1.Троянец Inwi (Trj/Inwi) вставляет новые записи в реестр Windows,
посредством чего изменяет настройку браузера MS Internet Explorer, в том числе
домашнюю страницу. Inwi вносит изменения в систему для того, чтобы запускаться
каждый раз, когда будут открываться файлы с расширением .EXE или .TXT. Также
он создает несколько файлов в зараженном компьютере, в которые включает копии
самого себя. Все эти действия имеют своей целью кражу информации с зараженного
компьютера, которая затем посылается на определенный адрес электронной почты.
2. Многокомпонентная программа Opasoft сочетает характеристики сетевого
червя и троянца. Он распространяется как внутри различных локальных сетей,
так и между ними. После проникновения на компьютер червь создает свою копию
в каталоге Windows с именем SCRSVR.EXE. Для обеспечения запуска при загрузке
ОС, Opasoft регистрирует этот файл в ключе автозапуска программ системного реестра,
а также модифицирует инициализационный файл WIN.INI.
Троянская компонента червя осуществляет несанкционированный удаленный контроль.
Вчастности, червь соединяется с Web-сайтом (http://www.opasoft.com),
загружает оттуда обновления Opasoft и выполняет на зараженном компьютере специальные
скрипт-программы. Этот сайт уже закрыт, поэтому описанная троянская функция
неработоспособна. При работе троянская компонента создает на компьютере два
дополнительных файла SCRSIN.DAT и SCRSOUT.DAT, в которые записывает свои временные
данные.
3. Многие черты Linux-червя Mighty выдают его сходство с предшественником,
сетевым червем Slapper. Вчастности, он также заражает компьютеры с установленной
ОС Linux и Web-сервером Apache, а также использует для проникновения брешь в
системе безопасности программного пакета OpenSSL. Более того, Mighty также частично
использует технологию распространения в исходных текстах: для обеспечения совместимости
со всеми версиями OpenSSL, одна из компонент червя (sslx.c, отвечает за проникновение
сквозь брешь в системе безопасности) перекомпилируется заново на каждом новом
компьютере. Помимо заражения системы, Mighty также устанавливает на нее backdoor-утилиту
(утилиту несанкционированного управления). Всвою очередь, она соединяется с
одним из каналов удаленного IRC-сервера, получает от него команды злоумышленника
и выполняет их на зараженной системе. Таким образом, может произойти утечка
конфиденциальной информации, порча важных данных, а также компьютер может использоваться
для проведения распределенных DoS-атак и других вредоносных действий.
Для предотвращения заражения этим вирусом рекомендуется установить последнюю
версию OpenSSL (для версий 0.9.7 beta, 0.9.6e и более ранних) и обновить базу
данных антивирусной программы.
4. Интернет-червь Tanatos распространяется по электронной почте и локальным
сетям и представляет собой приложение Windows размером около 50КБ (упаковано
утилитой сжатия UPX), написанное на языке программирования MS Visual C++. Червь
распространяется во вложенных файлах электронной почты, причем рассылаемые письма
имеют разные заголовки, тексты, имена вложений и даже форматы. Это обстоятельство
существенно затрудняет процесс идентификации зараженных писем по их внешним
признакам. Сравной вероятностью зараженные сообщения имеют обычный текстовый
или HTML-формат.
Впервом случае для активизации червя пользователю необходимо самостоятельно
запустить вложенный файл. Во втором случае, после доставки в почтовый ящик потенциальной
жертвы, Tanatos, после того как письмо будет прочитано (например, в панели предварительного
просмотра), незаметно заражает компьютер, используя брешь IFRAME в системе безопасности
Internet Explorer.
Для распространения по локальной сети червь перебирает все доступные сетевые
ресурсы, ищет на них каталоги автозапуска Windows и записывает туда свою копию,
которая выполняется затем при следующей перезагрузке системы. Данная функция
работоспособна только в случае, если на целевой машине установлены права записи
в упомянутый каталог.
После активизации Tanatos регистрируется в ключе автозапуска системного реестра
Windows, так что вредоносная программа будет активизироваться при каждой перезагрузке
Windows. Интересная особенность червя заключается в попытке закрыть активные
процессы большинства антивирусных программ и персональных брандмауэров.
Tanatos также содержит ряд троянских функций, что делает его исключительно
опасной программой, допускающей утечку конфиденциальных данных. Вчастности,
он устанавливает клавиатурный жучок (файл KEYLOGGER.DLL в системном каталоге
Windows), благодаря которому записывает в специальный файл весь набираемый текст
(в том числе и системные пароли). Вдополнение, на компьютер устанавливается
утилита несанкционированного удаленного управления, позволяющая злоумышленникам
полностью контролировать зараженный компьютер: принимать, передавать, копировать
и удалять файлы, запускать их на выполнение, принудительно завершать процессы
идр. Для осуществления этих операций червь незаметно открывает HTTP-сервер
и предоставляет хозяину Web-интерфейс для работы с зараженной системой.
Компания Oracle сообщила (http://otn.oracle.com/deploy/security/pdf/2002alert-43rev1.pdf)
об обнаружении уязвимого места в инструментеадминистрирования Web-кэша в сервере
Oracle9i Application Server 9iAS. Эта проблема есть в Oracle 9iAS, работающем
под MS Windows, и связана с обработкой определенных запросов. Если хакер создаст
такой запрос и пошлет его в модуль администрирования Web-кэша, реакция может
стать непредсказуемой и даже нарушить работу сервера администратора. Сервер
после такой атаки придется перезапускать. УOracle нет исправления для этой
дыры, поэтому рекомендуется использовать маршрутизаторы и брандмауэры для фильтрации
доступа к порту администратора Web-кэша. Также рекомендуется использовать функцию
Secure Subnets, имеющуюся в подверженном поражению модуле.
Исправлены:
•переполнение буфера в части кода SQL Server2000 (и MSDE2000), имеющей
отношение к идентификации пользователя;
•переполнение буфера в одной из Database Console Commands (DBCCs), которая
поставляется как часть SQL Server7.0 и 2000;
•уязвимое место в распределении заданий в SQL Server7.0 и 2000. SQL Server
позволяет непривилегированным пользователям создавать задания на исполнение
в SQL Server Agent.
Организация SecurityFocus сообщила
(http://online.securityfocus.com/archive/1/293569/)
об обнаружении возможности переполнения буфера в Winamp3, которое может позволить
хакеру исполнить свои команды в системах, где этот MP3-плейер установлен.
Переполнение буфера возникает в библиотеке wasabi.dll, которая обрабатывает
файлы .WAL, содержащие графику и конфигурационные файлы для скинов Winamp3.
Скины это файлы, позволяющие менять интерфейс. Хакер может сконструировать
скин таким образом, что когда пользователь попытается его установить, посредством
скина можно будет исполнять вредоносный код в системе. Пока патча для Winamp3
не выпущено, пользователям рекомендуется не загружать скины с неизвестного Web-сайта.
Десятка вирусов сентября по версии Panda Software
Место
Название вируса
%
1
W32/Klez.I
25,94 %
2
W32/Elkern.C
7,80 %
3
W32/Grade.A
6,91 %
4
W32/Nimda
6,78 %
5
W32/Dadinu
5,91 %
6
VBS/Grade.A
4,52 %
7
W32/Nimda.D
4,45 %
8
W32/Sircam
4,26 %
9
VBS/Help
4,20 %
10
W32/Magistr.B
3,95 %
Вирусная двадцатка за сентябрь ("Лабаратория Касперского")
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ. Свидетельство Эл 77-4461 от 2 апреля 2001 г. Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru
Компания Oracle сообщила (http://otn.oracle.com/deploy/security/pdf/2002alert-43rev1.pdf)
об обнаружении уязвимого места в инструментеадминистрирования Web-кэша в сервере
Oracle9i Application Server 9iAS. Эта проблема есть в Oracle 9iAS, работающем
под MS Windows, и связана с обработкой определенных запросов. Если хакер создаст
такой запрос и пошлет его в модуль администрирования Web-кэша, реакция может
стать непредсказуемой и даже нарушить работу сервера администратора. Сервер
после такой атаки придется перезапускать. УOracle нет исправления для этой
дыры, поэтому рекомендуется использовать маршрутизаторы и брандмауэры для фильтрации
доступа к порту администратора Web-кэша. Также рекомендуется использовать функцию
Secure Subnets, имеющуюся в подверженном поражению модуле.
КОМПЬЮТЕР-ИНФОРМ