Безопасность
27.01.04 Новый червь устраивает DoS-атаку на сайт SCOСотрудники компании Symantec, специализирующейся на вопросах компьютерной безопасности, предупреждают о появлении очередной вредоносной программы. Червь, получивший название MyDoom, распространяется с очень высокой скоростью, и на текущий момент количество инфицированных компьютеров уже превышает 10 тысяч.
Как и большинство современных вирусов, для проникновения в удаленную систему MyDoom использует электронную почту. При этом и тема сообщения, и текст, и имя исполняемого файла могут быть самыми разнообразными. Естественно, обратный адрес письма также носит случайный характер. После попадания на компьютер червь инициирует процедуры собственной установки. Для этого в системном каталоге Windows создаются файлы shimgapi.dll и taskmon.exe. Далее MyDoom регистрирует себя в системном реестре и начинает процесс сканирования файлов с разрешениями .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab и .txt на предмет наличия в них адресов электронной почты. Причем адреса, оканчивающиеся на .edu, вирус игнорирует. После этого MyDoom рассылает свои копии по обнаруженным адресам при помощи встроенного SMTP-сервера и записывается в загрузочную директорию KaZaA под видом winamp5, icq2004-final и пр.
Кроме того, компонент shimgapi.dll выступает в качестве прокси-сервера, прослушивающего порты 3127-3198. Наконец, в период с 1 по 12 февраля вредоносная программа попытается организовать DoS-атаку на сайт компании SCO Group, ведущей непримиримую борьбу с корпорацией IBM и сообществом open source. Заражению червем MyDoom подвержены компьютеры с ОС Windows 2000, 95, 98, Me, NT, Server 2003 и XP. Для пользователей DOS, Linux, Macintosh, OS/2 и UNIX вредоносная программа угрозы не представляет.
Источник: Компьюлента
27.01.04 AMD разрабатывает исправление для самой серьезной уязвимости в Windows XPAMD разрабатывает технологию для x86-совместимых процессоров следующего поколения, чтобы устранить одну из самых больших дыр в безопасности систем Windows. Компания сотрудничает с Microsoft для разработки и встраиванию в 32-битные процессоры Athlon64 защиты от переполнения буфера, которое используется при вирусных атаках компьютеров под ОС Windows. По словам Microsoft, компания сотрудничает с производителями процессоров, чтобы улучшить поддержку аппаратных реализаций технологии NX в Windows в будущем.
Атака с переполнением буфера заполняет буферную память компьютера перед тем как ввести вредоносный код, который потом будет выполнен процессором. Технология, защищающая от этого, называется «не выполнять» (no execute, NX). Она определяет неправильное использование памяти компьютера на уровне процессора и ОС.
NX использует центральный процессор для того, чтобы разделить код приложения и код данных. Это предотвращает исполнение вредоносного кода атакующего червя или вируса, поместившего свой код в память и пометившего как данные, приложением или компонентом Windows. Тем не менее, поддержка NX в Windows XP не появится до выхода Service Pack 2.
Технология AMD, называемая «защита исполнения» уже встраивается в процессоры Athlon64, 64FX и Opteron, однако использоваться она не может до появления Windows XP Service Pack 2. Intel испытывает похожую технологию для процессоров Prescott. Представитель Intel заявил, что NX встраивается в процессоры Itanium с 2001 года.
Источник: CNews
27.01.04 Вирус парализовал почту меломановВ интернете началась глобальная эпидемия нового опасного червя Mydoom, известного также под названием Novarg. Специалисты считают, что он был создан в России. Всего за несколько часов существования эта вредоносная программа поразила порядка 300 тысяч компьютеров по всему миру. По данным «Лаборатории Касперского», данный инцидент является крупнейшим в текущем году и имеет все шансы побить прошлогодние рекорды. Novarg распространяется по интернету двумя способами: через электронную почту и в файлообменной сети KaZaA.
«Лаборатория Касперского» считает, что подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки Novarg. Такая технология уже была применена ранее в почтовом черве Sobig.F.
Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки "тема", 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем. В сети KaZaA Novarg присутствует под различными именами (например, winamp5, icq2004-final) и с различными расширениями (bat, exe, scr, pif).
Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения. Сразу же после запуска Novarg открывает текстовый редактор Notepad и показывает произвольный набор символов. Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера. Затем Novarg начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.
Novarg содержит весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер - модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы. Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы. В-третьих, в Novarg заложена функция организации DoS-атаки на сайт www.sco.com. Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.
«Опасность сращивания вирусных и спам-технологий и формирования объединенной, мотивированной сети кибер-преступников становится реальностью, - считает руководитель антивирусных исследований «Лаборатории Касперского» Евгений Касперский. - За первые два дня этой недели мы обнаружили сразу две вредоносные программы, подтвердившие эту тенденцию. Уже в ближайшем будущем эта проблема может означать новый этап в компьютерной вирусологии, который ознаменуется еще более серьезными и частыми эпидемиями».
Источник: CNews
26.01.04 "Лаборатория Касперского" поймала трех почтовых червей"Лаборатория Касперского" сообщила о появлении сразу трех новых модификаций почтового червя Dumaru, которые получили индексы J, K и L. Использованная авторами технология массовой рассылки зараженных сообщений и высокая скорость распространения уже вызвали многочисленные заражения компьютеров по всему миру, что позволяет говорить о начале новой крупномасштабной эпидемии.
Первая версия Dumaru была обнаружена в сентябре 2003 г., и с тех пор червь не покидал списки самых распространенных вредоносных программ. Оригинальный образец был создан в России, в то время как последние экземпляры, скорее всего, происходят из Германии, считают в "Лаборатории Касперского". Новые версии Dumaru содержат лишь незначительные внутренние отличия.
Особого внимания заслуживает многоэтапный метод их распространения, который позволил червям всего за несколько дней вызвать глобальную эпидемию. Первоначальное распространение Dumaru было инициировано массовой рассылкой электронного письма якобы от службы технической поддержки Microsoft. В письме предлагалось установить обновление для защиты от вирусов.
В действительности же письмо содержит троянскую программу UrlSpoof. При активации ссылки в письме на компьютере пользователя открывается веб-сайт, совпадающий по оформлению с веб-сайтом Microsoft. UrlSpoof использует уязвимость браузера Internet Explorer и в качестве адреса сайта показывает www.microsoft.com, хотя в действительности адрес у сайта совершенно иной. При посещении этого сайта на компьютер незаметно устанавливается носитель червя Dumaru, который, в свою очередь, начинает рассылку зараженных писем.
"Эта эпидемия в очередной раз доказывает тенденцию сращивания вирусных и спам-технологий, - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского". - Вирусы все активнее используют спам-методы для увеличения скорости распространения, а спамеры - вирусы для создания распределенных сетей зараженных компьютеров в целях рассылки спама".
Источник: Компьюлента
23.01.04 Новый способ борьбы с вирусами и порнографией в СетиИзраильский раввин Шломо Эльяху придумал молитву, призванную защитить пользователей интернета от пагубного влияния порнографии и компьютерных вирусов. Как сообщает агентство Reuters со ссылкой на крупную израильскую ежедневную газету Yedioth Ahronoth, молитва была написана раввином в ответ на настоятельные просьбы со стороны ортодоксальных иудеев. Они опасаются, что доступность контента для взрослых поставит под угрозу традиционные семейные ценности.
В кратком переводе на русский молитва звучит следующим образом: "Господи, пожалуйста, помоги мне очистить компьютер от вирусов и нечестивых фотографий, которые отвлекают меня и мешают работать..., чтобы я смог очиститься". Эльяху, который является главным раввином города Сафед на севере Израиля, считает, что молитва является действенным способом борьбы с искушениями и опасностями интернета.
Раввин рекомендует всем иудеям читать молитву, когда они заходят в интернет. Еще лучше, если они смогут настроить компьютер таким образом, чтобы молитва выводилась на экран при работе в Сети. Это позволит иудеям обрести духовную защиту на случай, если они попадут на сайт с непристойным содержанием случайно, или поддавшись искушению.
Источник: Компьюлента