Зміст:
Відео: Настя и сборник весёлых историй (Листопад 2024)
Зміст
- Цей черв’як хоче лише зцілити
- Top Threat W32 / Nachi.B-черв'як
- Топ-10 вірусів електронної пошти
- Топ-5 вразливостей
- Порада з безпеки
- Оновлення безпеки Windows
- Жаргон Бастер
- Стрічка новин безпеки
Цей черв’як хоче лише зцілити
Ми вперше були свідками вибуху MyDoom.A та подальшої атаки відмови в сервісі, яка за два тижні забрала веб-сайт операції Санта-Крус (sco.com). Потім з'явився MyDoom.B, який додав Microsoft.com як ціль DoS-атаки. Поки MyDoom.A помстився, MyDoom.B, як і фільм "B", був дурнем. За даними CTO Марка Суннера в MessageLabs, MyDoom.B мав помилки в коді, які спричинили його успіх лише в атаці ШОС 70% часу та 0% при атаці на Microsoft. Він також заявив, що "більше шансів прочитати про MyDoom.B, ніж зловити його".
Минулого тижня ми спостерігали вибух вірусів, що їхали на хвостиках MyDoom. Успішне захоплення сотень тисяч машин. Першим, хто потрапив на сцену, був Doomjuice.A (також його називають MyDoom.C). Doomjuice.A, не був іншим вірусом електронної пошти, але він скористався заднім числом, яке MyDoom.A відкрив на заражених машинах. Doomjuice завантажиться на інфіковану машину MyDoom, як і MyDoom.B, встановить та спробує здійснити DoS-атаку на Microsoft.com. За даними Microsoft, атака не негативно вплинула на них близько 9-ї та 10-ї, хоча NetCraft зафіксував, що сайт Microsoft в один момент був недоступний.
Експерти з антивірусу вважають, що Doomjuice - це робота того самого автора (авторів) MyDoom, оскільки він також викидає копію оригінального джерела MyDoom на машину жертви. Згідно з прес-релізом F-secure, це може бути способом для авторів висвітлення своїх треків. Він також випускає робочий файл вихідного коду для інших авторів вірусів для використання або модифікації. Отже MyDoom.A і MyDoom.B, як і Microsoft Windows та Office, тепер стали платформою для розповсюдження інших вірусів. Протягом останнього тижня ми спостерігали появу W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom - троянський варіант Proxy-Mitglieter, W32 / Deadhat.A і W32 / Deadhat.B, всі вони входять в задню панель MyDoom. Vesser.worm / DeadHat.B, також використовуйте мережу обміну файлами SoulSeek P2P.
12 лютого було виявлено W32 / Nachi.B.worm. Як і його попередник, W32 / Nachi.A.worm (також відомий як Welchia), Nachi.B поширюється, використовуючи вразливості RPC / DCOM та WebDAV. Не дивлячись на те, що вірус / черв’як, Nachi.B намагається видалити MyDoom та закрити вразливості. До п’ятниці, 13 лютого, Nachi.B потрапив на місце №2 у кількох списках загроз постачальників (Trend, McAfee). Оскільки він не використовує електронну пошту, він не відображатиметься в першому десятку списку вірусів електронної пошти MessageLabs. Запобігання зараженню Nachi.B те саме, що і для Nachi.A, застосуйте всі поточні виправлення безпеки Windows, щоб закрити вразливості. Перегляньте нашу топ-загрозу для отримання додаткової інформації.
У п’ятницю 13 лютого ми побачили ще один гарпун MyDoom, W32 / DoomHunt.A. Цей вірус використовує MyDoom.A backdoor і вимикає процеси та видаляє ключі реєстру, пов’язані з його ціллю. На відміну від Nachi.B, який тихо працює у фоновому режимі, DoomHunt.A спливає діалогове вікно, де проголошується "Черв'як для видалення MyDoom (DDOS RIAA)". Він встановлюється в папку Windows Windows як очевидний Worm.exe і додає ключ реєстру зі значенням "Видалити мене" = "черв'як.exe". Видалення - це те саме, що і будь-який хробак, зупиніть процес worm.exe, скануйте антивірус, видаліть файл Worm.exe та будь-які пов’язані з ним файли та видаліть ключ реєстру. Звичайно, переконайтеся, що ви оновили свою машину останніми виправленнями безпеки.
Поки немає можливості точно дізнатися, підрахунки становили від 50 000 до максимальних, ніж 400 000 активно заражених машинами MyDoom.A. Doomjuice міг розповсюджуватися лише за допомогою доступу до задньої двері MyDoom, тому незаражені користувачі не загрожували, а по мірі очищення інфекцій поле доступних машин знизиться. Однак одна небезпека полягає в тому, що поки MyDoom.A повинен був припинити свої DoS-атаки 12 лютого, у Doomjuice немає часу. Минулого тижня ми згадували про те, як бачились вибухи MyDoom.A у анімації MessageLabs Flash, і пообіцяли отримати її для всіх, щоб побачити. Ось .
На цьому тижні Microsoft оголосила про ще три вразливості та випустила патчі. Два - важливий пріоритет рівня, а один - критичний. Верхня вразливість включає бібліотеку кодів у Windows, яка є центральною для захисту веб-та локальних додатків. Для отримання додаткової інформації про вразливість, її наслідки та те, що вам потрібно зробити, дивіться наш спеціальний звіт. Інші дві вразливості стосуються служби Windows Internet Nameing Service (WINS), а інша - у версії Mac для Virtual PC. Додаткову інформацію див. У розділі оновлень безпеки Windows.
Якщо він схожий на качку, ходить як качка, і хитається, як качка, це качка чи вірус? Можливо, може, і ні, але AOL попереджав (рис. 1) користувачів не натискати на повідомлення, яке здійснювало раунди за допомогою Instant Messenger минулого тижня.
Повідомлення містило посилання, яке встановлює гру - Capture Saddam або Night Rapter, залежно від версії повідомлення (мал. 2). Гра включала BuddyLinks, вірусоподібну технологію, яка автоматично надсилає копії повідомлення всім у вашому списку приятелів. Ця технологія здійснює як вірусний маркетинг, так і автоматизовану рекламну кампанію, і надсилає вам рекламу, і може захопити (перенаправити) ваш браузер. Станом на п’ятницю, ігровий веб-сайт (www.wgutv.com), і сайт Buddylinks (www.buddylinks.net) не працювали, а компанія Buddylinks, заснована в Кембриджі, не повертала телефонні дзвінки.
Оновлення: Минулого тижня ми розповідали вам про підроблений веб-сайт "Не пишіть електронною поштою", який обіцяв скоротити спам, але насправді був колекціонером електронної пошти для спамерів. На цьому тижні історія Reuters повідомляє, що Федеральна комісія з торгівлі США попереджає: "Споживачі не повинні надсилати свої електронні адреси на веб-сайт, який обіцяє зменшити небажаний" спам ", оскільки це шахрайство". У статті йдеться про опис сайту та рекомендує, як і раніше, "зберігати свою особисту інформацію при собі - включаючи свою електронну адресу - якщо ви не знаєте, з ким маєте справу".
У четвер, 12 лютого, Microsoft з'ясувала, що частина її вихідного коду циркулює в Інтернеті. Вони простежили це до MainSoft, компанії, яка робить інтерфейс Windows-Unix для програмістів додатків Unix. MainSoft ліцензував вихідний код Windows 2000, зокрема частину, що стосується API (інтерфейс прикладної програми) Windows. Згідно з історією eWeek, код не є повним або компілюється. Хоча API Windows публікується добре, базовий вихідний код не є. API - це сукупність функцій коду та підпрограм, які виконують завдання операційної системи Windows, такі як розміщення кнопок на екрані, захист або запис файлів на жорсткий диск. Багато вразливості в Windows пов'язані з неперевіреними буферами та параметрами цих функцій. Часто вразливості пов'язані з передачею спеціально створених повідомлень або параметрів цим функціям, що призводить до виходу з ладу і відкриття системи для експлуатації. Оскільки більша частина коду Windows 2000 також включена до Windows XP та сервера Windows 2003, наявність вихідного коду може дозволити письменникам вірусів та зловмисним користувачам легше знаходити отвори у певних процедурах та використовувати їх. Незважаючи на те, що вразливості зазвичай ідентифікуються джерелами Майкрософт або сторонніми компаніями, перш ніж вони стають загальнодоступними, даючи час на випуск патчів, це може перетворити цю процедуру на голову, поставивши хакерів у змозі виявити та використовувати вразливості, перш ніж Microsoft їх знайде та виправить.