Безопасность
19.09.01 Новый вирус Nimda страшнее, чем Code Red.Последствия быстро распространяющегося в последние сутки вируса Nimda могут быть хуже, чем результаты появления в Сети вируса Code Red, заявил министр юстиции США Джон Эшкрофт (John Ashcroft). Этот "червь" распространяется как через электронную почту, так и через интернет, заражая веб-страницы и компьютеры пользователей, посещающих сайты, хостящиеся на зараженных серверах.
За вчерашний день тысячи компьютеров в Соединенных Штатах подверглись атаке нового вируса. По последним данным, случаи появления Nimda сегодня утром зарегистрированы и в Москве.
Nimda (анаграмма сокращения "admin") появляется на компьютере в виде электронного письма со вложенным файлом "readme.exe". Новый вирус имеет несколько псевдонимов: Code Rainbow, Minda, и Concept Virus. Вирус не разрушает файлы на компьютерах, судя по всему, он просто замедляет работу интернета. Nimda пользуется уже известной "дырой" в программном обеспечении Internet Information Server (IIS) Microsoft, патчи для исправления этого недостатка имеются на сайте производителя. Вирус записывается в директорию Windows, после чего рассылает письма по всем адресам из базы данных почтового клиента.
Министр юстиции США считает, что нет оснований связывать появление нового вируса с недавними террористическими актами в США, однако, он признал, что последствия Nimda могут быть хуже, чем от Code Red, нанесшего ущерб в размере $2,4 млрд.
Источник: CNews
11.09.01 В Интернет замечен "троянский конь" Remote Shell для Linux-компьютеровюАнглийская фирма Qualys, специализирующаяся на услугах по оценке защищенности информационных систем, сообщила о появлении в Интернет вируса Remote Shell, который относится к классу "троянских коней" и поражает компьютеры с ОС Linux. По мнению Qualys, появился этот вирус в Великобритании, а по своим характеристикам он аналогичен вирусу Back Orifice, который, правда, "работает" с Windows-компьютерами. Qualys также считает, что Remote Shell через некоторое время может "затмить Code Red". Напомним, что эпидемия Интернет-червя Code Red началась в середине июля и, возможно, до сих пор не закончилась, но она уже обошлась миру в 2,6 млрд дол.
Правда, специалисты антивирусного исследовательского центра компании Symantec не разделяют "оптимизма" Qualys относительно перспектив Remote Shell. И с ними солидарны и другие специалисты по вирусам. Они заявляют, что упомянутый вирус не сможет распространяться со сколько-нибудь значительной скоростью, поскольку в нем нет механизма самокопирования, каковой есть во всех Интернет-червях, в том числе в вирусе-черве Lion, заражающем Linux-серверы.
Однако Qualys полагает, что Remote Shell может распространяться в ничем не примечательных письмах электронной почты, а, заразив Linux-компьютер этот "троянский конь" устанавливает в системе "черный ход", Через этот ход злоумышленник может подключаться к UDP-порту с номером 5503 и выше и получать контроль над системой. После заражения компьютера "троянец" Remote Shell посылает сообщение об этом на один английский хакерский Web-сайт, где хакеры и получают списки зараженных компьютеров, подготовленных к вторжению.
Компания Qualys уже проинформировала о вирусе Remote Shell Национальную службу криминальных расследований Великобритании (National Criminal Intelligence Service) и ФБР.
Пользователи могут проверить свои Linux-компьютеры на наличие "троянского коня" Remote Shell, скопировав бесплатную программу на сайте Qualys по адресу www.qualys.com/form_remoteshell.htm. С помощью этой же программы можно удалить этот вирус с компьютера.
Другие антивирусные компании тоже обновляют свои вирусные базы данных.
Е. Волынкина
(по материалам The Register)
Источник: Россия-Он-Лайн
10.09.01 Мечта для спамеров: обнаружено новое уязвимое место в Microsoft Exchange Server.Обнаружена новая в системе безопасности почтового сервера Microsoft Exchange. Она заключается в возможности несанкционированного получения полного списка почтовых зарегистрированных адресов при помощи определенным образом построенного HTTP-запроса. Одновременно злоумышленники могут получить "разведывательную" информацию, необходимую для использования других уязвимых мест системы. Читать, удалять или отправлять письма из чужих почтовых ящиков, хакеры, к счастью, не смогут.
Как сообщает Microsoft, для подобных атак уязвима единственная версия Exchange - Microsoft Exchange Server 5.5, причем только со включенной опцией Outlook Web Access (OWA), позволяющей пользователям Exchange забирать почту при помощи браузера вместо специальной программы. Последняя версия программы Microsoft Exchange Server 2000, хотя и использует OWA, от подобных атак защищена.
Источник: Компьюлента
10.09.01 Blue Code борется с Code Red.Специалисты из "Лаборатории Касперского", российского разработчика систем информационной безопасности, сообщили на днях об обнаружении Blue Code - очередной вредоносной программы, атакующей веб-серверы под управлением пакета Microsoft Internet Information Server (IIS). На данный момент компания получила несколько сообщений о фактах распространения данной вредоносной программы в Китае.
Подобно Code Red, Blue Code поражает IIS-серверы, однако для проникновения на них он использует другую брешь в системе безопасности этой платформы - Web Directory Traversal, которая была обнаружена в октябре 2000 г. Внедрение на целевой сервер происходит таким образом, что сначала червь получает доступ к его жесткому диску, загружает туда свой файл-носитель с ранее зараженного компьютера и затем запускает его. Файл-носитель червя создает в корневой директории диска C: несколько служебных файлов: SVCHOST.EXE, HTTPEXT.DLL и D.VBS. Имена первых двух файлов являются зарезервированными и принадлежат стандартным программам из поставки Windows 2000/NT. Таким образом, Blue Code пытается скрыть свое присутствие в системе.
Вредоносный файл SVCHOST.EXE регистрируется в разделе автоматической загрузки системного реестра Windows, так что червь будет активизироваться после каждой загрузки компьютера. В свою очередь, файл D.VBS предпринимает ряд действий, направленных на удаление из памяти активных копий червя Code Red и создание защиты от него. В частности, он находит и дезактивирует приложение INETINFO.EXE, отвечающее за предоставление доступа к ресурсам WWW сервера. Кроме того, Blue Code изменяет обработку специализированных HTTP-запросов, c целью нейтрализации возможных попыток проникновения на сервер червя Code Red. Таким образом Blue Code освобождает ресурсы компьютера для своих нужд.
Для своего дальнейшего распространения червь инициирует 100 активных процессов сканирования IP-адресов и пытается внедрить свою копию по описанному выше сценарию на найденные удаленные компьютеры. Такое обилие дополнительных процессов может существенно снизить производительности зараженного IIS-сервера. Blue Code также имеет неприятное побочное действие: с 10 до 11 утра по Гринвичу он проводит с зараженных компьютеров DoS-атаку (Denial of Service) на сервер www.nsfocus.com китайской компании, занимающейся вопросами информационной безопасности.
Западные эксперты пока затрудняются сказать, является ли Blue Code новым вирусом или всего лишь модификацией пресловутого "Красного кода". Ущерб, нанесенный вирусом Code Red в июле-августе этого года оценивается в $2,4 млрд., согласно данным компании Computer Economics. Процедуры защиты от Blue Code уже включены в ежедневное обновление "Антивируса Касперского".
Источник: CNews
08.09.01 Новый троян угрожает пользователям Linux.Компании, специализирующиеся на вопросах безопасности, предупреждают пользователей Linux о новом опасном трояне, который, скорее всего, исходит из Великобритании.
Новый вирус имеет возможности самовоспроизведения и имеет сходство с windows-утилитой Back Orifice, позволяя удаленно контролировать систему.
Так называемый Remote Shell Trojan распространяется через e-mail, а также размножается на зараженной системе. Вирус отслеживает соединения с портом UDP 5503 или выше, и позволяет злоумышленникам соединяться и контролировать зараженную систему. Троян наиболее опасен, если запускается привилегированным пользователем, так как получает права пользователя, позволяющие вирусу иметь полный доступ ко всей системе.
Наличие источника вируса в Великобритании доказывается тем, что при заражении системы, троян обращается к веб-сайту в этой стране. Накопление у хакеров данных о зараженных системах позволит им проводить распределенные Dos-атаки.
Вирус может получить большее распространение, чем Code Red, так как более 58% веб-сайтов в мире используют серверы Apache, для которых Linux – самая популярная платформа. Заражению вирусом Code Red были подвержены системы на платформе Windows NT, которые составляют всего 25% веб-серверов. Таким образом, эпидемия трояна Remote Shell может быть более опасной, чем недавно прошедшая эпидемия Code Red.
Источник: Компьюлента