Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Металлургия > Вирусы и спамером вас сделают, и на письма ответят. "Лаборатория Касперского" обнаружила очередную вредоносную программу Padobot.А, использующую при распространении "дыру" в Windows 2000 и ХР.

Вирусы и спамером вас сделают, и на письма ответят. "Лаборатория Касперского" обнаружила очередную вредоносную программу Padobot.А, использующую при распространении "дыру" в Windows 2000 и ХР.

Среда, 26 мая 2004 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

«Лаборатория Касперского» обнаружила очередную вредоносную программу Padobot.А, использующую при распространении дыру в локальной подсистеме аутентификации пользователей (LSASS) операционных систем Windows 2000 и ХР. Бюллетень безопасности корпорация Microsoft выпустила около полутора месяцев назад. Однако, несмотря на многочисленные предупреждения, заплатку установили далеко не все пользователи. Огромное количество так и не защищенных компьютеров приводит к возникновению новых вирусных эпидемий.

Червь Padobot.А написан на языке C++ и упакован UPX (размер около 10 килобайт). После заражения инфицированная машина выводит сообщение об ошибке «LSASS service failing» и пытается перезагрузиться. Вредоносная программа модифицирует реестр, обеспечивая себе автоматический запуск при старте ОС, создает в памяти уникальные идентификаторы и открывает порты 113, 3067 и 2041 для приема команд. Далее вирус старается соединиться с каналами на нескольких IRC-серверах, в том числе irc.kar.net, lia.zanet.net, moscow-advokat.ru и washington.dc.us.undernet.org. Эти серверы используются для получения управляющих инструкций и передачи данных. При размножении червь выбирает произвольные IP-адреса.

Следует добавить, что, помимо версии Padobot.A, специалисты «Лаборатории Касперского» зафиксировали появление модификации вируса с индексом В, которая практически ничем не отличается от оригинала. Процедуры защиты от Padobot уже добавлены в антивирусные базы данных.

Однако более опасным и, так сказать, «беспринципным» вирусом представляется червь Bobax, меньше чем за неделю породивший целых четыре своих варианта. Он стал одним из первых червей, определяющих пропускную способность зараженного ими компьютера, чтобы понять, стоит ли использовать его в качестве зомбированного источника спама.

Bobax использует комбинацию слабых мест Windows, до этого уже эксплуатировавшихся червями Sasser и MSBlast, о них мы писали раньше. Он также использует опасную уязвимость в LSASS. При этом вирус может самостоятельно заражать лишь компьютеры с операционными системами Windows 2000 или ХР. В принципе червь способен инфицировать и машины с другими ОС Microsoft, однако в этом случае необходимо, чтобы пользователь запустил вредоносный файл вручную. Возможно, вирус не получит широкого распространения, так как крупные компании уже установили соответствующие заплатки (чего не скажешь о простых пользователях), но его поведение показывает, что создатели вирусов и профессиональные спамеры получили контроль над более чем достаточным количеством компьютеров — и теперь могут выбирать, какими из них воспользоваться.

Микко Хиппонен, директор финской антивирусной компании F-Secure отмечает, что хотя червь Bobax заражает любые уязвимые машины, в него встроена утилита. Она помогает авторам вируса решить, достаточно ли высока скорость связи этой машины с Интернетом, чтобы ее стоило включать в армию зомбированных источников спама.

Вирус определяет производительность, приказывая зараженному компьютеру загрузить крупный файл с общедоступного FTP-сайта. Собрав некоторую статистику о пропускной способности линии связи, он передает ее автору вируса, чтобы тот мог использовать компьютер в соответствии с требованиями спамера. «У спамеров столь широкий выбор машин, что они могут позволить себе выбирать лучшие — с самыми быстрыми каналами связи и самой высокой производительностью», — говорит Хиппонен.

«У спамеров колоссальный выбор машин по всему миру, — вторит ему Грэм Клали, старший консультант антивирусной фирмы Sophos. — Не думайте, что им приходится воевать лишь за несколько тысяч компьютеров».

По словам Хиппонена, несмотря на то, что Sasser уже вынудил многих пользователей залатать свои ПК, существует постоянный поток все новых уязвимых компьютеров, подключаемых к Интернету. «Сегодня, когда кто-то покупает новый компьютер и выводит его в онлайн, он не обязательно устанавливает патчи. Первым же вирусом, который он подхватит, вероятнее всего, станет Bobax», — сообщил он.

Еще одним крайне неприятным сюрпризом для пользователя может стать новая версия вируса Lovegate, отличающаяся от предшествующих модификаций гораздо более разнообразными возможностями в плане размножения и маскировки. Находку сделала компания Network Associates.

Червь Lovegate.ab распространяется по электронной почте и через незащищенные сетевые ресурсы. Многократно упакованный файл вируса имеет размер 108544 байта. При проникновении в систему вредоносная программа создает свои многочисленные копии в директории Windows, а также в корневом каталоге жесткого диска С. Далее проводятся модификация реестра с целью автоматического запуска червя при загрузке ОС и удаление из памяти ряда антивирусных приложений.

При отправке инфицированных писем вирус использует собственный SMTP-сервер. Причем червь может не просто создавать новые сообщения, фальсифицируя обратный адрес, но и отвечать на непрочитанные послания, хранящиеся в папках программ Microsoft Outlook и Outlook Express. В последнем случае поле «тема» остается неизменным, что позволяет ввести в заблуждение автора письма. Вложенные файлы могут иметь расширения EXE, SCR, PIF, CMD, BAT, кроме того, Lovegate.ab способен прятаться внутри ZIP-архивов. Наконец, он пытается проникнуть в пиринговые сети, скопировав себя в общедоступные директории под видом картинок или крэков популярных программ, например, You Life.JPG.pif или WinZip v9.0 Beta Build 5480 crack.exe.

Специалисты Network Associates присвоили червю Lovegate.ab средний рейтинг опасности, средства устранения вируса уже выпущены и доступны для загрузки.

С каждым днем становится очевиднее, что Интернет, ранее понукаемый за засилие порнографии и спама, становится опасен для конечных пользователей именно из-за эпидемий постоянно эволюционирующих червей. Из строя выводятся миллионы компьютеров. Похоже, в ближайшем будущем нашими стартовыми страницами станут сайты антивирусных компаний, а интернет-трафик, затрачиваемый на скачивание из Сети соответствующих заплаток и антивирусных баз, если не сравняется с трафиком на mp3 и прочие развлечения, то станет весьма заметной строкой в этих расходах. Что уж говорить о необходимости практически параноидального подхода к общению с помощью электронной почты. Черви пожирают трафик у тех, кто не утруждает себя предварительной проверкой заголовков писем и скачивает все письма с почтового сервера на свой ПК (а таких пользователей большинство, учитывая подавляющее превосходство Outlook и корпоративные стандарты на его использование). И все сложнее не попасться на удочку вирусописателей, умело подстраивающихся под создание писем якобы от наших знакомых адресатов. Называть себя сегодня продвинутым пользователем ПК — значит не только уметь установить ОС и драйвера, быть на короткой ноге с Word и прочими офисными пакетами, но и обладать необходимыми, ежедневно обновляемыми знаниями об элементарной сетевой безопасности.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 685
Рубрика: Металлургия
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 20
Норникель будет судиться с правительством Ботсваны |
18: 20
Норникель выплатит $1,2 млрд дивидендов за 2016 год |
17: 40
План Минпромторга РФ по импортозамещению в сегменте нержавеющего проката выполнен не будет |
17: 20
ГАЗель NEXT - победитель конкурса «Автомобиль года в России"2017» |
17: 00
Сотрудники НЛМК-Калуга отметили День охраны труда |
17: 00
Совет директоров НЛМК утвердил повестку Годового собрания акционеров |
16: 22
На КАЗ им. Горбунова запущено оборудование для сварки титановых деталей |
15: 00
В ДНР восстанавливается металлургическая промышленность |
15: 00
«Парящий» мост может попасть в Книгу рекордов Гиннеса. |
15: 00
На Новосибирском участке ЗСЖД отремонтируют свыше 100 км пути |
14: 40
В Кентукки будет построен современный завод по выпуску алюминиевого листа |
14: 20
Промышленный порт ЧерМК начал отправку судов |
14: 20
Андромета поставляет металлоконструкции для возведения спортивного объекта в Волгограде |
14: 20
ТВЗ инвестирует свыше 300 млн руб. в улучшение условий труда |
13: 20
АвтоВАЗ продлевает действие программы утилизации и trade-in |
13: 00
День охраны труда на Каширском вагоноремонтном заводе |
12: 40
Импорт алюминия как угроза национальной безопасности США |
12: 20
ОСК и АТР развивают сотрудничество в области новых технологий |
12: 00
Алюминиевая Ассоциация вносит изделия из алюминия в перечень высокотехнологичной продукции |
12: 00
Промежуточный этап. Мировой рынок металлургического сырья: 20-27 апреля |
12: 00
В ЕАО строят ЗМК мощностью 30 тыс. т металлоконструкций в год |
11: 20
Рынок цветных металлов снова лихорадит? |
11: 20
Саратовский РМК задолжал 1 млн руб. зарплаты своим работникам |
11: 00
Уральский алюминиевый завод увеличил мощность по глинозему на 17% |
11: 00
В Крыму запустили кабельный завод, который втрое эффективнее "российских аналогов" |
11: 00
ОСК и АТР займутся внедрением современных технологий судостроения |
11: 00
Правительство выделит 80 млрд рублей на поддержку обрабатывающей промышленности |
10: 40
Значительно вырос импорт в Россию стали с покрытиями |
10: 40
РУСАЛ увеличивает выпуск глинозема на УАЗе до 900 тыс. т |
10: 40
Аудит подтвердил качество системы управления промбезопасностью ММК |
10: 00
НОВАТЭК и Роснефть намерены реализовать крупные проекты в Мурманской области |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003