Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Новости безопасноcти компьютерных сетей


Служба Рассылок Subscribe.Ru проекта Citycat.Ru
"Безопасность - это процесс"

 
Выпуск 17

Уважаемые подписчики мы рады приветствовать Вас !

    Вот и закончился отпуск, и Мы вновь возобновляем выход нашей рассылки. За прошедшее время слегка изменился дизайн рассылки, и как Вы наверное успели отметить ее название, однако суть ее останется без изменения. Мы также как и прежде будем пытаться держать Вас в курсе последних новостей из мира безопасности компьютерных сетей.
 
 

Компрометация SSH 3.0.0 Server

    На днях стало известно, что широко используемый SSH server может быть с легкостью скомпрометирован на предмет получения привилегий прав и привилегий администратора. Уязвимость заключается в том, что версия 3.0.0 не корректно обрабатывает пароли длиной 2 символа. Если какой-либо аккаунт пользователя имеет пароль длиной два символа, то при авторизации не производится проверка их правильности. Как справедливо могут отметить наши читатели, пароли такой длины просто нигде не применяются. Однако не стоит забывать, что большинство аккаунтов в ОС типа *NIX принадлежат не пользователям и процессам и приложениям, и большинство из них как раз имеют пароли по умолчанию "!.!", NP и так далее. Конечно, авторизоваться на сервере как пользователь с такими паролями не удастся, но злоумышленник получает доверительные отношения с системой, и масштаб дальнейших его действий зависит только от его квалификации и опыта. В перспективе злоумышленник путем повышения своих привилегий может получить доступ к учетной записи администратора.
    Данная уязвимость отмечается в таких дистрибутивах *NIX, как:

  • Red Hat Linux 6.1 - 7.1
  • Solaris 2.6 - 2.8
  • HP-UX 10.20
  • HP-UX 11.00
  • Caldera Linux 2.4
  • Suse Linux 6.4 - 7.0
    Тем, кто использует SSH server 3.0.0 настоятельно рекомендуется установить патч устраняющий эту уязвимость.
 
 
Вирусы

    На днях в диком виде был обнаружен новый опасный Internet-червь под названием Sircam. Данный вирус распространяется при помощи письма, которое может быть написано как английском, так и испанском языках следующего содержания:
 
 

Subject: (любое наименование, совпадает с именем вложения)
Message body:(может быть как на испанском, так и на английском языках)
(Англоязычная версия)
Hi! How are you?
I send you this file in order to have your advice OR I hope you can help me with this file that I send OR I hope you like the file that I send you OR This is the file with the information that you ask for
See you later. Thanks

(Испаноязычная версия)
Hola como estas ? 
Te mando este archivo para que me des tu punto de vista OR Espero me puedas ayudar con el archivo que te ma
ndo OR Espero te guste este archivo que te mando OR Este es el archivo con la informacion que me pediste
Nos vemos pronto, gracias.
Attachment: (наименование вложенного файла совпадает с названием Subject).

    После активации вирус регистрирует себя как системный процесс и копирует свое тело в системную директорию под наименованием SCAM32.EXE, а также в корзину как SIRC32.EXE.
    С целью выполнения своего тела при каждой перезагрузке OC вирус создает новый ключ в реестре системы
 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32 = “%systemdir%\Scam32.exe” 

и модифицирует уже существующий
 

HKEY_CLASSES_ROOT\exefile\shell\open\command = “”C:\Recycled\SirC32.EXE” “%1”%*”

    После этого вирус начинает процесс своего распространения, для этого код вируса производит поиск на жестком диске инфицированного компьютера файлов содержащих адреса электронной почты (.WAB, .HTM) и рассылает свое тело адресатам. Причем в качестве вложенных файлов могут выступать  .doc, .xls, .zip файлы.
    Всю обнаруженную полезную информацию вирус сохраняет в файлах SCH1.DLL, SCI1.DLL SCD.DLL
    После этого червь модифицирует файл AUTOEXEC.BAT, добавляя в него следующую команду:
 

@win\ recycled\SirC32.exe

    Если на компьютере имеется директория "\Windows", то червь изменяет имя системного файла RUNDLL32.EXE на RUN32.EXE, а на место RUNDLL32.EXE записывает свою копию.
    В  зависимости от текущей системной даты и времени, червь с вероятностью 5% удаляет все файлы и поддиректории в системной директории.

Приводим список десяти наиболее часто встречающихся в диком виде вирусов:

  •  TROJ_SIRCAM.A
  •  PE_MAGISTR.A
  •  VBS_LOVELETTER.A
  •  VBS_HAPTIME.A
  •  TROJ_NAVIDAD.E
  •  JS_KAKWORM.A
  •  TROJ_BADTRANS.A
  •  PE_FUNLOVE.4099
  •  PE_MAGISTR.DAM
  •  PE_MTX.A
Дополнительную информацию можно получить, направив запрос автору рассылки

С уважением, Игорь Камолов.
 
 



http://subscribe.ru/
E-mail: ask@subscribe.ru
Отписаться Рейтингуется SpyLog

В избранное