Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Металлургия > Вирусы и спамером вас сделают, и на письма ответят. "Лаборатория Касперского" обнаружила очередную вредоносную программу Padobot.А, использующую при распространении "дыру" в Windows 2000 и ХР.

Вирусы и спамером вас сделают, и на письма ответят. "Лаборатория Касперского" обнаружила очередную вредоносную программу Padobot.А, использующую при распространении "дыру" в Windows 2000 и ХР.

Среда, 26 мая 2004 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

«Лаборатория Касперского» обнаружила очередную вредоносную программу Padobot.А, использующую при распространении дыру в локальной подсистеме аутентификации пользователей (LSASS) операционных систем Windows 2000 и ХР. Бюллетень безопасности корпорация Microsoft выпустила около полутора месяцев назад. Однако, несмотря на многочисленные предупреждения, заплатку установили далеко не все пользователи. Огромное количество так и не защищенных компьютеров приводит к возникновению новых вирусных эпидемий.

Червь Padobot.А написан на языке C++ и упакован UPX (размер около 10 килобайт). После заражения инфицированная машина выводит сообщение об ошибке «LSASS service failing» и пытается перезагрузиться. Вредоносная программа модифицирует реестр, обеспечивая себе автоматический запуск при старте ОС, создает в памяти уникальные идентификаторы и открывает порты 113, 3067 и 2041 для приема команд. Далее вирус старается соединиться с каналами на нескольких IRC-серверах, в том числе irc.kar.net, lia.zanet.net, moscow-advokat.ru и washington.dc.us.undernet.org. Эти серверы используются для получения управляющих инструкций и передачи данных. При размножении червь выбирает произвольные IP-адреса.

Следует добавить, что, помимо версии Padobot.A, специалисты «Лаборатории Касперского» зафиксировали появление модификации вируса с индексом В, которая практически ничем не отличается от оригинала. Процедуры защиты от Padobot уже добавлены в антивирусные базы данных.

Однако более опасным и, так сказать, «беспринципным» вирусом представляется червь Bobax, меньше чем за неделю породивший целых четыре своих варианта. Он стал одним из первых червей, определяющих пропускную способность зараженного ими компьютера, чтобы понять, стоит ли использовать его в качестве зомбированного источника спама.

Bobax использует комбинацию слабых мест Windows, до этого уже эксплуатировавшихся червями Sasser и MSBlast, о них мы писали раньше. Он также использует опасную уязвимость в LSASS. При этом вирус может самостоятельно заражать лишь компьютеры с операционными системами Windows 2000 или ХР. В принципе червь способен инфицировать и машины с другими ОС Microsoft, однако в этом случае необходимо, чтобы пользователь запустил вредоносный файл вручную. Возможно, вирус не получит широкого распространения, так как крупные компании уже установили соответствующие заплатки (чего не скажешь о простых пользователях), но его поведение показывает, что создатели вирусов и профессиональные спамеры получили контроль над более чем достаточным количеством компьютеров — и теперь могут выбирать, какими из них воспользоваться.

Микко Хиппонен, директор финской антивирусной компании F-Secure отмечает, что хотя червь Bobax заражает любые уязвимые машины, в него встроена утилита. Она помогает авторам вируса решить, достаточно ли высока скорость связи этой машины с Интернетом, чтобы ее стоило включать в армию зомбированных источников спама.

Вирус определяет производительность, приказывая зараженному компьютеру загрузить крупный файл с общедоступного FTP-сайта. Собрав некоторую статистику о пропускной способности линии связи, он передает ее автору вируса, чтобы тот мог использовать компьютер в соответствии с требованиями спамера. «У спамеров столь широкий выбор машин, что они могут позволить себе выбирать лучшие — с самыми быстрыми каналами связи и самой высокой производительностью», — говорит Хиппонен.

«У спамеров колоссальный выбор машин по всему миру, — вторит ему Грэм Клали, старший консультант антивирусной фирмы Sophos. — Не думайте, что им приходится воевать лишь за несколько тысяч компьютеров».

По словам Хиппонена, несмотря на то, что Sasser уже вынудил многих пользователей залатать свои ПК, существует постоянный поток все новых уязвимых компьютеров, подключаемых к Интернету. «Сегодня, когда кто-то покупает новый компьютер и выводит его в онлайн, он не обязательно устанавливает патчи. Первым же вирусом, который он подхватит, вероятнее всего, станет Bobax», — сообщил он.

Еще одним крайне неприятным сюрпризом для пользователя может стать новая версия вируса Lovegate, отличающаяся от предшествующих модификаций гораздо более разнообразными возможностями в плане размножения и маскировки. Находку сделала компания Network Associates.

Червь Lovegate.ab распространяется по электронной почте и через незащищенные сетевые ресурсы. Многократно упакованный файл вируса имеет размер 108544 байта. При проникновении в систему вредоносная программа создает свои многочисленные копии в директории Windows, а также в корневом каталоге жесткого диска С. Далее проводятся модификация реестра с целью автоматического запуска червя при загрузке ОС и удаление из памяти ряда антивирусных приложений.

При отправке инфицированных писем вирус использует собственный SMTP-сервер. Причем червь может не просто создавать новые сообщения, фальсифицируя обратный адрес, но и отвечать на непрочитанные послания, хранящиеся в папках программ Microsoft Outlook и Outlook Express. В последнем случае поле «тема» остается неизменным, что позволяет ввести в заблуждение автора письма. Вложенные файлы могут иметь расширения EXE, SCR, PIF, CMD, BAT, кроме того, Lovegate.ab способен прятаться внутри ZIP-архивов. Наконец, он пытается проникнуть в пиринговые сети, скопировав себя в общедоступные директории под видом картинок или крэков популярных программ, например, You Life.JPG.pif или WinZip v9.0 Beta Build 5480 crack.exe.

Специалисты Network Associates присвоили червю Lovegate.ab средний рейтинг опасности, средства устранения вируса уже выпущены и доступны для загрузки.

С каждым днем становится очевиднее, что Интернет, ранее понукаемый за засилие порнографии и спама, становится опасен для конечных пользователей именно из-за эпидемий постоянно эволюционирующих червей. Из строя выводятся миллионы компьютеров. Похоже, в ближайшем будущем нашими стартовыми страницами станут сайты антивирусных компаний, а интернет-трафик, затрачиваемый на скачивание из Сети соответствующих заплаток и антивирусных баз, если не сравняется с трафиком на mp3 и прочие развлечения, то станет весьма заметной строкой в этих расходах. Что уж говорить о необходимости практически параноидального подхода к общению с помощью электронной почты. Черви пожирают трафик у тех, кто не утруждает себя предварительной проверкой заголовков писем и скачивает все письма с почтового сервера на свой ПК (а таких пользователей большинство, учитывая подавляющее превосходство Outlook и корпоративные стандарты на его использование). И все сложнее не попасться на удочку вирусописателей, умело подстраивающихся под создание писем якобы от наших знакомых адресатов. Называть себя сегодня продвинутым пользователем ПК — значит не только уметь установить ОС и драйвера, быть на короткой ноге с Word и прочими офисными пакетами, но и обладать необходимыми, ежедневно обновляемыми знаниями об элементарной сетевой безопасности.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 664
Рубрика: Металлургия
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

16: 01
  Операционные результаты Группы НЛМК за 4 квартал и 12 месяцев 2016 года* |
15: 41
Группа НЛМК нарастила выпуск стали до 16,6 млн т в 2016 г. |
15: 01
УАЗ намерен производить новый грузовик |
14: 41
В Новгородской области возводится рыбоперерабатывающий комплекс |
14: 41
ЛПК ВМЗ выпустил 1,241 млн т г/к проката в 2016 г. |
14: 01
Тырныаузское месторождение выставят на аукцион до конца года |
13: 41
Будущий министр торговли США обещает ускорить антидемпинговые процессы |
13: 01
«Вертолеты России» получили первый контракт от Росгвардии |
12: 41
ЕВРАЗ подвел итоги 2016 г. |
12: 41
Началость строительство подземного перехода на станции «Селигерская» московского метро |
12: 41
«Северсталь Дистрибуция» открыла склад на севере Москвы |
12: 21
Где у роста предел? Российский рынок листового проката: 11-18 января |
12: 21
БМК начал делать запчасти для импортного оборудования |
12: 21
Японский производитель толстого листа вышел из строя до сентября из-за пожара |
12: 01
Уралвагонзавод планирует рост поставок для Министерства обороны России |
12: 01
На поддержку Лермонтовского ГОКа будет выделено 250 млн руб. |
11: 41
Аэропорт в Ростовской области готов на 60% |
11: 41
Индустриальные парки России привлекли 549 млрд руб. инвестиций |
11: 21
«Северсталь Дистрибуция» открыла склад в г. Лобня Московской области |
11: 01
Цветные металлы дорожают на фоне ослабления доллара |
11: 01
По итогам 2016 года Магнитка снова осталась лидером по ж/д завозу металлолома |
11: 01
На ЧТЗ-Уралтрак создан Челябинский центр кузнечных компетенций |
11: 01
На Волгограднефтемаше продолжается модернизация |
10: 01
ГМЗ повышает качество обслуживания потребителей |
10: 01
Китай лишает сырья мелких производителей низкокачественной стали |
10: 01
PPG Industries запустит завод в ОЭЗ «Липецк» в 2017 г. |
10: 01
На Чукотке вырастет добыча золота |
09: 21
Экспорт стального лома из ЕС вырос в октябре на 11% |
09: 01
ILZSG: в январе-ноябре дефицит цинка на мировом рынке составил 263 тысячи тонн |
09: 01
Видео-интервью с руководителями компании "Невский алюминий" |
09: 01
Параллель запустила в строй новое режущее оборудование |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003