Этот червь хочет только вылечить

содержание

• Этот червь хочет излечиться
• Топ угрозы W32 / Nachi.B-червь
• Топ 10 почтовых вирусов
• Топ 5 уязвимостей
• Совет по безопасности
• Обновления безопасности Windows
• Жаргон Бастер
• Наблюдение за новостями

Этот червь хочет излечиться

Сначала мы стали свидетелями взрыва MyDoom.A и последующей атаки типа «отказ в обслуживании», которая вывела веб-сайт операции «Санта-Крус» (sco.com) на две недели. Затем появился MyDoom.B, который добавил Microsoft.com в качестве цели атаки DoS. В то время как MyDoom.A с удвоенной силой взлетели, MyDoom.B, как и фильм "B", был неудачником. По словам технического директора Mark Sunner из MessageLabs, MyDoom.B содержал ошибки в коде, которые приводили к успеху только в атаке SCO 70% времени и 0% при атаке Microsoft. Он также сказал, что «больше шансов прочитать о MyDoom.B, чем поймать его».

На прошлой неделе мы увидели взрыв вирусов на хвостах пальто MyDoom. Успешное поглощение сотен тысяч машин. Первым на сцену вышел Doomjuice.A (также называемый MyDoom.C). Doomjuice.A, не был еще одним почтовым вирусом, но он использовал бэкдор, который MyDoom.A открывал на зараженных компьютерах. Doomjuice загружает на зараженную MyDoom машину и, как и MyDoom.B, устанавливает и пытается выполнить DoS-атаку на Microsoft.com. По словам Microsoft, атака не оказала на них отрицательного воздействия в период с 9-го по 10-е, хотя NetCraft зафиксировала, что сайт Microsoft был недоступен в какой-то момент.

Эксперты по антивирусам считают, что Doomjuice был работой того же автора (ов) MyDoom, потому что он также удаляет копию исходного источника MyDoom на компьютере жертвы. Согласно пресс-релизу от F-secure, это может быть способ для авторов скрыть свои треки. Он также передает рабочий файл исходного кода другим вирусописателям для использования или изменения. Таким образом, MyDoom.A и MyDoom.B, как и сами Microsoft Windows и Office, теперь стали платформой для распространения других вирусов. В течение последней недели мы видели появление W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom - троянский вариант Proxy-Mitglieter, W32 / Deadhat.A и W32 / Deadhat.B, все входящие в черный ход MyDoom. Vesser.worm / DeadHat.B, также используйте сеть обмена файлами SoulSeek P2P.

12 февраля W32 / Nachi.B.worm был обнаружен. Как и его предшественник, W32 / Nachi.A.worm (также известный как Welchia), Nachi.B распространяется, используя уязвимости RPC / DCOM и WebDAV. Будучи вирусом / червем, Nachi.B пытается удалить MyDoom и закрыть уязвимости. К пятнице, 13 февраля, Nachi.B вышла на 2-е место в нескольких списках угроз поставщиков (Trend, McAfee). Поскольку он не использует электронную почту, он не будет отображаться в десятке наших почтовых вирусов MessageLabs. Предотвращение заражения Nachi.B такое же, как и для Nachi.A, примените все текущие исправления безопасности Windows для закрытия уязвимостей. Смотрите нашу Главную угрозу для получения дополнительной информации.

В пятницу 13 февраля мы увидели еще один гарпун MyDoom, W32 / DoomHunt.A. Этот вирус использует бэкдор MyDoom.A, закрывает процессы и удаляет ключи реестра, связанные с его целью. В отличие от Nachi.B, который работает в фоновом режиме, DoomHunt.A открывает диалоговое окно с объявлением «Удаление червя MyDoom (DDOS the RIAA)». Он устанавливается в системную папку Windows как очевидный файл Worm.exe и добавляет раздел реестра со значением «Delete Me» = «worm.exe». Удаление аналогично любому червю, остановите процесс worm.exe, выполните сканирование антивирусом, удалите файл Worm.exe и все связанные файлы, а также удалите раздел реестра. Конечно, убедитесь, что вы обновили свой компьютер с последними обновлениями безопасности.

Хотя точной информации узнать нет, оценки варьировались от 50 000 до 400 000 активно зараженных компьютеров MyDoom.A. Doomjuice мог распространяться только путем доступа к задней двери MyDoom, так что незараженные пользователи не подвергались риску, и, поскольку инфекции были вычищены, поле доступных компьютеров уменьшилось бы. Тем не менее, единственная опасность состоит в том, что, хотя MyDoom.A планировал прекратить DoS-атаки 12 февраля, у Doomjuice нет тайм-аута. На прошлой неделе мы упоминали о том, что на анимации MessageLabs Flash произошел взрыв MyDoom.A, и пообещали, что его увидят все. Вот.

Microsoft анонсировала еще три уязвимости и выпустила патчи на этой неделе. Два являются важным уровнем приоритета, а один - критическим уровнем. Главная уязвимость связана с библиотекой кода в Windows, которая является центральной для защиты веб-приложений и локальных приложений. Дополнительную информацию об уязвимости, ее последствиях и том, что вам нужно сделать, смотрите в нашем специальном отчете. Две другие уязвимости связаны со службой Windows Internet Naming Service (WINS), а другая - в версии Virtual PC для Mac. Смотрите наш раздел Обновления безопасности Windows для получения дополнительной информации.

Если это похоже на утку, ходит как утка и крякает как утка, это утка или вирус? Может быть, может и нет, но AOL предупреждает пользователей (рисунок 1), чтобы они не нажимали на сообщения, которые делали обходы через Instant Messenger на прошлой неделе.

В сообщении содержалась ссылка, устанавливающая игру, Capture Saddam или Night Rapter, в зависимости от версии сообщения (рисунок 2). Игра включала BuddyLinks, вирусоподобную технологию, которая автоматически отправляет копии сообщения всем в вашем списке друзей. Технология выполняет как вирусный маркетинг с помощью своей автоматической кампании сообщений, так и отправляет вам рекламу и может перехватить (перенаправить) ваш браузер. По состоянию на пятницу веб-сайт игры (www.wgutv.com) и сайт Buddylinks (www.buddylinks.net) были недоступны, а базирующаяся в Кембридже компания Buddylinks не отвечала на телефонные звонки.

Обновление: На прошлой неделе мы рассказали вам о поддельном веб-сайте «Не отправлять электронную почту», обещавшем сократить спам, но на самом деле он был сборщиком адресов электронной почты для спамеров. На этой неделе в сообщении Reuters говорится, что Федеральная торговая комиссия США предупреждает: «Потребители не должны отправлять свои адреса электронной почты на веб-сайт, который обещает уменьшить нежелательный« спам », поскольку он является мошенническим». Далее в статье описывается сайт, и мы, как и прежде, рекомендуем «держать вашу личную информацию при себе - включая адрес электронной почты - если вы не знаете, с кем имеете дело».

В четверг, 12 февраля, Microsoft обнаружила, что часть ее исходного кода циркулирует в сети. Они проследили это до MainSoft, компании, которая делает интерфейс Windows-Unix для программистов приложений Unix. MainSoft лицензирует исходный код Windows 2000, особенно ту часть, которая связана с API (интерфейсом прикладных программ) Windows. Согласно истории eWeek, код не является полным или компилируемым. Хотя API Windows хорошо опубликован, исходный код - нет. API представляет собой набор функций и процедур кода, которые выполняют задачи запуска Windows, такие как размещение кнопок на экране, обеспечение безопасности или запись файлов на жесткий диск. Многие из уязвимостей в Windows связаны с неконтролируемыми буферами и параметрами этих функций. Часто уязвимости включают передачу специально созданных сообщений или параметров этим функциям, что приводит к их отказу и открытию системы для эксплуатации. Поскольку большая часть кода Windows 2000 также включена в сервер Windows XP и Windows 2003, наличие исходного кода может позволить авторам вирусов и злонамеренным пользователям легче находить дыры в определенных подпрограммах и использовать их. Хотя уязвимости, как правило, выявляются Microsoft или сторонними источниками до того, как они становятся общедоступными, что дает время для выпуска исправлений, это может перевернуть эту процедуру с ног на голову, поставив хакеров в положение обнаружения и использования уязвимостей, прежде чем Microsoft обнаружит и исправит их.