Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Новости безопасноcти компьютерных сетей


Служба Рассылок Subscribe.Ru
"Безопасность - это процесс"


Выпуск 32


Уважаемые подписчики мы рады приветствовать Вас!


Переполнение буфера в AOL ICQ

  На днях ноября CERT выпустила очередной бюллетень CA-2002-02, в котором уведомляет об обнаруженной возможности переполнения буфера в наиболее популярном средстве онлайнового общения ICQ. В результате этого злоумышленник может получить возможность исполнять произвольный код с привилегиями пользователя аутентифицированного в данный момент на атакуемом хосте.
  Эта уязвимость возникает из-за ошибки программного кода модуля обмена мультимедийными данными. При инициализации данного процесса на атакуемый хост посылается запрос на установление сединения, варьируя параметры которого можно вызвать переполнение буфера.
  Уязвимости подвержены все версии ICQ до "2001B V5.18 Build #3659". Только начиная с этой версии модуль обмена мультимедийными данными был вынесен в отдельный plug-in и в процессе авторизации на сайте компании Mirablis клиент получает инструкции позволяющие избежать переполнение буфера. Во всех предыдущих версиях этот модуль включен в состав ядра клиента ICQ и поэтому все команды с сервера игнорируются.
  На данный момент для устранения этой уязвимости настоятельно рекомендуется перейти на версию "2001B V5.18 Build #3659" клиента ICQ.


Вирусы

  Недавно в диком виде был обнаружен WORM_MYPARTY.A. И сразу же вирус получил степень риска "желтая" (то есть средняя). Данный вирус является стандартным червем. Тело вируса находится в аттачменте, наименование которого представлено в виде адреса Web-сайта.
  Вирус распространяется при помощи письма, следующего содержания:

Subject: new photos from my party!
Message body:Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!
Attachment: www.myparty.yahoo.com

При клике по якобы ссылки на сайт происходит заражение компьютера. На инфицированном хосте создается файл
  В Windows 9X - c:\regctrl.exe
  В Windows NT - c:\recycled\regctrl.exe
Затем вирус после своего исполнения копирует себя в "корзину". Однако это не выполняет с 25-29 января. После этого срока процесс размножения вновь инициируется. Ничего нового создатель вируса в этом плане не придумал. Для рассылки используются данные адресной книги Outlook Express, и WBA. Помимо этого, в операционных системах на базе ядра NT генерируется файл MSSTASK.EXE, являющийся ничем другим как "backdoor" к инфицированному хосту.
  Вирус создан на Visual C++, и упакован UPX. Тело вируса имеет длину 29696 байт и не подвержено криптографическому закрытию.

  Приводим список 10 наиболее распространенных в диком виде вирусов:
  1. PE_NIMDA.A-O
  2. PE_FUNLOVE.4099
  3. PE_MAGISTR.B
  4. WORM_SIRCAM.A
  5. PE_NIMDA.E
  6. WORM_BADTRANS.D
  7. PE_NIMDA.A
  8. PE_MAGISTR.A
  9. WORM_MYPARTY.A
  10. WORM_HYBRIS.M


  Дополнительную информацию можно получить, направив запрос автору рассылки.
  С уважением, Игорь Камолов.

Выпуск


http://subscribe.ru/
E-mail: ask@subscribe.ru
Отписаться
Убрать рекламу

В избранное