Безопасность
19.08.03 В Рунете появился лечебный вирус«Лаборатория Касперского» обнаружила нового сетевого червя Welchia, который ищет компьютеры, зараженные нашумевшим вирусом Lovesan (Blaster), лечит их и устанавливает заплатку для Windows. Welchia настолько быстро распространяется по интернету, что, по мнению специалистов, уже в течение недели сможет полностью погасить эпидемию Lovesan. Оказывается, самый эффективный способ борьбы с вирусом - вирус, - считает Денис Зенкин, руководитель информационной службы «Лаборатории Касперского».
Welchia принадлежит к разряду вирусов, несущих определенную гуманитарную функцию. Они атакуют компьютер, проникают в систему, но не наносят какого-либо вреда. Наоборот, они удаляют другие вредоносные программы и иммунизируют компьютеры. Наиболее известный пример подобного вируса был зарегистрирован в сентябре 2001 г.: тогда сетевой червь CodeBlue искал в интернете компьютеры, зараженные другим червем, CodeRed, и лечил их.
Welchia проводит заражение подобно червю Lovesan: через бреши в системе безопасности. Однако, в отличие от него, Welchia атакует не только уязвимость в службе DCOM RPC, но также брешь WebDAV в системе программного обеспечения для управления веб-серверами IIS 5.0. Для проникновения на компьютеры червь сканирует интернет, находит жертву и проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь WebDAV). В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис WINS Client.
После этого Welchia начинает процедуру нейтрализации червя Lovesan. Для этого он проверяет наличие в памяти процесса с именем MSBLAST.EXE, принудительно прекращает его работу, а также удаляет с диска одноименный файл. Далее Welchia сканирует системный реестр Windows для проверки установленных обновлений. В случае, если обновление, закрывающее уязвимость в DCOM RPC, не установлено, червь инициирует процедуру его загрузки с сайта Microsoft, запускает на выполнение и, после успешной установки, перегружает компьютер. Наконец, в Welchia существует механизм самоуничтожения. Червь проверяет системную дату компьютера и, если текущий год равен 2004, удаляет себя из системы.
Уже сейчас распространение Welchia достигло глобальных масштабов. Служба круглосуточной технической поддержки «Лаборатории Касперского» зарегистрировала многочисленные инциденты, вызванные данной программой.
Источник: CNews
18.08.03 «Би Лайновцы» стали жертвами мошенниковАбоненты сотовой сети «Би Лайн GSM» пострадали от нового вида мошенничества, связанного с мобильными телефонами. Среди жертв преступников есть и сотрудники «ВымпелКома», а также их родственники, лишившиеся от $20 до $600.
По данным Дирекции безопасности «Би Лайн GSM», преступники действуют по определенной схеме. На мобильные телефоны абонентов компании звонят люди, выдающие себя за родственников или знакомых. Далее следует взволнованный и сбивчивый рассказ о какой-либо экстремальной жизненной ситуации (попал в аварию, сбил пешехода, задержан милицией). При этом непривычное звучание голоса объясняется плохой связью, сильным волнением или травмой. Абонента просят срочно купить одну или несколько карт экспресс-оплаты и продиктовать секретные коды по указанному номеру, так как на счету сотового телефона «родственника» якобы закончились деньги (варианты – аппарат сломался, сели батарейки, аппарат отобрали, потерял и т.п.). В ряде случаев абонента просят срочно собрать и передать наличные деньги курьеру в указанном «родственником» месте для того, чтобы «замять дело», расплатиться за разбитую машину и т.д.
Пресс-служба «ВымпелКома» рассказала CNews.ru, что преступники в среднем просили $300-600. Один из абонентов, которого выбрали в качестве потенциальной жертвы, пришел на встречу в сопровождении милиции. Мошенник был задержан на месте преступления во время передачи денег. Сумма оказалась достаточно крупной - $1500. По данным Дирекции безопасности «Би Лайна», телефонными мошенничествами занималась группа лиц, отбывающих наказание за незначительные преступления в спецпоселении в городе Зеленограде. В результате проведенных мероприятий часть преступников задержана, органами внутренних дел заведено уголовное дело.
Источник: CNews
18.08.03 Корпорация Microsoft ликвидировала адрес Windows Update из-за вирусной атакиТак как атака намечалась только на этот адрес, Microsoft решила избавить атакующий вирус от мишени. Напомним, что зараженные вирусом Lоvesan / Blaster компьютеры с пятницы должны были штурмовать этот сайт ночью в каждом часовом поясе, так что одной из первых жертв должна стать Австралия, но эпидемия к тому времени была практически погашена. Восстанавливать сайт Windowsupdate.com в Microsoft не планируют. В четверг Microsoft изменила интернет-адреса, указывающие на Windowsupdate.com, в службе доменных имен (DNS). По неофициальной информации, чтобы изолировать серверы компании от любых атак на Windowsupdate.com, эти новые адреса установлены не в той же сети, что и другие серверы Microsoft. 15 августа утром интернет-адрес WindowsUpdate.com уже отсутствовал в базе данных DNS. Представитель Microsoft Ш. Сандвелл пояснил, что служба Windows Update продолжает работать, и чтобы воспользоваться ею достаточно набрать в браузере windowsupdate.microsoft.com или же зайти на главную страничку Microsoft.com, где и находится информация об имеющихся заплатках.
Источник: Журнал “Business Online”
14.08.03 Две новые модификации червя BlasterАнтивирусные компании распространили предупреждения о появлении в интернете новых модификаций червя Blaster (другие названия: MSBlast, Lovesan). По своим характеристикам они почти не отличаются от зарегистрированной 11 августа оригинальной версии червя, главное отличие заключается в названии исполняемого файла, содержащего вредоносный код. В оригинальной версии Blaster файл назывался MSBlast.exe.
В модификации Blaster.B исполняемый файл носит имя penis32.exe, а в версии Blaster.C имя файла - Teekids.exe. Кроме того, по данным "Лаборатории Касперского" в модификациях Blaster используется другая утилита для упаковки исполняемых файлов, и изменены текстовые строки внутри кода, в которых содержатся оскорбительные высказывания в адрес Microsoft и антивирусных компаний. Червь Blaster.C, по данным Symantec, может распространяться также в "одном флаконе" с трояном Backdoor.Lithium.
По данным вышеупомянутой компании Symantec, новые модификации Blaster пока мало распространены в диком виде. Однако учитывая, что для распространения они используют ту же технику, что и оригинальная версия Blaster, в ближайшем будущем можно ожидать нового всплеска эпидемии. С этим согласны и в "Лаборатории Касперского". Специалисты этой компании указывают на то, что оригинальная и модифицированные версии червя могут прекрасно уживаться на одном компьютере.
"Все компьютеры, зараженные оригинальной версией этого червя, скоро также будут атакованы его новой модификацией. Учитывая, что количество инфицированных систем сейчас достигает 300 тысяч, рецидив эпидемии будет означать, по крайней мере, удвоение этого числа, что повлечет за собой непредсказуемые последствия, - отметил Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".
Источник: Компьюлента
13.08.03 Новый компьютерный вирус LoveSAN распространяется в Интернете с большой скоростьюНовый компьютерный вирус LoveSAN распространяется в Интернете с большой скоростью. Он использует пробелы в защите компьютеров с системой Microsoft Windows. Целью вируса является атака сервера Microsoft Windows Update, запланированная на 16 августа. До этой даты червь, проникший в компьютер, будет заниматься сканированием той подсети, куда он попал, выявлением уязвимых машин и их заражением. Однако первые версии вируса содержат две существенных ошибки, из-за которых запланированная атака на Microsoft может и не состояться. Первая ошибка состоит в том, что червь приводит к перезагрузке системы, обнаруживая себя раньше времени. Вторая - червь неправильно отдает уязвимым машинам свой собственный IP-адрес, а потому не может распространяться дальше после первичного заражения. Специалисты отмечают по этому поводу, что создатели червя наверняка устранят ошибки в ближайшую пару дней и выпустят новую версию. Для профилактики заражения нужно поставить "заплатку", уже выпущенную Microsoft.
Источник: Журнал “Business Online”