Тематический бюллетень

Вид материалаБюллетень

Содержание


ПОСЛЕДНИЕ ДЫРЫ: Mozilla, Apple и Sun
ВИРУСОЛОГИЯ: Fnumbot, AutoRun.acn и AutoRun.aing
Internet-конференции Google Groups могут содержать Trojan.Grups
Вредоносные программы держатся на зараженных ПК месяцами
Подобный материал:
1   ...   11   12   13   14   15   16   17   18   ...   26

ПОСЛЕДНИЕ ДЫРЫ: Mozilla, Apple и Sun


Разработчики браузера Firefox выпустили на этой неделе обновление для своего продукта. Обновление исправляет пять ошибок в браузере, две из которых позволяют вмешаться в работу памяти с возможностью исполнения кода, еще одна позволяет установить вредоносный PKCS11, не сообщая пользователю браузера важной информации, еще одна позволяет подделать URL в адресной строке и еще одна позволяет поднять привелегии JavaScript, что позволяет исполнить код с доступом к операционной системе. Эти ошибки исправлены Firefox 3.0.14 и 3.5.3.

Компания Apple обновила свой плеер Apple QuickTime. В нем исправлены четыре ошибки, которые позволяют выполнить переполнение буфера с помощью различных мультимедийных файлов. Компания выпустила обновления для плеера и рекомендует обновить его до версии 7.6.4.

В  Solaris 10 и OpenSolaris обнаружена ошибка, которая позволяет с помощью приложения Pidgin вызвать переполнение буфера с возможностью исполнения вредоносного кода от имени этого приложения. Ошибка возникает при обработке некорректного заголовка для протокола MSN, который обрабатывается с помощью библиотеки libpurple. Компания Sun признала наличие проблемы, но пока не выпустила для нее исправлений.

www.osp.ru


16.09.09 01:38

ВИРУСОЛОГИЯ: Fnumbot, AutoRun.acn и AutoRun.aing


Компания Symantec опубликовала на этой неделе семь сообщений о вирусах, из которых наиболее опасным является Fnumbot. После своего запуска червь создает файл %Temp%\vshost32.exe и обеспечивает для него автозапуск через ключ реестра HLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe,%Temp%\vshost32.exe".

Червь является частью ботнета, поскольку подгружает обновления с подконтрольных автору сайтов. Кроме того, он копирует себя на съемные носители в файл autorun.inf, а также может посылать сообщения для систем Yahoo Messenger, AOL Messenger, MSN Messenger, ICQ и Skype.

Компания "Лаборатория Касперского" опубликовала на этой неделе более десятка описаний различных вредоносов, из которых наиболее опасными являются два червя:AutoRun.acn и AutoRun.aing. Оба они, как и описанный выше вредонос от компании Symantec, распространяются через съемные USB-накопители.

Червь AutoRun.acn после своего запуска копирует свое тело в директорию %System%\5321F6DF.EXE и обеспечивает свой запуск с помощью модификации ключа реестра HCU\System\CurrentControlSet\Services\D245F88F. Затем червь скачивает из Internet другие вредоносные программы и запускает их на исполнение. Затем червь копирует себя в корни всех дисков с именем auto.exe и формирует соответствующий файл autorun.inf.

Червь AutoRun.aing является более опасным поскольку помимо закачки других вредоносных программ из Internet он нарушает работу некоторых сервисов самой Windows (ClipSrv, Spooler и DMusic), внедряя вредоносную библиотку cliporv.dll в процессы explorer.exe и svchost.exe. Червь также блокирует работу большинства антивирусных продуктов, переводя их в режим отладки.

Вычистить этот вредонос из компьютера достаточно сложно - тем не менее "Лаборатория Касперского" публикует подробный перечень инструкций для удаления этого вредоносного программного обеспечения.

www.osp.ru


16.09.09 11:09

Internet-конференции Google Groups могут содержать Trojan.Grups


Корпорация Symantec обнаружила троянскую бэкдор-программу Trojan.Grups, которая в качестве командных и управляющих структур использует Internet-конференции Google Groups.

По мере развития Web 2.0 все большее распространение получает передача команд ботнетам через социальные сети, но это – первый ставший известным Symantec случай, когда для данной цели задействуется Internet-конференция.

На первый взгляд код трояна достаточно прост, но при его запуске происходит авторизация аккаунта Google и обращение к странице одной из персональных конференций, где в зашифрованном виде хранятся команды для выполнения вредоносной программой.

Проанализировав исходный код, специалисты Symantec пришли к выводу, что обнаруженный троян – это прототип, основной задачей которого является проверка пригодности Internet-конференций для использования в качестве командных и управляющих структур.

Троян незаметно для пользователя собирает системную информацию и определяет цели для будущих атак. Возможно, разработчики вредоносной программы ставили перед собой цель задействовать ее для корпоративного шпионажа, где основными требованиями к инструментальным средствам являются анонимность и маскировка.

www.osp.ru


16.09.09 13:32

Вредоносные программы держатся на зараженных ПК месяцами


Согласно последнему исследованию Trend Micro, вредоносные программы задерживаются на инфицированных машинах намного дольше, чем считалось ранее.

Согласно предыдущим оценкам, зараженная машина остается инфицированной на протяжении примерно шести недель. На сей раз, основываясь на анализе ста миллионов зараженных компьютеров, в Trend Micro пришли к выводу, что многие зараженные IP остаются инфицированными (или регулярно заражаются вновь) на протяжении более чем двух лет. Средний показатель составляет 300 дней. Четыре из пяти зараженных машин остаются инфицированными более месяца.

Этот график от Trend Micro показывает, что если система не была быстро излечена, то срок ее заражения стремится к бесконечности, вплоть до того момента, пока конечный пользователь не сменит инфицированный компьютер на новый.

Кроме того, описывает это исследование и ситуацию с ботнетами. По данным Trend Micro, наибольший ущерб идентификационным данным наносят три разновидности ботнет-агентов, это Koobface, Zeus/Zbot и Ilomo/Clampi.

К примеру, ботнет Koobface объединяет 51 000 машин. Для управления ими организаторы ботнета постоянно используют пять-шесть командных центров. Если какой-то из них отключается от Сети провайдером, злоумышленники просто организуют еще один. Всего с середины марта по середину апреля 2009 года в Trend Micro зафиксировали 46 контролирующих доменов Koobface.

Статистика компании не учитывает инфекции, связанные с червем Conficker. По данным Anti-Conficker Working Group, этот червь все еще присутствует на более чем пяти миллионах ПК.

www.xakep.ru


17.09.09 13:07