Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта

Безопасность систем, сетей, бизнеса

Управление Р по-индийски

15 сентября в Бангалоре начнет работать первый полицейский участок, который будет заниматься исключительно киберпреступлениями, подпадающими под принятый в Индии в прошлом году закон об информационных технологиях.

Основная задача полицейского участка немедленное реагирование и раскрытие киберпреступлений, таких как компьютерные атаки, повреждение данных и Интернет-мошенничество. Местные отделения полиции продолжат принимать заявления потерпевших, а также проводить расследования по фактам информационных преступлений. Полицейский участок по киберпреступлениям (CCPS) будет принимать заявления от пострадавших на специально созданном для этого сайте.

Как веревочке ни виться

Гигантская электронная сеть, занимающаяся мониторингом электронных коммуникаций по всему миру, более известная как Эшелон, действительно существует. К такому выводу пришел Европарламент в результате рассмотрения окончательного варианта отчета о деятельности этой шпионской сети. Первоначальный вариант 130-страничного отчета был представлен Евросоюзу еще в мае. Теперь же парламентарии, ознакомившись с ним, смогли выразить свое отношение к отчету большинство проголосовало за принятие 44 рекомендаций, выработанных специальной комиссией Союза, занимавшейся исследованием вопроса более года.

В отчете утверждается, что Эшелон является своего рода совместным предприятием, патронируемым правительствами США, Англии, Канады, Австралии и Новой Зеландии. По выражению председателя комиссии Герхарда Шмида (Gerhard Schmid), Эшелон засасывает электронную информацию как пылесос. Это утверждение основывается на солидной доказательной базе, собранной комиссией в ходе расследования. Поиск нужной информации ведется по ключевым словам, на основе которых и отфильтровывается необходимая информация, передаваемая затем электронным путем. Шмид также заявил, что, несмотря на связываемые с Эшелоном опасениями нарушения неприкосновенности личной информации, основная деятельность системы направлена на борьбу против организованной преступности, терроризма и наркоторговли.

В отчете содержатся рекомендации в адрес Евросоюза вступить в переговоры с США на предмет введения законов по охране личной информации, аналогичных действующим на территории стран-членов Союза. Также, во избежание утечки личной информации, всем ведомствам Союза рекомендовано пересмотреть свои системы шифрования и механизмы передачи открытой информации.

Компания Trend Micro сообщила о получении патента на программную технологию определения вирусного кода в компьютерных программах, написанных на Java. В последнее время повысился риск распространения вирусов через Java-апплеты, загружаемые из Интернет. Java сейчас приходит на мобильные телефоны, и поставщики услуг беспроводной связи признают, что есть необходимость в увеличении безопасности.
Trend Micro объявила, что запатентованная технология дает возможность сканировать Java-апплеты на вирусы, равно как и другие приложения, пересылаемые в сети, такие как Active X. Также компанией была решена проблема поиска вирусов в мобильных телефонах, где производить сканирование в реальном времени значительно труднее, нежели на ПК (из-за нехватки ОП).
http://www.Sota1.ru

Computer Economics оценивает экономические потери по всему миру от воздействия компьютерных вирусов на ИТ-системы в $10,7 млрд. По оценке Computer Economics (по состоянию на конец августа 2001 г.), наиболее вредным вирусом был Code Red (более 1 млн заражений). Его экономический вред оценивается в $2,6млрд, из которых $1,1 млрд пришлись на чистку зараженных систем и восстановление их нормальной работоспособности. А воздействие данного вируса на производительность труда (пользователей, персонала поддержки, технического персонала и др.) оценивается в $1,5 млрд.

Вторым по своему вредоносному воздействию после вируса Code Red является Sircam (более 2,3 млн заражений), экономический вред от которого оценивается в $1,035 млрд ($460 млн расходы на чистку зараженных систем и $575 млн потери продуктивности персонала).
В 2000 г. Computer Economics оценивала экономические потери от компьютерных вирусов в $17,1 млрд, большая часть которых была вызвана вирусом I Love You (более $8,7 млрд). Вице-президент Computer Economics по исследованиям Майкл Эрбшлоу (Michael Erbschloe) считает, что к концу 2001 г. ущерб достигнет $15 млрд, и это при условии, что не появится новых разрушительных вирусов.
http://www.computereconomics.com/cei/news/codered.html

Более 20% пользователей домашних и офисных ПК из чувства любопытства открывают любой файл, прикрепленный к сообщению электронной почты (подвергаясь, тем самым, опасности заражения вирусами). Такой вывод содержится в отчете Are You Practicing Safe Computing компании Central Command. Для проведения исследования соответствующие вопросы были разосланы по электронной почте 750000 пользователей ПК по всему миру. Обратно вернулось около 12% заполненных анкет.

31% респондентов, использующих ПО Instant Messaging (IM), принимали и загружали подобные прикрепленные файлы за последние 6 месяцев (при этом 16% респондентов знали, что они получены неизвестно от кого). Из 72% респондентов, использующих электронную почту на работе, 38% заявили, что по личным причинам они применяют на работе альтернативные Web-ориентированные ящики для электронной почты (не доверяют внутрикорпоративным антивирусным средствам). Большинство респондентов не собираются как-то менять свое поведение в отношении защиты от вирусов. 41% респондентов пользуются антивирусным ПО (из них только 26% респондентов, по крайней мере, ежемесячно модернизируют данное ПО). Полные результаты исследованияопубликованы
по адресу http://www.centralcommand.com.

Дыры

Подразделение Network Associates выпустило заплатку к файрволу (межсетевому фильтру) под кодовым названием Gauntlet, что переводится дословно как мясорубка. В компоненте csmap, отвечающей за фильтрацию трафика сервиса обмена почтой SMTP, была обнаружена дыра, позволяющая превратить в фарш сервер, защищаемый Gauntlet. Возможность переполнения в адресе электронной почты позволяло добавить к адресу машинный код, который мог быть исполнен на сервере. Уязвимости подвержены Gauntlet 5.0, 5.5 и 6.0 для Solaris и HP-UX, а также линия устройств Web Shield. В прошлом году аналогичная дыра была найдена в системе после встраивания в нее Cyber Patrol от компании Mattel.

Полиция утверждает, что криминальные группировки используют Сеть для вербовки в свои ряды новых членов. За последние годы число сайтов, так или иначе относящихся к миру криминала, возросло до десятков тысяч.

По словам Чака Зеглина (Chuck Zeglin), детектива из лос-анжелесской полиции, от 20 до 30% сайтов находится в руках непосредственных членов различных преступных группировок. Он же сообщает, что на сайте одной из группировок в Кентукки есть иконка, на которую надо кликнуть, если ты хочешь стать членом группировки и заполнить резюме по всей форме.

Такие сайты занимаются пропагандой насилия и воспитанием своей смены, обеспечивая тинейджерам возможность связи с представителями группировок, однако преследовать их по суду практически невозможно, т.к. они находятся под защитой конституционной поправки, гарантирующей свободу слова. Единственное, что может полиция, это собирать с сайтов информацию об активности группировок, местах их встреч и времени их проведения.

В Германии начался первый судебный процесс по делу о продаже человеческих органов в Интернет, сообщает Yahoo!Actualites. Обвиняемый, 19-летний гражданин Германии русского происхождения, опубликовал на одном из аукционов объявление о продаже собственной почки за 51,1 тыс. евро. Почка так и не нашла своего покупателя.

Власти обвиняют молодого человека в нарушении закона о трансплантации органов. Обвиняемый отрицает свою вину и утверждает, что он не публиковал этого объявления, и что оно было опубликовано от его имени третьими лицами. Судья заявил, что для обвинения не хватает улик, однако не закрыл дело, поскольку это означало бы, что правосудие отступило перед очередным киберпреступлением. Объявление было замечено в Интернет немецким журналистом еще в феврале, он и обратил на него внимание полиции.

Обнаружены вирусы

Полиморфный Интернет-червь Cuervo. Он заражает только компьютеры под управлением ОС MS Windows 95/98/ME с установленным Internet Explorer 5.0. Червь доставляется на компьютер в сообщениях электронной почты, которые не имеют постоянных признаков (тема, имя вложенного файла, тело письма). Кроме того, программный код Cuervo обладает полиморфными свойствами и также не имеет постоянного вида. Код вредоносной программы содержится одновременно в двух частях зараженного письма: невидимой подписи (в виде HTML-скрипта) и вложенном файле. Оба варианта червя используют хорошо известную брешь в системе безопасности Internet Explorer (Scriptlet.TypeLib). Если на компьютере не установлена заплатка, устраняющая данную брешь, то первый вариант Cuervo проникает в компьютер непосредственно в момент чтения письма. Такой метод ранее использовался Интернет-червями KakWorm, BubbleBoy и рядом других. Второй вариант червя активизируется, только если пользователь собственноручно запустит вложенный файл. Будучи запущенным, червь инициирует процедуру внедрения в систему и распространения. Главная особенность Cuervo использование сразу двух способов массовой рассылки с зараженных компьютеров. Во-первых, подобно другим Интернет-червям, он получает доступ к почтовой программе Outlook и отсылает свои копии по электронной почте. Во-вторых, он ищет на доступных дисках почтовые базы данных, собирает найденные в них e-mail адреса и отправляет их стандартным HTTP-запросом на удаленный Web-сайт. Там пакет автоматически обрабатывается, и по всем найденным адресам направляется еще одна копия Cuervo. Среди других побочных действий червя следует отметить изменение на зараженных компьютерах стартового адреса Internet Explorer на пустую страницу. Через 4 дня стартовый адрес снова меняется на http://www.freedonation.com. Подробную информацию см. в Вирусной Энциклопедии Касперского: http://www.viruslist.com/viruslist.asp?id=4366&key=000010001 40000100090.
Заплатку для Internet Explorer можно загрузить с сайта: http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/security/bulletin/ms99-032.asp.

W32/Apost.A (алиас W32/Review) это вирус-червь, написанный на языке Visual Basic 6. Вирус распространяется по электронной почте с помощью MS Outlook. При исполнении вирус отображает сообщение, означающее ошибку в WinZip. Это сообщение является ложным и предназначено, чтобы сбить с толку пользователя. Если пользователь кликнет на OK, то вирус разошлет свои копии по всем адресам в адресной книге MS Outlook. После отправки данные сообщения (зараженные вирусом) удаляются из папки Sent Items.
oxygen3@pandasoftware.com

W32/Magistr.B@mm, являющийся опасным вариантом вируса-червя Disemboweler (алиас Magistr).

В нем использован существенно переработанный алгоритм шифрования кода вируса.
Эту модификацию характеризуют опасные побочные действия, а также значительно переработанные процедуры распространения вируса по локальной сети и электронной почте.

Помимо уничтожения всех файлов на локальных и сетевых дисках, сброса данных в памяти CMOS (аппаратные параметры загрузки компьютера) и порчи содержимого микросхемы flash BIOS, Magistr.b перезаписывает файлы-загрузчики ОС WIN.COM и NTLDR, так что при следующих перезагрузках компьютера все данные на локальных и сетевых дисках будут удалены. В процессе поиска целевых файлов для внедрения в них своих копий вирус также уничтожает файлы с расширением .NTZ. Если на компьютере обнаружена программа ZoneAlarm (персональный межсетевой экран), то она автоматически отключается (через FindWindow с помощью команды WM_QUIT).

Вирус Magistr.b распространяется в сообщениях электронной почты со случайными темой и телом сообщения. Данные тексты выбираются произвольно из файла на жестком диске. Рассылаемый инфицируемый файл может иметь одно из следующих расширений: PIF, COM, BAT и EXE. К сообщению электронной почты с зараженным файлом могут быть также прикреплены другие файлы с расширениями DOC, TXT, INI или GIF.

Чтобы получить адреса электронной почты для последующей рассылки своих копий, Magistr.b сканирует базы данных почтовых программ Eudora, Outlook Express, Netscape Messenger, Internet Mail и адресную книгу Windows. Фактически, вирус пытается найти файлы с расширением WAB (адресная книга), а также файлы с расширениями DBX и MBX (базы данных сообщений).
Данный полиморфный вирус заражает все исполняемые PE-файлы, найденные им в системе. Однако файлы с расширениями EXE и SCR не будут заражены, если название файла начинается со строки grpc.

Вирус обычно зашифровывает зараженные файлы путем выполнения операции XOR. Для этого он использует название зараженного компьютера. Вследствие этого зараженный файл не исполняется на других компьютерах. Если пользователь попытается исполнить файл, то он будет немедленно блокирован. Кроме того, во время поиска файлов с вышеуказанными расширениями вирус повреждает файлы с расширением .NTZ.

Вирус также ищет файлы WIN.INI и SYSTEM.INI (для того чтобы обеспечить свое исполнение во время загрузки) в следующих каталогах: WINNT, WINDOWS, WIN95, WIN98, WINME, WIN2000, WIN2K и WINXP.

http://service.pandasoftware.es/servlet/panda.pandaInternet. EntradaDatosInternet?operacion= FichaVirus&idVirusFicha= 2121&pestanaFicha=1

Blue Code, атакующий Web-серверы под управлением пакета MS Internet Information Server (IIS) подобно Code Red. Он поражает IIS-серверы, используя другую брешь в системе безопасности этой платформы Web Directory Traversal, которая была обнаружена в октябре 2000 г. Внедрение на целевой сервер происходит таким образом, что сначала червь получает доступ к его жесткому диску, загружает туда свой файл-носитель с ранее зараженного компьютера и затем запускает его. Файл-носитель червя создает в корневой директории диска C: несколько служебных файлов: SVCHOST.EXE, HTTPEXT.DLL и D.VBS. Имена первых двух файлов являются зарезервированными и принадлежат стандартным программам из поставки Windows 2000/NT. Именно так Blue Code пытается скрыть свое присутствие в системе. Вредоносный файл SVCHOST.EXE регистрируется в разделе автоматической загрузки системного реестра Windows, так что червь будет активизироваться после каждой загрузки компьютера. В свою очередь, файл D.VBS предпринимает ряд действий, направленных на удаление из памяти активных копий червя Code Red и создание защиты от него. В частности, он находит и дезактивирует приложение INETINFO.EXE, отвечающее за предоставление доступа к ресурсам Web-сервера. Кроме того, Blue Code изменяет обработку специализированных HTTP-запросов c целью нейтрализации возможных попыток проникновения на сервер червя Code Red. Таким образом, Blue Code освобождает ресурсы компьютера для своих нужд.

Для своего дальнейшего распространения червь инициирует 100 активных процессов сканирования IP-адресов и пытается внедрить свою копию по описанному выше сценарию на найденные удаленные компьютеры. Такое обилие дополнительных процессов может существенно снизить производительности зараженного IIS-сервера. Blue Code также имеет неприятное побочное действие: с 10 до 11 утра по Гринвичу он проводит с зараженных компьютеров DoS-атаку (DenialofService)насервер www.nsfocus.com китайской компании, занимающейся вопросами информационной безопасности.

Эксперты пока затрудняются сказать, является ли Blue Code новым вирусом или всего лишь модификацией пресловутого Красного кода.

Интернет-червь Lara, распространяющийся в файлах оформления рабочего стола (Desktop Themes). Lara передается исключительно по каналам IRC (Internet Relay Chat), передавая на удаленные компьютеры файл-носитель червя LaraCroft.theme. Имя файла вводит пользователей в заблуждение, маскируясь под схему оформления рабочего стола Windows по сюжету популярного фильма с одноименной героиней в главной роли. В действительности, после запуска инфицированного файла Lara сканирует доступные диски, определяет местонахождение программы для общения по IRC (mIRC-клиента) и модифицирует ее системные файлы. В результате червь посылает свои копии всем пользователям, подключившимся к тем же каналам, что и зараженный компьютер. Никаких других побочных действий у данной вредоносной программы нет.

Более подробно см. в Вирусной Энциклопедии Касперского: http://www.viruslist.com/viruslist.asp?id=4368&key= 00001000140000200018.

КОМПЬЮТЕР-ИНФОРМ
Главная страница || Статьи 16'2001 || Новости СПб || Новости России || Новости мира

Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка

Рассылка анонсов газеты по электронной почте

Главная страница