российского научного университета из Воронежа, был признан виновным в распространении тысяч экземпляров вредоносного ПО посредством двух веб-сайтов, предназначенных для обмена вирусами. Говорят, что он также был создателем и распространителем своего собственного вредоносного ПО.

«Казачков играл в опасную игру, поддерживая веб-сайты, которые способствовали распространению вирусов, предназначенных для нанесения ущерба информации и данным ни в чем не повинных пользователей компьютеров, - сказал Грэхем Клули (Graham Cluley), старший технический консультант компании Sophos. - То, что он был осужден и работа веб-сайтов была прекращена – прекрасная новость, но такое наказание – все равно, что просто дать по рукам. Киберпреступность становится все более серьезной угрозой и вызывает ужасные проблемы для бизнеса, так что следует применять более строгие меры к тем, кто становится на путь преступлений. В том числе, и для того, чтобы показать другим, что такая деятельность не позволительна».

Казачкову вынесли приговор с двумя годами условного наказания, и он будет отбывать его на условиях, установленных судом, с испытательным сроком длительностью один год.

«Это не первый случай, когда российские власти прекращают деятельность лиц, распространяющих вирусы через веб-сайты, - продолжил Клули. – В ноябре 2004 года член международной банды создателей вируса 29A был признан виновным в том, что разместил исходный код вируса на веб-сайтах, ориентированных на распространение вредоносного ПО».

Некоторые сообщения российских СМИ объявляли, что Сергей Казачков является также автором печально известного вируса «Чернобыль». На самом деле это не так, и ему ошибочно приписали чужие "заслуги" в связи с тем, что просто вирус «Чернобыль» был в числе тех вредоносных программ, которые распространялись через веб-сайты Казачкова. Настоящим создателем разрушительного вируса «Чернобыль» (также известного как CIH) был Чен Инг-Хау (Chen Ing-Hau), тайваньский студент, который был задержан властями в 2000 году.

Информационная служба компании ДиалогНаука

Windows XP может автоматически установить программу для борьбы с пиратскими копиями

Начиная с этой недели на миллионы систем Windows ХР будет автоматически установлен новый предупредительный инструмент Windows Genuine Advantage.

Microsoft продолжает борьбу с пиратством. Во вторник софтверный гигант начинает рассылать опытный инструмент, который проверяет, является ли установленная на ПК копия Windows лицензированной надлежащим образом. В понедельник Microsoft предупредила, что его получат миллионы людей в США, Великобритании, Малайзии, Австралии и Новой Зеландии.

После загрузки и установки инструмента Windows Genuine Advantage Notifications пользователи пиратских копий при запуске системы, регистрации в сети и в процессе работы будут получать предупреждения следующего содержания: «Эта копия Windows нелегальна; возможно, вы стали жертвой изготовителей фальшивого ПО». Те, кто пользуется легальной копией ПО, никаких сообщений не увидят, уверяет Microsoft.

По словам директора программы Microsoft Windows Genuine Дэвда Лазара, от загрузки инструмента можно будет отказаться или же деинсталлировать его. Предупреждения, появляющиеся во время работы Windows, тоже можно будет отключать, кликая на них правой кнопкой мыши. В предупреждениях содержится ссылка на веб-сайт, где объясняется, что делать людям, у которых версия Windows оказалась пиратской.

На этой же неделе Microsoft выпустит программу Office Genuine Advantage, которая проверяет подлинность установленных копий пакета офисных приложений. Первоначально планируется испытать программу на семи языках: бразильском португальском, чешском, греческом, корейском, упрощенном китайском, русском и испанском.

Всё это — часть программы борьбы Microsoft с пиратством. Программа Windows Genuine Advantage (WGA) была запущена в сентябре 2004 года. С июля пользователи Windows ХР должны были подтвердить подлинность операционной системы, чтобы загрузить дополнительное ПО, такое как Windows Defender, Windows Media Player или Internet Explorer 7. Однако хакеры быстро нашли способы обойти эту проверку.

Переход на предупредительные сообщения начался в ноябре прошлого года с Норвегии и Швеции, а в феврале был распространен на Чехию, Данию, Израиль, Польшу и Тайвань. Теперь производится дальнейшее расширение программы. За WGA последуют антипиратские меры, встроенные в Windows Vista, определенные функции которой будут работать только на лицензионных копиях системы.

Лазар говорит, что Microsoft рассылает Genuine Advantage Notifications не всем пользователям Windows, а случайной выборке. Для доставки инструмента применяется функция Windows Automatic Updates, которая обеспечивает рассылку патчей и у большинства пользователей Windows, по утверждению Microsoft, включена.

Сегодня в программе WGA участвует свыше 150 млн ПК. Около 65% пользователей в семи странах разрешили загрузку инструмента Genuine Advantage Notifications.

Антипиратские проверки Microsoft не мешают пользователям получать патчи. Независимо от того, прошла ли система проверку, они доступны всем пользователям Windows как для ручной загрузки, так и через Automatic Updates.

SecurityLab

AMD нашла ошибку в процессорах Opteron x52 и x54

Американская компания Advanced Micro Devices (AMD) официально признала наличие проблем с некоторыми моделями одноядерных серверных процессоров Opteron.

Как сообщается в уведомлении, речь идет о чипах Opteron x52 и x54, которые при определённых условиях могут давать сбои. О проблеме стало известно в ходе тестирования указанных процессоров, проведенного по заказу одного из клиентов AMD. При этом была смоделирована несколько нестандартная ситуация, предполагающая выполнение большого количества операций с плавающей запятой в помещении с повышенной температурой. В таких условиях процессоры Opteron x52 и x54 могут выдавать некорректные результаты.

В AMD подчёркивают, что проблема актуальна исключительно для одноядерных чипов, выпущенных в 2005 году и начале 2006 года. Всего было произведено около трёх тысяч таких процессоров, а использовались они, преимущественно, в системах Hewlett-Packard, IBM и Sun Microsystems. Отмечается также, что реальных сбоев, связанных с некорректным поведением процессоров Opteron, пока зафиксировано не было. Корпоративные клиенты, в чьи компьютеры попали дефектные чипы, могут рассчитывать на их бесплатную замену.

В первом квартале нынешнего года рыночная доля серверных процессоров AMD с архитектурой х86 составляла 22,1 процента. Это почти на шесть процентов выше аналогичного показателя за четвёртый квартал прошлого года. То есть, за первые три месяца нынешнего года поставки чипов Opteron увеличились на 26 процентов по сравнению с концом 2005 года, а за двенадцать месяцев рост объёмов продаж процессоров Opteron составил около 250 процентов.

Компьюлента

Технология BitLocker затруднит установку других ОС одновременно с Windows Vista

Известный специалист по криптографии Брюс Шнайер считает, что применённая в Windows Vista технология шифрования BitLocker затруднит или даже сделает невозможной установку на компьютер второй операционной системы, в частности, Linux.

Технология BitLocker Drive Encryption будет использоваться в новой операционной системе Microsoft для персональных компьютеров для шифрования содержимого жёстких дисков. Применение BitLocker наряду с другими средствами безопасности позволит надежно защитить данные пользователей, сделав их практически недоступными для третьих лиц. Примечательно, что ранее уже высказывались опасения по поводу того, что BitLocker существенно затруднит проведение расследований, поскольку даже спецслужбы не смогут проникать в компьютеры подозреваемых.

Шнайер, как сообщает The Register, считает, что BitLocker можно рассматривать и в качестве своеобразного средства против установки Linux. То есть, инсталлировать открытую ОС на компьютеры с Windows Vista не удастся из-за особенностей работы BitLocker.

Программная платформа Windows Vista для домашних пользователей, согласно имеющемуся графику, будет представлена в начале следующего года. Корпоративные варианты операционной системы выйдут несколько раньше - в конце нынешнего года.

Компьюлента

Антивирус Dr.Web защищает пиринговые сети от опасного вируса Win32.Polipos

Служба вирусного мониторинга компании «Доктор Веб» информирует всех пользователей пиринговых сетей об опасном полиморфном вирусе Win32.Polipos, который уже в течение целого месяца распространяется по различным пиринговым сетям.

Началось распространение Win32.Polipos в марте этого года. Тогда же (20 марта) он был добавлен в вирусную базу антивируса Dr.Web и с этого момента для наших пользователей он не представлял никакой угрозы. Помимо сложного полиморфного механизма, реализованного в вирусе, в нем содержалась и опасная функция «нейтрализации» целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины, и, будучи запущенным, скрытно делает их участниками общедоступной P2P-сети.

Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы «покрывая тело файла-жертвы собственными пятнами». При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов - при ее наличии - «вниз». При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса.

При запуске вирус внедряет свой код во все запущенные процессы. Исключение составляют процессы со следующими именами: savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll smss, csrss, spoolsv, ctfmon, temp.

Таким образом, в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и пр. Зараженные файлы становятся общедоступными для участников этой сети.

Резидентные копии Win32.Polipos перехватывают следующие API функции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, файлов инсталляции и т.п.) вирус пытается создать оригинальную копию файла во временном каталоге с именем ptf*.tmp, которую и запускает. Это делается для обхода контроля целостности, используемого некоторыми инсталляторами.

Безусловно, распространение подобного вируса вызвало беспокойство среди пользователей соответствующих P2P сетей. Однако обращает на себя внимание довольно любопытное обстоятельство. Несмотря на то, что присутствие в P2P-сетях Win32.Polipos не является ни для кого новостью уже около месяца, антивирус Dr.Web до последних дней был единственным, кто его детектировал.

В самом начале эпидемии пользователи Dr.Web сетовали на срабатывание антивируса на якобы чистые файлы, но вирусные аналитики компании «Доктор Веб» подтвердили факт существования именно нового вируса. Успешное детектирование различных вариантов этого сложного полиморфика возможно благодаря высокому технологическому уровню антивирусного ядра Dr.Web.

В настоящее время Служба вирусного мониторинга компании «Доктор Веб» разработала и процедуру лечения зараженных вирусом Win32.Polipos файлов.

Сделано это, в частности, по просьбам тех пользователей, чьи антивирусные программы до сих пор не детектируют этот вирус и позволяют ему беспрепятственно заражать файлы на, казалось бы, защищенных компьютерах.

Механизм лечения довольно сложен, поскольку требует обработки сложного криптоалгоритма XTEA, поэтому порой на дешифровку кода вируса может уходить довольно значительное (по компьютерным меркам) время. Для лечения зараженных файлов не требуется скачивания никаких дополнительных утилит - все осуществляется средствами самого антивируса Dr.Web при условии своевременного обновления вирусных баз.

Информационная служба компании ДиалогНаука

Результаты опроса, проведенного компанией Sophos, показали, что выбираемые сотрудниками пароли подвергают риску коммерческую информацию

Эксперты лаборатории SophosLabs™, глобальной сети центров Sophos по анализу вирусов, шпионского программного обеспечения и спама, настоятельно рекомендуют компаниям разъяснять своим сотрудникам необходимость выбора уникальных и различных паролей, чтобы не допустить на своих рабочих местах злоумышленной деятельности киберпреступников.

Интернет-опрос более чем 500 корпоративных пользователей ПК, проведенный компанией Sophos, показал, что только 14% респондентов используют разные пароли для каждого посещаемого сайта. Тревожит цифра 41% - это те, кто использует всегда один и тот же пароль, а 45% респондентов призналось, что они имеют для выбора набор из всего нескольких паролей. Интернет-опрос был проведен компанией Sophos в апреле 2006 г. Было опрошено 533 респондента.

«Это безумие использовать один и тот же пароль для доступа на веб-сайт с результатами футбольных матчей и на Ваш электронный банковский счет, - говорит Грэхем Клули (Graham Cluley), старший технический консультант компании Sophos. - Если Вы используете один и тот же пароль для доступа на все веб-сайты, то хакеры, украв его, получают приглашение украсть также и Вашу идентификационную информацию и оставить Вас с большой дырой в виртуальном кошельке».

Опрос 500 крупных системных администраторов показал, что их пользователи имеют не большой выбор паролей, которые к тому же очень легко взломать, - приблизительно три четверти сотрудников попадают в эту ловушку.

«Надежность систем защиты компаний определяется надежностью их самого «слабого звена» - которым, чаще всего, оказываются пользователи компьютеров. Если пользователи выбирают в качестве пароля имя своей подружки, название любимой футбольной команды или кличку домашней рыбки, они подвергают серьезному риску коммерческую информацию компании. Поэтому сотрудников необходимо обучать, чтобы они не выбирали в качестве пароля обычное слово из словаря: такой пароль может быть легко взломан хакерской программой, - добавил Клули. - Киберпреступники становятся все более изобретательны в способах поиска уязвимых пользователей и воровства денежных средств. Не уделяя должного внимания или не понимая, какой легкой добычей для мошенников являются слабые пароли, некоторые пользователи фактически преподносят хакерам конфиденциальную информацию на тарелочке. Пользователи должны уделять более серьезное внимание выбору разных и трудноопределяемых паролей, чтобы обеспечить безопасность корпоративной сети и личных данных».

Sophos неустанно рекомендует компаниям обеспечить защиту корпоративных компьютеров и серверов при помощи антивирусных программ с автоматическим обновлением вирусных баз данных, а также уделить внимание обучению сотрудников элементарным приемам компьютерной гигиены, в том числе, разумному использованию паролей.

Информационная служба компании ДиалогНаука

Ваши комментарии и предложения

№ 10, 10 мая 2006 года