Вот и закончился
отпуск, и Мы вновь возобновляем выход нашей рассылки. За прошедшее время
слегка изменился дизайн рассылки, и как Вы наверное успели отметить ее
название, однако суть ее останется без изменения. Мы также как и прежде
будем пытаться держать Вас в курсе последних новостей из мира безопасности
компьютерных сетей.
Компрометация
SSH 3.0.0 Server
На днях стало
известно, что широко используемый
SSH server
может быть с легкостью скомпрометирован на предмет получения привилегий
прав и привилегий администратора. Уязвимость заключается в том, что версия
3.0.0 не корректно обрабатывает пароли длиной 2 символа. Если какой-либо
аккаунт пользователя имеет пароль длиной два символа, то при авторизации
не производится проверка их правильности. Как справедливо могут отметить
наши читатели, пароли такой длины просто нигде не применяются. Однако не
стоит забывать, что большинство аккаунтов в ОС типа *NIX принадлежат не
пользователям и процессам и приложениям, и большинство из них как раз имеют
пароли по умолчанию "!.!", NP и так далее. Конечно, авторизоваться на сервере
как пользователь с такими паролями не удастся, но злоумышленник получает
доверительные отношения с системой, и масштаб дальнейших его действий зависит
только от его квалификации и опыта. В перспективе злоумышленник путем повышения
своих привилегий может получить доступ к учетной записи администратора.
Данная уязвимость
отмечается в таких дистрибутивах *NIX, как:
Red Hat Linux 6.1 - 7.1
Solaris 2.6 - 2.8
HP-UX 10.20
HP-UX 11.00
Caldera Linux 2.4
Suse Linux 6.4 - 7.0
Тем, кто использует
SSH server 3.0.0 настоятельно рекомендуется установить
патч
устраняющий эту уязвимость.
Вирусы
На днях в диком
виде был обнаружен новый опасный Internet-червь под названием
Sircam.
Данный вирус распространяется при помощи письма, которое может быть написано
как английском, так и испанском языках следующего содержания:
Subject: (любое наименование, совпадает
с именем вложения)
Message body:(может быть как на испанском,
так и на английском языках)
(Англоязычная версия)
Hi! How are you?
I send you this file in order to have your advice
OR I hope you can help me with this file that I send OR I hope you like
the file that I send you OR This is the file with the information that
you ask for
See you later. Thanks
(Испаноязычная версия)
Hola como estas ?
Te mando este archivo para que me des tu punto
de vista OR Espero me puedas ayudar con el archivo que te ma
ndo OR Espero te guste este archivo que te mando
OR Este es el archivo con la informacion que me pediste
Nos vemos pronto, gracias.
Attachment: (наименование вложенного файла
совпадает с названием Subject).
После
активации вирус регистрирует себя как системный процесс и копирует свое
тело в системную директорию под наименованием SCAM32.EXE, а также в корзину
как SIRC32.EXE.
С целью выполнения своего тела при каждой перезагрузке OC вирус создает
новый ключ в реестре системы
После этого вирус начинает процесс своего распространения, для этого код
вируса производит поиск на жестком диске инфицированного компьютера файлов
содержащих адреса электронной почты (.WAB, .HTM) и рассылает свое тело
адресатам. Причем в качестве вложенных файлов могут выступать .doc,
.xls, .zip файлы.
Всю обнаруженную полезную информацию вирус сохраняет в файлах SCH1.DLL,
SCI1.DLL SCD.DLL
После этого червь
модифицирует файл AUTOEXEC.BAT, добавляя в него следующую команду:
@win\ recycled\SirC32.exe
Если на компьютере
имеется директория "\Windows", то червь изменяет имя системного файла RUNDLL32.EXE
на RUN32.EXE, а на место RUNDLL32.EXE записывает свою копию.
В зависимости
от текущей системной даты и времени, червь с вероятностью 5% удаляет все
файлы и поддиректории в системной директории.
Приводим список десяти наиболее часто
встречающихся в диком виде вирусов:
TROJ_SIRCAM.A
PE_MAGISTR.A
VBS_LOVELETTER.A
VBS_HAPTIME.A
TROJ_NAVIDAD.E
JS_KAKWORM.A
TROJ_BADTRANS.A
PE_FUNLOVE.4099
PE_MAGISTR.DAM
PE_MTX.A
Дополнительную информацию можно получить, направив
запрос автору рассылки
