ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
Отчет о вирусах прошедшей недели посвящен программе IFRAME.BoF, а также червям Mydoom.AE, Mydoom.AF и Gavir.A.
✐ место для Вашей рекламы
Екатеринбург, 15 ноября 2004
IFRAME.BoF – это программа, использующая уязвимость в Internet Explorer версии 6.0 для переполнения буфера. Она позволяет атакующему удаленно выполнить произвольный код на уязвимом компьютере. Эта брешь считается очень критической.
Программа может быть включена во вредоносную веб страницу или электронное сообщение в формате HTML, содержащие выполняемый код. Этот код автоматически запускается в момент переполнения буфера. Код может быть любого типа, это означает, что на зараженном компьютере выполняется любое вредоносное действие.
Поскольку пока не доступны патчи для решения проблемы, рекомендуется обновлять антивирусное программное обеспечение так часто, как это возможно. Хорошей идеей также можно считать дезактивацию функции 'Active Scripting' в браузере и смену настройки почтового клиента так, чтобы сообщения просматривались в режиме простого текста.
Фактически новые версии хорошо известного червя Mydoom AE и AF уже используют программу IFRAME.BoF. Оба червя, очень схожие друг с другом, распространяются в электронных сообщениях, создаваемых самими червями. Для этого они создают HTTP сервер в коммуникационном порту 1639.
Сообщения, рассылаемые Mydoom.AE и Mydoom.AF содержат ссылку на файлы, содержащие программу IFRAME.BoF на других компьютерах. Если пользователь, получивший сообщение, кликнет на эту ссылку, и его компьютер окажется уязвимым к этой программе, черви загрузятся и автоматически запустятся на компьютере.
Mydoom.AE и Mydoom.AF также устанавливают связь с большим числом серверов IRC через порт 6667.
Ну и завершает отчет червь Gavir.A. Цель этого червя – загрузить версию трояна Legmir. Gavir.A распространяется по сетевым ресурсам общего пользования, создавая собственные копии на доступных ресурсах.
Gavir.A также создает скрипт во временной папке для удаления своей копии в момент запуска.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.pandasoftware.com/virus_info/encyclopedia/
Дополнительная информация
- Скрипт: файл или код, написанный на языке программирования, таком как Visual Basic Script (VBScript), JavaScript и т.д.
Другие определения на: http://www.pandasoftware.com/virus_info/glossary/default.aspx
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 15 ноября 2004 г.
Ключевые слова: нет
Извините, комментариев пока нет
|