Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Главная > Новости бизнеса > Металлургия > Вирусы и спамером вас сделают, и на письма ответят. "Лаборатория Касперского" обнаружила очередную вредоносную программу Padobot.А, использующую при распространении "дыру" в Windows 2000 и ХР.

Вирусы и спамером вас сделают, и на письма ответят. "Лаборатория Касперского" обнаружила очередную вредоносную программу Padobot.А, использующую при распространении "дыру" в Windows 2000 и ХР.

Среда, 26 мая 2004 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

«Лаборатория Касперского» обнаружила очередную вредоносную программу Padobot.А, использующую при распространении дыру в локальной подсистеме аутентификации пользователей (LSASS) операционных систем Windows 2000 и ХР. Бюллетень безопасности корпорация Microsoft выпустила около полутора месяцев назад. Однако, несмотря на многочисленные предупреждения, заплатку установили далеко не все пользователи. Огромное количество так и не защищенных компьютеров приводит к возникновению новых вирусных эпидемий.

Червь Padobot.А написан на языке C++ и упакован UPX (размер около 10 килобайт). После заражения инфицированная машина выводит сообщение об ошибке «LSASS service failing» и пытается перезагрузиться. Вредоносная программа модифицирует реестр, обеспечивая себе автоматический запуск при старте ОС, создает в памяти уникальные идентификаторы и открывает порты 113, 3067 и 2041 для приема команд. Далее вирус старается соединиться с каналами на нескольких IRC-серверах, в том числе irc.kar.net, lia.zanet.net, moscow-advokat.ru и washington.dc.us.undernet.org. Эти серверы используются для получения управляющих инструкций и передачи данных. При размножении червь выбирает произвольные IP-адреса.

Следует добавить, что, помимо версии Padobot.A, специалисты «Лаборатории Касперского» зафиксировали появление модификации вируса с индексом В, которая практически ничем не отличается от оригинала. Процедуры защиты от Padobot уже добавлены в антивирусные базы данных.

Однако более опасным и, так сказать, «беспринципным» вирусом представляется червь Bobax, меньше чем за неделю породивший целых четыре своих варианта. Он стал одним из первых червей, определяющих пропускную способность зараженного ими компьютера, чтобы понять, стоит ли использовать его в качестве зомбированного источника спама.

Bobax использует комбинацию слабых мест Windows, до этого уже эксплуатировавшихся червями Sasser и MSBlast, о них мы писали раньше. Он также использует опасную уязвимость в LSASS. При этом вирус может самостоятельно заражать лишь компьютеры с операционными системами Windows 2000 или ХР. В принципе червь способен инфицировать и машины с другими ОС Microsoft, однако в этом случае необходимо, чтобы пользователь запустил вредоносный файл вручную. Возможно, вирус не получит широкого распространения, так как крупные компании уже установили соответствующие заплатки (чего не скажешь о простых пользователях), но его поведение показывает, что создатели вирусов и профессиональные спамеры получили контроль над более чем достаточным количеством компьютеров — и теперь могут выбирать, какими из них воспользоваться.

Микко Хиппонен, директор финской антивирусной компании F-Secure отмечает, что хотя червь Bobax заражает любые уязвимые машины, в него встроена утилита. Она помогает авторам вируса решить, достаточно ли высока скорость связи этой машины с Интернетом, чтобы ее стоило включать в армию зомбированных источников спама.

Вирус определяет производительность, приказывая зараженному компьютеру загрузить крупный файл с общедоступного FTP-сайта. Собрав некоторую статистику о пропускной способности линии связи, он передает ее автору вируса, чтобы тот мог использовать компьютер в соответствии с требованиями спамера. «У спамеров столь широкий выбор машин, что они могут позволить себе выбирать лучшие — с самыми быстрыми каналами связи и самой высокой производительностью», — говорит Хиппонен.

«У спамеров колоссальный выбор машин по всему миру, — вторит ему Грэм Клали, старший консультант антивирусной фирмы Sophos. — Не думайте, что им приходится воевать лишь за несколько тысяч компьютеров».

По словам Хиппонена, несмотря на то, что Sasser уже вынудил многих пользователей залатать свои ПК, существует постоянный поток все новых уязвимых компьютеров, подключаемых к Интернету. «Сегодня, когда кто-то покупает новый компьютер и выводит его в онлайн, он не обязательно устанавливает патчи. Первым же вирусом, который он подхватит, вероятнее всего, станет Bobax», — сообщил он.

Еще одним крайне неприятным сюрпризом для пользователя может стать новая версия вируса Lovegate, отличающаяся от предшествующих модификаций гораздо более разнообразными возможностями в плане размножения и маскировки. Находку сделала компания Network Associates.

Червь Lovegate.ab распространяется по электронной почте и через незащищенные сетевые ресурсы. Многократно упакованный файл вируса имеет размер 108544 байта. При проникновении в систему вредоносная программа создает свои многочисленные копии в директории Windows, а также в корневом каталоге жесткого диска С. Далее проводятся модификация реестра с целью автоматического запуска червя при загрузке ОС и удаление из памяти ряда антивирусных приложений.

При отправке инфицированных писем вирус использует собственный SMTP-сервер. Причем червь может не просто создавать новые сообщения, фальсифицируя обратный адрес, но и отвечать на непрочитанные послания, хранящиеся в папках программ Microsoft Outlook и Outlook Express. В последнем случае поле «тема» остается неизменным, что позволяет ввести в заблуждение автора письма. Вложенные файлы могут иметь расширения EXE, SCR, PIF, CMD, BAT, кроме того, Lovegate.ab способен прятаться внутри ZIP-архивов. Наконец, он пытается проникнуть в пиринговые сети, скопировав себя в общедоступные директории под видом картинок или крэков популярных программ, например, You Life.JPG.pif или WinZip v9.0 Beta Build 5480 crack.exe.

Специалисты Network Associates присвоили червю Lovegate.ab средний рейтинг опасности, средства устранения вируса уже выпущены и доступны для загрузки.

С каждым днем становится очевиднее, что Интернет, ранее понукаемый за засилие порнографии и спама, становится опасен для конечных пользователей именно из-за эпидемий постоянно эволюционирующих червей. Из строя выводятся миллионы компьютеров. Похоже, в ближайшем будущем нашими стартовыми страницами станут сайты антивирусных компаний, а интернет-трафик, затрачиваемый на скачивание из Сети соответствующих заплаток и антивирусных баз, если не сравняется с трафиком на mp3 и прочие развлечения, то станет весьма заметной строкой в этих расходах. Что уж говорить о необходимости практически параноидального подхода к общению с помощью электронной почты. Черви пожирают трафик у тех, кто не утруждает себя предварительной проверкой заголовков писем и скачивает все письма с почтового сервера на свой ПК (а таких пользователей большинство, учитывая подавляющее превосходство Outlook и корпоративные стандарты на его использование). И все сложнее не попасться на удочку вирусописателей, умело подстраивающихся под создание писем якобы от наших знакомых адресатов. Называть себя сегодня продвинутым пользователем ПК — значит не только уметь установить ОС и драйвера, быть на короткой ноге с Word и прочими офисными пакетами, но и обладать необходимыми, ежедневно обновляемыми знаниями об элементарной сетевой безопасности.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 705
Рубрика: Металлургия
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

13: 00
В ТОСЭР "Чусовой" открылся завод по восстановлению труб |
13: 00
Родину-мать в Волгограде реконструируют за 60,5 млн руб. |
13: 00
Лысьвенский МЗ заморозил строительство второго листопрокатного цеха |
12: 20
ТВЭЛ отгрузил уникальные шестигранные трубы для ледокола "Арктика" |
12: 00
ВМК "Красный Октябрь" нарастил выпуск готовой продукции |
11: 40
Гайский ГОК обновил оборудование РМЗ |
11: 20
Эксплуатационная надежность парка SSJ100 достигает 98% |
11: 20
На федеральной трассе «Лена» привели отремонтировали четыре моста |
10: 00
Бригада шахты ЕВРАЗа «Ерунаковская-VIII» добыла миллионную тонну угля |
10: 00
«ПКНМ» поставляет немагнитные УБТ по тендеру «Буринтех» с опережением графика |
09: 20
Global Palladium Fund закупил 5 т металла в первом полугодии 2017 г. |
09: 20
Железнодорожный парк отправления станции Находка Восточная готов на 70% |
08: 20
БМК обновляет крановый парк |
07: 20
ГМК Казахалтын завершает строительство фабрики |
07: 00
ВИЗ-Сталь финансирует социальные программы |
07: 00
Правительство РФ разрешило добывать не указанные в лицензии полезные ископаемые |
07: 00
ОРМЕТ запустил резервный источник энергоснабжения |
16: 40
АЛРОСА проведет оценку безопасности горных работ |
16: 00
Выпуск стальных конструкций в РФ вырос почти на 12% |
15: 40
Строительство высокоскоростной магистрали Москва-Казань начнется в 2018 г. |
15: 20
Арконик СМЗ сдал юбилейную тонну проката |
15: 20
Силовые машины изготовят энергооборудование для АЭС Бангладеше |
14: 22
Барнаульский ВРЗ получил заказ на 2,8 млрд руб. |
14: 00
Ижорский ТЗ поставит более 100 тыс. т труб на Харампурское месторождение |
13: 20
ОСК наращивает мощности военного судостроения |
13: 20
Алмалыкский ГМК приступил к освоению месторождения «Дальнее» |
13: 20
Соколовско-Сарбайское горно-обогатительное объединение обновляет технологический автопарк |
13: 02
Производство металлопроката в России в первом полугодии 2017 г. незначительно выросло |
12: 22
Дан старт работе подстанции «Спортивная» в Ростове-на-Дону |
11: 40
Монтажстальконструкция выпустила 200-тысячный квадратный метр металлочерепицы из «Стального шелка» |
11: 20
ЗТЗ нарастил отгрузку трубной продукции в первом полугодии |
Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003