Новости:

Хакеры любят дураков

Linux.Ramen - опасный интернет-червь, атакующий серверы под управлением операционных систем Red Hat Linux 6.2 и Red Hat Linux 7.0, сообщает "ДиалогНаука". Первые сообщения о появлении данного червя были получены из стран Восточной Европы, что позволяет подозревать его восточноевропейском происхождении. Для своего размножения червь использует некоторые слабые места в приложениях этих операционных систем: Washington University's ftp server (wu-ftpd) и Remote Procedure Call stat server (rpc.statd) для Red Hat Linux 6.2 и LPRng (lpd) для Red Hat Linux 7.0. Указанные приложения обычно инсталлируются при установке операционной системы Red Hat Linux "по умолчанию" и без соответствующих "заплаток безопасности" уязвимы для применяемых червем атак. Червь представляет собой архив с именем "ramen.tgz", содержащий в себе 26 различных исполняемых файлов и shell-скриптов. Каждый исполняемый файл содержится в архиве в двух экземплярах: скомпилированный для запуска в Red Hat 6.2 и в Red Hat 7.0. Также в архиве содержится исполняемый файл с именем "wu62", который при работе червя не используется. При старте червь устанавливает на tcp-порт 27374 небольшой HTTP-сервер, который на любой запрос к нему отдает основной файл червя "ramen.tgz". Далее начинает работу скрипт start.sh, который определяет версию операционной Red Hat по наличию или отсутствии файла /etc/inetd.conf, копирует бинарные файлы, скомпилированные в соответствии с версией системы в файлы с именами, используемыми в дальнейшем для запуска из его скриптов, а затем запускает в фоновом, непрерываемом режиме три свои основные части:
- сканирование методом synscan подсетей класса В и определение активных хостов с Red Had Linux 6.2/7.0. Данное сканирование происходит в два этапа: сначала через запуск соответствующего исполняемого файла получается случайный адрес подсети класса B, а затем, через запуск другого файла производится последовательное сканирование всех хостов в этой подсети. Червь пытается соединиться с портом 21 (ftp) и произвести поиск некоторых подстрок в "строке приветствия", выдаваемой ftp-сервером. Ramen ищет фразу "Mon Feb 28", которая, якобы, принадлежит Red Hat 6.2, или "Wed Aug 9", принадлежащей Red Hat 7.0;
- попытка атаки на найденный хост через уязвимость в rpc.statd
- попытка атаки на найденный хост через уязвимость wu-ftpd и lpd
При успешной отработке одной из этих атак на атакуемом сервере выполняется следующая последовательность операций:
- создается каталог /usr/src/.poop;
- запускается текстовый браузер lynx с указанием соединиться с атакующим сервером на порт 27374 и сохранить всю информацию, отданную сервером в файл /usr/src./.poop/ramen.tgz;
- полученный файл с червем копируется в /tmp и распаковывается;
- запускается стартовый файл червя start.sh;
- на e-mail адреса gb31337@hotmail.com и gb31337@yahoo.com отправляется сообщение с темой, содержащей IP адрес атакованной машины, и телом письма: "Eat Your Ramen!".
Далее червь ищет в системе все файлы с именем "index.html" и заменяет их содержание на html-код, который выводит на экран следующий текст:
RameN Crew
Hackers looooooooooooooooove noodles. (Хакеры любят дураков).
После этого червь удаляет файл /etc/hosts.deny для отмены всех запретов на соединения и получает вызовом своего shell-скрипта IP адрес атакованной машины. Затем червь копирует свой HTTP-сервер в файл /sdin/asp, прописывает его вызов путем задания соответствующих настроек в /etc/inetd.conf для Red Hat 6.2 или в /etc/xinetd.d для Red Hat 7.0 и переинициализирует сервис inetd/xinetd для запуска своего HTTP-сервера.

При внешней безвредности червь чрезвычайно опасен, так как нарушает нормальное функционирование сервера: работа http-сервера будет нарушена уничтожением содержимого всех index.html файлов, анонимный ftp-доступ к серверу будет запрещен, cервисы rpc и lpd будут удалены, ограничения доступа через hosts.deny будут сняты. Следует отметить, что червь использует при атаках "дыры", самая "свежая" из которых известна с конца сентября 2000 года. Однако тот факт, что при инсталляции системы на нее устанавливаются уязвимые сервисы, а многие пользователи и администраторы не производят должный мониторинг предупреждений о "слабых местах" системы и вовремя не производят их устранение, делает червь более чем жизнеспособным: в настоящее время зафиксированы многие случаи успешных атак систем этим червем.

Copyright (C) CNews.ru

Московские хакеры скромно взломали сайт ФБР

[www.netoscope.ru] Во вторник на форуме Хакер.ru, посвященном обсуждению статьи о взломе сайта президента Латвии, появилась заметка следующего содержания: "galblch. А я взломал www.fbi.gov и стер от туда все !!! И тоже молчу...".

Действительно, во вторник на сайте ФБР отсуствовала первая страница: вместо нее был вывешен обрубок ее же html-кода.

Автор заметки согласился дать редакции "Нетоскопа" свои комментарии по поводу предполагаемого взлома:

Galblch ответил буквально следующее (приводим его комментарии практически без изменений):

Конкретно по взлому сайта fbi:

К этому взлому непосредственное отношение имею я и еще один небезызвестный человек - oMniBUs. В принципе, взлом был пустяковый - там была дырка в скрипте. Взлом произвели мы вдвоем и, кстати, практически сразу отписали на мыло админу сайта, что нашли ошибку в защите. Он нам очень вежливо ответил, что ошибки никакой он не обнаружил и вообще факт взлома отрицает, хотя буквально через полчаса ошибка была исправлена. А код на страничке мы отобразили вместо стандартных громких криков о взломе и т.д. прежде всего из соображений анонимности, а также потому, что ни я, ни oMniBUs не занимаемся дефейсами.

В данном конкретном случае была стерта директория "wanted" (список самых опасных преступников, разыскиваемых FBI) и сделаны backup-файлы, о которых мы написали админу. А также, как вы успели заметить, был изменен index.html.

В принципе, первой идеей было просто отписать админу о дырке, без взлома как такового, но в связи с именитостью ведомства, которому сайт принадлежит, решили все-таки развлечься - вот что получилось.

Galblch также согласился дать кое-какую информации непосредственно о себе. Как сообщил galblch в интервью корреспонденту "Нетоскопа", живет он в Москве, работает в "некой фирме, деятельность которой ни в коей мере не связана с компьютерами", хотя работает он именно за компьютером.

Хакинг galblch считает своим увлечением, хотя утверждает, что он в большей степени программист, нежели хакер. По мнению galblch'а "писать программы интереснее, чем находить в них дырки, хотя и дырки тоже интересны..."

От себя можем добавить только то, что во вторник сайт по адресу www.fbi.gov по крайней мере некоторое время выглядел действительно "слегка необычно". Никаких сведений ни о взломе, ни о взломщиках, кроме вышеизложенных, мы не имеем.

Copyright (C) Netoscope.ru

Покайся, хакер!

Хакер-подросток, подозреваемый во взломе десятков сайтов (в том числе CNN, Yahoo! и Amazon), признал себя виновным по 56 пунктам обвинения и был отпущен на свободу, сообщает Mercury Center.

Суд над 16-летним жителем Монреаля, известным в виртуальном мире как Mafiaboy, начался с обвинения подростка в причастности к взлому 66 сайтов, принадлежащих интернет-компаниям, информационным центрам, а также некоторым американским университетам. Большинство пунктов этого обвинения юный хакер признал, и это помогло ему избежать тюремного заключения.

Стоит добавить, что подросток уже привлекался к ответственности по подобным обвинениям: впервые он был арестован в апреле прошлого года по подозрению во взломе сайта CNN. В августе к его деяниям был прибавлен еще ряд обвинений, однако виновным он себя признал впервые.

Как сообщил прокурор Луи Мивиль-Дешен (Louis Miville-Deschenes), ФБР выследила хакера при взломе компьютерной сети в Калифорнийском университете. Именно в этот момент выяснить его канадское происхождение. Одновременно следствие обнаружило, что на некоторых сайтах Mafiaboy хвастался, что это именно он является тем самым "загадочным хакером", за которым давно охотится полиция, приводя при этом подробности, о которых мог знать только виновный. Канадской полиции удалось установить провайдера, и через него вычислить домашний адрес хакера в Монреале. После этого началось прослушивание телефонных разговоров в доме. Mafiboy очень откровенно рассказывал друзьям о своих "подвигах", утверждая, что скоро он разбогатеет, и что ФБР ищет его, но "никогда не найдет".

Примечательно, что прослушивая телефонные разговоры, полиция также узнала, что отец Mafiaboy, руководитель предприятия, угрожал смертью одному из своих сотрудников. Дело отца хакера, не имеющее никакого отношения к делу Mafiaboy, будет слушаться в суде весной этого года.

Copyright (C) CNews.ru

При Госдуме создан специальный комитет по электронно-цифровым подписям

[www.netoscope.ru] Как сообщила в четверг газета "КоммерсантЪ", при Госдуме РФ будет создан специальный комитет, ответственный за подготовку законопроекта об электронно-цифровой подписи (ЭЦП). Это решение Госдума приняла на этой неделе. Создание комитета, возможно, ускорит принятие закона об ЭЦП.

В настоящее время на рассмотрение нижней палаты уже внесен законопроект, разработанный самими депутатами. Кроме того, в правительстве находится проект закона, разработанный по заказу Гостелекома России, в подготовке которого участвовали Центробанк и ФАПСИ. В ближайшее время этот законопроект будет внесен правительством на рассмотрение Госдумы.

Также в Госдуме обсуждается возможность создания комиссии по вопросам "электронного" законодательства. "Создание такой комиссии - логичный способ учесть интересы всех сторон, - подчеркивает Владимир Тарачев, председатель комитета по кредитным организациям и финансовым рынкам, выступившего инициатором создания этой комиссии. - Интерес к этому кругу вопросов проявили сразу несколько думских комитетов. Кроме того, интерес проявляют и в правительстве - эту тему курируют Минсвязи и ФАПСИ".

Copyright (C) Netoscope.ru

DUNpws.ep - троянец, ворующий пароли

DUNpws.ep (Barrio) - троянская программа, ворующая пароли доступа в интернет, создана в России. Работоспособна под Windows9x/ME. После выполнения инсталлирует себя в системе как MSCTVR32.EXE в системном каталоге WINDOWS и создает в системном реестре следующий ключ, обеспечивая свой запуск при перезагрузке системы: HKLM\Software\Microsoft\Windows\CurrentVersion\ Run\Microsoft MMedia support=MSCTVR32.EXE При запуске троянец ищет в системе данные о паролях доступа к Интернет, телефонные номера, и т.п. Помимо этого может записывать нажатия кнопок на клавиатуре, а также ICQ-номера. Всю собранную информацию расшифровывает и отсылает по указанному в троянской программе адресу через Интернет.

Copyright (C) "Лаборатория Касперского"

Новый вариант вируса Melissa распространяется в файле формата Word for Macintosh

[www.techweb.com] Антивирусные компании распространили сообщение о появлении нового варианта вируса Melissa, который распространяется через файлы формата Microsoft Office 2001 Word версии для платформы Macintosh.

Новый вариант вируса получил названия Melissa X и Melissa 2001. Он поражает главным образом компьютеры Macintosh, но может заразить и Windows-компьютер, если Macintosh-файл с вирусом попадет на Windows-компьютер по электронной почте или через флоппи-диск. Как и изначальный вирус Melissa, его новый вариант, попадая на Windows-компьютер, рассылает себя по первым 50 адресам из адресной книги почтовой программы Microsoft Outlook.

В заголовке письма с вирусом Melissa X написаны два слова "Important Message" (важное сообщение). Поэтому компания Symantec порекомендовала обладателям шлюзов электронной почты просто отфильтровывать письма с такими заголовками. В самом письме имеется прикрепленный файл anniv.doc.

По заявлению компании McAfee, первое сообщение об этом вирусе она получила около месяца назад, но в последние два-три дня пришло уже около тридцати жалоб на этот вирус.

Copyright (C) Россия-Он-Лайн

California IBM и Girl Thing - 2 очень опасных вируса

        Были обнаружены два новых вируса с именами CALIFORNIA IBM и GIRL THING. По сообщению "Майкрософт", эти вирусы обладают большой разрушительной силой, ещё большей, чем у вируса "LOVE LETTER". Пока против них нет никакого антивируса.
        Они пожирают всю информацию на жестком диске, разрушают броузеры "МС Интернет Эксплорер" и "Нетскейп Навигатор". Ни при каких обстоятельствах не открывайте файлы с такими названиями. Пока мало, кто в курсе. В случае получения Вами по электронной почте сообщения с приложением в виде файла со "скрин сейвером" (с "экранной заставкой" с расширением *.scr) - ни в коем случае не открывайте этот файл. Немедленно удалите.
        При его открытии Вы теряете всю информацию с Вашего жесткого диска. Пока всё, что известно, это то, что вирус был запущен 5 дней назад, и то, что речь идет о чрезвычайно опасном вирусе, совершенно нового типа. Просим передать это сообщение по всей Вашей адресной книге. Если все будут посвящены, то вирус не сможет распространяться. AOL ("Америка -Он-Лайн") подтверждает. что этот вирус чрезвычайно опасен и никакая программа не может его уничтожить.

Copyright (C) Utro.ru

W95/Halen - новый Windows-вирус

W95/Halen - зашифрованный Windows-вирус, заражает PE EXE-файлы (выполняемые файлы Windows), записываясь в их конец. Размер инфицированных файлов увеличивается на приблизительно на 3000 байт. Вирус действует в операционных системах Win9x/ME. После выполнения вирус заражает .EXE и .SCR файлы в каталоге WINDOWS и всех подкаталогах WINDOWS.

Copyright (C) "Лаборатория Касперского"

Обновлен сервер "Проекта - Alliance.com.ua"

Новые обзоры:

Обзор ноутбуков серии Tecra

Ноутбуки класса "Hi-End" или, говоря другими словами, "самые-самые". Представляют третий возможный вариант комплектации ноутбука периферийными устройствами, когда мобильный компьютер оснащен одним универсальным отсеком (фирменное название компании Toshiba - Select Bay, у других компаний он может называться по другому), в который в зависимости от обстоятельств может быть вставлен CD/DVD-ROM, флоппи-дисковод, второй жесткий диск, дополнительный аккумулятор или же пластиковая заглушка для облегчения веса компьютера. Такой подход позволяет добиться снижения веса (например Tecra 8000 - самый современный представитель серии Tecra, весит около 2,8 килограмм при вставленном в Select Bay проигрывателе компакт-дисков) при более полном оснащении мультимедийными или вспомогательными устройствами нежели компьютеры серии Portege... {Подробнее}

Обзор ноутбуков серии Satellite

Компьютеры серии Satellite являются прямой противоположностью по отношению к Portege, т.к. они созданы по схеме "Все в одном", когда в ноутбук встроены и дисковод, и проигрыватель CD (а иногда и DVD), и даже блок питания. На российском рынке представлены обе выпускаемые компанией Toshiba модификации серии Satellite - вторая и четвертая, однако разница между ними не столь значительна, как между третей и седьмой модификациями серии Portege... {Подробнее}

Cпонсор: ФОРУM "Мобильные секреты: коды и фрики"
( Как cамому разблокировать телефон ?
Как подключить телефон к ПК? Какое ПО использовать? ) 

Весь архив рассылки на CityCat

Хостинг предоставлен компанией Colocall