Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Новости безопасноcти компьютерных сетей


Служба Рассылок Subscribe.Ru проекта Citycat.Ru
"Безопасность - это процесс"


Выпуск 24


Уважаемые подписчики мы рады приветствовать Вас!

Вирусы

  Сегодня мы несколько изменим привычный порядок статей в нашей рассылки. Это связано с появлением не более 15 часов назад нового опасного вируса PE_NIMDA.A. Данный вирус принадлежит к классу "червей" и спустя чуть более половины суток после своего появления в диком виде сразу получил степень вирусной опасности "красная".
   Данный вирус имеет два пути распространения: e-mail и Web-сервера. При распространении через электронную почту тело вируса обычно содержится во вложении readme.exe, однако были отмечены случаи, когда вложение инфицированного письма имело расширения .wav и .com. Величина тела вируса составляет 57344 байтов. После инициировании механизма вируса, он уничтожает в директорию С:\Windows\Temp файл meXXX.tmp.exe, который является временным файлом почтового сообщения формата eml, и создает новый файл с аналогичным названием, но уже содержащий тело вируса. Для распространения через e-mail вирус использует стандартные процедуры SMTP и Messagin API.
  Также вирус может распространяться и через общедоступные ресурсы инфицированной локальной сети. Подобно FUNLOVE.4099 вирус осущестсвляет поиск "расшаренных" ресурсов с правами на запись. При обнаружении таковых NIMDA записывает на эти ресурсы файл с расширением .eml или .nws, которые естественно содержат код вируса. Вирус заражает исполняемые файлы на общедоступном ресурсе. Далее NINMDA в boot секцию system.ini ключ "Explorer.exe load.exe -dontrunold". При помощи этой записи тело вируса переносится в системную директорию Windows, перезаписывая себя в RICHED20.DLL. Другая копия тела вируса записывается в MMC.EXE.
  При инфицировании Web-серверов используется механизм аналогичный действию BLUCODE.A. То есть используется эксплоит Traversal. Вирус NIMDA пытается загрузить ADMIN.DLL в корневой каталог инфицируемой машины через протокол TFTP. Вирус выполняет скрипт добавляющий гостевую запись в локальаные группы Guest и Administrator. Что позволяет пользователю гостевой учетной записи выполнять действия на компьютере с правами администратора. Затем вирус делает диск "С:\" общедоступным ресурсом и регистрирует себя в качестве сервиса. Тело вируса содержит следующий текст:
-Concept Virus (CV) V.5, Copyright (C) 2001 R.P.China


  Другим "примечательным" вирусом является троян Whistler.A. Он опасен тем, что при инфицировании системы происходит ее разрушение. Сам вирус выполнен на "С++" в виде генератора ключей для ОС Windows XP. При выполнении процедуры генерации ключа, создается ложный ключ, который сохраняется во временном файле. Затем при помощи блокнота вирус копирует себя в файл WHISTMNG.EXE и сохраняет его в системной директории Windows. Помимо этого вирус создает новый ключ в системном реестре ОС для того чтобы начать действовать после перезагрузки системы.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "Whistler" = "C:\\whistmng.exe -next"

  После рестарта компьютера вирус создает директорию "C:\WXP" и переносит в нее все файлы обнаруженные на жестком диске С:\, затем создается директория "C:\ZWXP" и выполняется аналогичная процедура с файлами для жесткого диска D:\ и далее по алфавиту. Такие действия естественно выводят операционную систему из строя.


Новости компании Rainbow Technologies

  Компания Rainbow Technologies приглашает специалистов, интересующихся вопросами информационной безопасности при работе в Internet и eCommerce, на свой стенд С15 на выставке "SofTool - 2001" (www.softool.ru). Выставка проходит в Москве, на ВВЦ, с 25 по 29 сентября 2001 года и является широкомасштабным форумом для демонстрации последних достижений в области компьютерной индустрии.
  На стенде компании можно будет подробно ознакомиться с продукцией, представляемой Rainbow Technologies, и получить консультации по применению.
  Мы рады объявить о начале эксплуатации нового корпоративного Web-сайта(www.firebox.ru) полностью посвященного вопросам безопасности корпоративных сетей. На нем Вы можете найти подробную информацию о существующих и новых технологиях в области защиты сетей и серверов.

  Дополнительную информацию можно получить, направив запрос автору рассылки.
  С уважением, Игорь Камолов.

Выпуск 23


http://subscribe.ru/
E-mail: ask@subscribe.ru
Отписаться
Убрать рекламу
Рейтингуется SpyLog

В избранное