Този червей иска само да лекува

съдържание

• Този червей само иска да лекува
• Top Threat W32 / Nachi.B-червей
• Топ 10 електронни поща вируси
• Топ 5 уязвимости
• Съвет за сигурност
• Актуализации на защитата на Windows
• Жаргон Бъстър
• Емисия за гледане на историята за сигурност

Този червей само иска да лекува

Първо станахме свидетели на експлозия MyDoom.A и последваща атака на Denial of Service, която извади уеб сайта на Santa Cruz Operation (sco.com) за две седмици. След това дойде MyDoom.B, който добави Microsoft.com като цел на DoS атака. Докато MyDoom.A излиташе с отмъщение, MyDoom.B, подобно на „B“ филм, беше пич. Според CTO на Mark Sunner в MessageLabs, MyDoom.B е имал грешки в кода, които са довели до успех само при атака на SCO 70% от времето и 0% при атака на Microsoft. Той каза също, че има "повече шанс да прочетете за MyDoom.B, отколкото да го хванете".

През изминалата седмица видяхме експлозия на вируси, които се движат по опашките на MyDoom.A успешното превземане на стотици хиляди машини. Първият, който удари сцената, беше Doomjuice.A (наричан още MyDoom.C). Doomjuice.A, не беше друг вирус за електронна поща, но се възползва от заден прозорец, който MyDoom.A отвори на заразени машини. Doomjuice ще изтегли на заразена с MyDoom машина и подобно на MyDoom.B инсталира и опита да извърши DoS атака на Microsoft.com. Според Microsoft атаката не се отрази неблагоприятно на тях около 9-и и 10-и, въпреки че NetCraft записа, че сайтът на Microsoft в един момент е недостъпен.

Експертите по антивирусни програми смятат, че Doomjuice е дело на същия автор (и) на MyDoom, тъй като той също пуска копие на оригиналния MyDoom източник на машината на жертвата. Според прессъобщение на F-secure, това може да е начин авторите да обхващат своите песни. Той също така освобождава работещ файл с изходен код на други писатели на вируси, за да ги използва или модифицира. Така MyDoom.A и MyDoom.B, като самите Microsoft Windows и Office, вече се превърнаха в платформа за разпространение на други вируси. В рамките на последната седмица видяхме появата на W32 / Doomjuice.A, W32 / Doomjuice.B, W32 / Vesser.worm.A, W32 / Vesser.worm.B, exploit-MyDoom - троянски вариант на Proxy-Mitglieter, W32 / Deadhat.A и W32 / Deadhat.B, всички влизащи в задната врата на MyDoom. Vesser.worm / DeadHat.B, също използвайте SoulSeek P2P мрежа за споделяне на файлове.

На 12 февруари W32 / Nachi.B.worm е открит. Подобно на своя предшественик, W32 / Nachi.A.worm (известен още като Welchia), Nachi.B се разпространява чрез използване на RPC / DCOM и WebDAV уязвимости. Докато все още е вирус / червей, Nachi.B се опитва да премахне MyDoom и да затвори уязвимостите. До петък, 13-ти февруари, Nachi.B бе попаднал на място №2 в няколко списъка със заплахи на продавачите (Trend, McAfee). Тъй като не използва електронна поща, тя няма да се показва в списъка на десетте най-добри вируси на нашия MessageLabs. Предотвратяването на инфекция с Nachi.B е същото като за Nachi.A, приложете всички текущи лепенки за сигурност на Windows, за да затворите уязвимостите. Вижте нашата топ заплаха за повече информация.

В петък 13 февруари видяхме още един харпун на MyDoom, W32 / DoomHunt.A. Този вирус използва MyDoom.A backdoor и изключва процесите и изтрива ключовете на системния регистър, свързани с неговата цел. За разлика от Nachi.B, който работи тихо на заден план, DoomHunt.A изскача диалогов прозорец, обявяващ "MyDoom Removal Worm (DDOS the RIAA)". Той се инсталира в системната папка на Windows като очевиден Worm.exe и добавя ключ на системния регистър със стойността „Изтрий ме“ = „червей.exe“. Премахването е същото като всеки червей, спрете процеса на worm.exe, сканирайте с антивирус, изтрийте файла Worm.exe и всички свързани с него файлове и премахнете ключа на системния регистър. Разбира се, не забравяйте да актуализирате вашата машина с най-новите лепенки за сигурност.

Въпреки че няма как да се знае точно, оценките варират от 50 000 до толкова високо, колкото 400 000 активно заразени MyDoom.A машини. Doomjuice може да се разпространява само чрез достъп до задната врата на MyDoom, така че незаразените потребители не са изложени на риск и тъй като инфекциите се почистват, полето на наличните машини ще намалее. Въпреки това, една от опасностите е, че докато MyDoom.A трябваше да спре DoS атаките си на 12 февруари, Doomjuice няма време. Миналата седмица споменахме, че видяхме взривът MyDoom.A в анимация на MessageLabs Flash и обещахме да го видим за всички. Ето го.

Microsoft обяви още три уязвимости и пусна кръпки тази седмица. Две са важни приоритетни нива, а едно е критично ниво. Най-голямата уязвимост включва библиотека с кодове в Windows, която е централна за защита на уеб и локални приложения. За повече информация относно уязвимостта, нейните последици и какво трябва да направите, вижте нашия специален доклад. Другите две уязвимости включват услугата Windows Internet Nameing Service (WINS), а другата е във версията на Mac за Virtual PC. Вижте нашия раздел Актуализации на защитата на Windows за повече информация.

Ако прилича на патица, ходи като патица и тропа като патица, патица ли е или вирус? Може би, може би не, но AOL предупреждаваше (Фигура 1) потребителите да не натискат съобщение, което прави кръговете през Instant Messenger миналата седмица.

Съобщението съдържаше връзка, която инсталира игра, било Capture Saddam или Night Rapter, в зависимост от версията на съобщението (Фигура 2). Играта включва BuddyLinks, вирус подобна технология, която автоматично изпраща копия на съобщението до всички от списъка ви с приятели. Технологията извършва вирусен маркетинг с автоматизираната си кампания за съобщения и ви изпраща реклама и може да отвлече (пренасочи) вашия браузър. Към петък както уебсайтът за игри (www.wgutv.com), така и сайтът Buddylinks (www.buddylinks.net) отпаднаха, а базираната в Кеймбридж компания Buddylinks не връщаше телефонни обаждания.

Актуализация: Миналата седмица ви разказахме за фалшив уебсайт Do Not Email, който обещава да намали спама, но всъщност е бил колектор на имейл адреси за спамери. Тази седмица историята на Ройтерс съобщава, че Федералната комисия по търговия на САЩ предупреждава: „Потребителите не трябва да изпращат своите електронни адреси на уебсайт, който обещава да намали нежелания„ спам “, защото е измамен“. Статията продължава да описва сайта и препоръчва, както бяхме досега, да „съхранявате личната си информация за себе си - включително своя имейл адрес - освен ако не знаете с кого имате работа“.

В четвъртък, 12 февруари, Microsoft разбра, че част от неговия изходен код циркулира в мрежата. Те го проследяват до MainSoft, компания, която прави Windows-to-Unix интерфейс за програмисти на Unix приложения. MainSoft лицензира изходния код на Windows 2000, по-специално частта, свързана с API (интерфейса на приложната програма) на Windows. Според историята на eWeek, кодът не е пълен или компилируем. Въпреки че Windows API е добре публикуван, основният изходен код не е. API е съвкупност от кодови функции и процедури, които изпълняват задачите на стартиране на Windows, като поставяне на бутони на екрана, правене на сигурност или записване на файлове на твърдия диск. Много от уязвимостите в Windows произтичат от непроверени буфери и параметри към тези функции. Често уязвимостите включват предаване на специално изработени съобщения или параметри на тези функции, което ги причинява отказ и отваря системата за експлоатация. Тъй като голяма част от кода на Windows 2000 също е включен в Windows XP и сървъра на Windows 2003, наличието на изходния код може да позволи на вирусопис и злонамерени потребители по-лесно да намерят дупки в конкретни процедури и да ги използват. Въпреки че уязвимостите обикновено се идентифицират от източници на Microsoft или трети страни, преди да станат публични, като им се дава време за издаване на кръпки, това може да превърне тази процедура на главата си, поставяйки хакерите в състояние да открият и използват уязвимостите, преди Microsoft да ги открие и закърпи.