Появилась новая модификация червя Sasser

Антивирусная компания Symantec обнаружила в интернете новую модификацию печально известного червя Sasser. Как и предшествующие варианты, Sasser.G при распространении использует уязвимость в локальной подсистеме аутентификации пользователей операционных систем Windows 2000 и ХР. Червь записывает себя в директорию Windows под именем avserve3.exe или wserver.exe и регистрируется в ключе автозапуска реестра. Далее вредоносная программа открывает FTP-сервер на порте 5554 и осуществляет сканирование произвольных IP-адресов в поиске уязвимых машин. Подробное описание червя Sasser.G ищите здесь.

Вирусы для следующей ОС Microsoft пишут заранее

Разработчики систем информационной безопасности констатировали появление первого вируса, предназначенного для 64-битной платформы Windows. Операционной системы, для которой предназначен этот вредоносный код, еще не существует, но, по заявлению специалистов, и на новой платформе вирусы будут представлять весьма серьезную опасность.

Компания Symantec, производящая антивирусное программное обеспечение, объявила об обнаружении концептуального вируса, предназначенного для заражения 64-битной платформы Windows. Новый вирус получил обозначение W64.Shruggle. "Обнаруженный код представляет собой экспериментальную разработку и не распространяется самостоятельно, - заявил Альфред Хугер (Alfred Huger), старший директор по вопросам безопасности компании Symantec. Показателен сам факт того, что создатели вирусов уже ведут разработки под 64-битную платформу".

По словам г-н Хугера, код вируса был получен специалистами его компании от участников интернет-форума по вопросам обеспечения информационной безопасности. Вирус W64.Shruggle предназначен для платформы, которую корпорация Microsoft только готовит к выпуску. В 32-битной среде Windows, к которой относятся Windows 2000 и Windows XP, вирус функционировать и размножаться не может.

Ряд разработчиков уже ведёт работы над созданием 64-битных приложений для будущей версии Windows, однако до конечных продуктов еще далеко. Производители 64-битных процессоров уже интегрировали в поставляемые на рынок устройства функции усиленного режима безопасности для Windows-платформ.

За последнее время было выявлено сразу несколько концептуальных вирусов для различных платформ - в частности, для получающих широкое распространение смартфонов на базе Symbian и Windows CE.

Пароли вкладчиков воровали через ложные сайты

Немецкие Postbank и Deutsche Bank заявили, что многие их клиенты стали за последнее время жертвами мошенников.

Использованная злоумышленниками техника не является новой: они сделали web-сайты, имитирующие настоящие страницы банков в интернете, а затем разослали письма клиентам банков с просьбой указать их личные пароли и коды доступа. Полученная информация послужила основой для совершения сделок от лица обманутых клиентов.

Представитель Deutsche Bank заявил: "У нас нет полномочий, чтобы запрещать рассылку подобных писем". Также представители двух банков предупреждают своих клиентов об опасности и призывают сообщать о любых случаях мошенничества.

В выходные полиция помогла Postbank закрыть сайт злоумышленников - postbanks.info, а к воскресному полудню был закрыт и фальшивый сайт Deutsche-bnk.info.

Представители Postbank от комментариев отказались. Ни одна из компаний не сообщила сумму причиненного ущерба.

Кражи денег с использованием подобного подхода, согласно исследованиям Gartner, только в прошлом году стоили вкладчикам банков около $1,2 млрд.

Вирус как инструмент для кражи данных

Каждый писатель вирусов с повышенным самомнением вынашивает планы преступления, направленного на самый драгоценный продукт эпохи информатизации – персональные данные.

Преступник может заразить компьютер вирусом, устанавливающим программу «троянский конь», который затем посылает данные с вашего компьютера хозяину вируса. Если на компьютере содержатся данные о ваших счетах, то преступник сможет снять деньги с ваших банковских счетов и открыть кредитные карты под вашим именем.

По данным Федеральной торговой комиссии США, число интеллектуальных преступлений по краже персональных данных в Америке растет самыми быстрыми темпами. В 2003 году 380000 американцев заявили о краже данных о своей идентификации, а американские компании потеряли из-за такого рода преступлений 25 миллиардов долларов. Это число составило почти половину (43%) всех жалоб, которые получила торговая комиссия.

Если у вас на жестком диске есть файлы, содержащие важные данные, зашифруйте их. Даже если вирус прорвется сквозь антивирусную программу, то все, что он сможет украсть – это файл, который преступник не сможет прочитать. Киберпреступники, как и преступники реального мира, ищут легкие пути. Шифрование файлов с важными данными значительно усложняет задачу доступа к информации.

Касперский: Если террористы возьмутся за дело, остановить их будет невозможно

24 августа на пресс-конференции в РИА "Новости" известный специалист по борьбе с вирусами и один из руководителей компании "Лаборатория Касперского" Евгений Касперский разразился новыми мрачными пророчествами.

Первым делом Касперский объявил, что в ближайший четверг он ожидает атаку террористов на интернет. "Недавно появилась информация , что определенными исламскими группировками 26 августа объявлено Днем электронного джихада", - сказал он .

Перспектива, как утверждают, нас ждёт безрадостная. "Интернет может прекратить свою работу на несколько часов", - сказал присутствовавший на пресс-конференции Александр Гостев, ещё один эксперт по антивирусам из "Лаборатории Касперского". Нечто подобное случалось только один раз: в январе 2003 года, во время эпидемии червя Slammer. Правда, если Slammer просто перегрузил Сеть своим распространением, то "террористические вирусы" Касперского будут преднамеренно атаковать сайты, вызвавшие недовольство у создателей вредоносных программ.

Сообщение Касперского не подтверждается другими источниками. Компании специализирующиеся на компьютерной безопасности, пока молчат, и даже на сайте самой "Лаборатории Касперского" о якобы грядущем электронном апокалипсисе нет ни слова. Исполнительный директор компании Dr. Web, с которым связалась "Лента.ру", сообщил, что впервые слышит об этой атаке и усомнился в вероятности изложенного Касперским сценария развития событий.

Гостев и сам признаёт, что достоверность этого сообщения может вызывать сомнения. "Ее достоверность оценить сложно, - сказал он на пресс-конференции и добавил, - Мы оцениваем те возможности и те средства, которыми обладают террористы, и они вызывают наши опасения".

Вероятно, Касперский и Гостев обладают какой-то недоступной другим информацией. Даже если террористы и строят планы подобного рода, они их не афишируют. До сих пор ни один известный вирус не имел "террористического" происхождения. Большинство крупномасштабных вирусных эпидемий - дело рук компьютерных хулиганов. Характерный пример: ответственность за 70% всех заражений компьютерными вирусами в 2004 году несет восемнадцатилетний немец, который изготовил вирусы Netsky и Sasser.

Тем не менее, "Лаборатория Касперского" уже рассказывает, как будет проходить атака. Во-первых, пострадают США, Западная Европа и Япония (последнюю, правда, вирус пощадит, и большого ущерба японцам не будет). Афганистан и другие страны, в которых интернет непопулярен, останутся невредимы. Во-вторых, частным пользователям вирус не очень опасен. Другое дело - государственные органы и крупные компании. Их работа будет парализована вирусной DDoS-атакой на некоторые сайты, уверяет Касперский и тут же успокаивает всех, что российским военным объектам такая опасность не грозит, так как они, по его выражению, "находятся на значительном удалении от интернета".

Кроме панических заявлений о террористической атаке на интернет, которая якобы состоится в четверг, Касперский рассказывал о миллиардах долларов, которые зарабатывают кибербандиты в интернете, о программах-шпионах, охотящихся за банковскими счетами, и прочих виртуальных ужасах, про которые, впрочем, мы от него не раз уже слышали.

Microsoft предлагает руководство по SP2-совместимости

Microsoft выпустила самоучитель для ИТ-профессионалов, оценивающих совместимость своего ПО с Windows XP Service Pack 2.

Опасения системных администраторов и ИТ-менеджеров по поводу того, что их корпоративные приложения могут оказаться несовместимымм с XP SP2, уже привели к отказу некоторых предприятий от обновления. Чтобы вернуть пользователей на верный путь и понизить артериальное давление разработчиков, Microsoft выпустила руководство по проверке ПО на совместимость.

Документ, который можно скачать из Microsoft Download Center, призван помочь системным администраторам «выявить и решить проблемы совместимости приложений». Microsoft добавляет, что руководство предназначено для сетей любого размера и «подходит как для одноранговых сред, так и для сред Active Directory».

Легким чтением руководство объемом свыше 100 страниц не назовешь. В нем перечислены те изменения, которые SP2 может привнести в машины под Windows ХР, способы выявления проблем несовместимости и способы устранения этих проблем. Кроме того, руководство содержит два возможных пути установки для тех, кто не знает, как развернуть сервиспак на своем предприятии.

Microsoft предупреждает: «Повышенная степень защиты сетевой среды (которую обеспечивает SP) может привести к тому, что легитимные приложения или функции не будут работать ожидаемым образом… а приложения, не отвечающие требованиям этой усиленной защиты, могут проявлять признаки несовместимости».

Руководство дает советы по реконфигурированию ХР с целью облегчения условий совместимости приложений, но добавляет: «Эта процедура не рекомендуется, но в краткосрочной перспективе может оказаться необходимой». Однако линия партии Microsoft заключается в том, что винить во всем надо приложения, а не операционную систему, и что когда администраторы закончат все операции, параметры безопасности должны оставаться на самом высоком уровне.

Microsoft хорошо известно, что SP2 может привести к необходимости исправлять приложения — софтверный гигант уже опубликовал список примерно из 50 программ, которые после установки сервиспака будут казаться неработающими, и выпустил поправку, позволяющую ее собственному ПО CRM (customer relationship management) работать после перехода на SP2.

Для POS-терминалов и не только

Как сообщают специалисты компании "Икос", в середине сентября на российском рынке появится процессорная плата POS-380 компании ICP Electronics. Несмотря на то что новая плата предназначена для торговых терминалов, она, как и ее предшественницы (POS-370, POS-566, POS-EDEN-400, POS-478), может использоваться в качестве платформы промышленных компьютеров. POS-380, разработанная с применением набора микросхем VIA CLE266, поддерживает работу с процессорами VIA C3 и Intel Tualatin Pentium III/Celeron с частотой системной шины до 133 МГц. Два разъема DDR 200/266 SDRAM обеспечивают возможность установки до 2 Гбайт оперативной памяти. Для высокоскоростного обмена данными с внешними устройствами служат интегрированные порты USB 2.0, предоставляющие возможность "горячего" включения устройств без перезагрузки системы. Поддерживаются также интерфейсы Gigabit и 10/100-megabit Ethernet, TTL-каналы дискретного ввода/вывода, имеется один 32-разрядный слот расширения PCI.

Повышение локальных привилегий в FIDOGATE

Программа: FIDOGATE 4.4.9 Опасность: Низкая Наличие эксплоита: Нет Описание: Уязвимость обнаружена в FIDOGATE. Локальный пользователь может создать или записать файлы с привилегиями учетной записи ‘news’. Локальный пользователь может установть LOGFILE переменную среды к произвольному имени файла и затем вызвать некоторые set user id (setuid) 'news' FIDOGATE программы, чтобы создать или добавить данные к определенному файлу. Локальный пользователь может эксплуатировать эту уязвимость, чтобы получить поднятые привилегии на системе. Уязвимость расположена в '/src/common/log.c'. URL производителя: http://www.fidogate.org/ Решение:Исправление доступно через CVS: http://cvs.sourceforge.net/viewcvs.py/fidogate/fidogate/

Удаленный отказ в обслуживании в Music daemon

Программа: Music daemon 0.0.3 Опасность: Высокая Наличие эксплоита: Да Описание: Уязвимость обнаружена в Music daemon. Удаленный пользователь может просматривать произвольные файлы на целевой системе. Удаленный пользователь может также аварийно завершить работу демона. Программа не аутентифицирует команды, представленные пользователем. Удаленный пользователь может подключиться к целевой системе и, используя команду LOAD (например 'LOAD /etc/shadow') следующую за командой SHOWLIST, чтобы просматривать произвольные файлы с привилегиями процесса Music daemon (root по умолчанию). Удаленный пользователь может также подключится к системе используя команду LOAD на программе на целевой системе (типа '/bin/cat') и затем используя команду SHOWLIST, чтобы аварийно завершить работу Music демона. Пример/Эксплоит: См. Источник сообщения. URL производителя: http://musicdaemon.sourceforge.net/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Проблема аутентификации при входе в систему в Hitachi Job Management Partner

Программа: Hitachi Job Management Partner Опасность: Не известно Наличие эксплоита: Нет Описание: Уязвимость обнаружена в Hitachi Job Management Partner в FTP сервере. Воздействие не раскрывается. Hitachi предупреждает об уязвимости в JP1/File Transmission Server/FTP (на HP-UX). Сообщается, что "может произойти проблема аутентификации при входе в систему”, когда используется доверенный режим в HP-UX. Дополнительные подробности не раскрываются. URL производителя:http://www.hitachi-support.com/security_e/vuls_e/HS04-004_e/index-e.html Решение:Исправление доступно: http://www.hitachi-support.com/security_e/vuls_e/HS04-004_e/01-e.html

Удаленный доступ к базе данных в WWWguestbook

Программа: WWWguestbook 1.1 Опасность: Средняя Наличие эксплоита: Да Описание: Уязвимость обнаружена в WWWguestbook. Удаленный пользователь может загрузить базу данных. Удаленный пользователь может использовать следующий URL, чтобы напрямую загрузить базу данных гостевой книги: http://[target]/path_of_guestbook/db/dbase.mdb База данных содержит имя пользователя и пароль администратора. Пример/Эксплоит: URL производителя: Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Compulsive Media News

Программа: Compulsive Media News 1.2 Опасность: Средняя Наличие эксплоита: Да Описание: Уязвимость обнаружена в Compulsive Media News. Удаленный пользователь может загрузить базу данных. Удаленный пользователь может напрямую загрузить базу данных новостей, которая включает имя пользователя и пароль администратора. Пример/Эксплоит: http://[target]/news/news.mdb http://[target]/news.mdb URL производителя: http://www.compulsive.co.uk/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Удаленное внедрение SQL команд в Ulog-php

Программа: Ulog-php до версии 0.8.2 Опасность: Средняя Наличие эксплоита: Нет Описание: Уязвимость обнаружена в Ulog-php. Удаленный пользователь может внедрить SQL команды. Программа не проверяет данные, введенные пользователем в 'proto' параметре. В результате удаленный пользователь может внедрить SQL команды, которые будут выполнены на основной базе данных. URL производителя: http://www.inl.fr/article.php3?id_article=7 Решение:Установите обновленную (0.8.2) версию программы: http://www.inl.fr/download/ulog-php-0.8.2.tar.gz

Удаленный отказ в обслуживании в Davenport WebDAV SMB gateway

Программа: Davenport WebDAV SMB gateway до версии 0.9.10 Опасность: Средняя Наличие эксплоита: Нет Описание: Уязвимость обнаружена в Davenport WebDAV SMB gateway. Удаленный пользователь может вызвать условия отказа в обслуживании. Удаленный пользователь может послать специально сформированные записи или послать чрезмерно длинный XML документ, чтобы заставить целевую службу использовать все доступные системные ресурсы при обработке этого документа. URL производителя: http://davenport.sourceforge.net/ Решение:Установите обновленную версию (0.9.10): http://sourceforge.net/project/showfiles.php?group_id=78146

Удаленный отказ в обслуживании в Bird Chat

Программа: Bird Chat 1.61 Опасность: Средняя Наличие эксплоита: Да Описание: Уязвимость обнаружена в Bird Chat. Удаленный пользователь может вызвать условия отказа в обслуживании. Удаленный пользователь может создать несколько подложных пользователей и подключится к целевому серверу, чтобы аварийно завершить работу всех подключенных chat клиентов. Пример/Эксплоит: http://www.autistici.org/fdonato/poc/BirdChat[161]DoS-poc.zip URL производителя: http://birdchat.sourceforget.net/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.