ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
В данном отчете будут рассмотрены три уязвимости, два троянца, WmvDownloader.A и WmvDownloader.B, и два червя: Lasco.A и Gaobot.CKP.
✐ место для Вашей рекламы
Екатеринбург, 17 января 2005
Мы начнем сегодняшний отчет с разбора трех проблем безопасности, для которых Microsoft выпустила соответствующие заплатки.
- Брешь в HTML-справке Windows, позволяющая хакерам получать контроль над компьютером с теми же привилегиями, что и пользователь, начавший сеанс. Ее можно использовать, создав специально разработанную веб-страницу, и действует на компьютерах Windows 2003/XP/2000/NT/Me/98.
- Проблема безопасности в формате курсоров и иконок Windows. Пользователь может использовать ее для получения контроля над уязвимым компьютером, разместив специально созданную иконку или курсор на вредоносной веб-странице или в HTML-сообщении. Опасности подвергаются компьютеры Windows 2003/XP/2000/NT/Me/98.
- Уязвимость в службе индексирования (Index Server), которая позволяет выполнять удаленный код и эскалацию привилегий. Опасности подвергаются компьютеры с Windows XP -без Service Pack 2- и Windows 2003.
WmvDownloader.A и WmvDownloader.B: два троянца, распространяющиеся через P2P сети в форме видео файлов с расширением ".wmv".
Для своего распространения WmvDownloader.A и WmvDownloader.B используют Windows Media Digital Rights Management (DRM), технологию, которая запрашивает действующий лицензионный номер при запуске защищенного файла Windows Media. Если пользователь запускает видео-файл, зараженный WmvDownloader.A или WmvDownloader.B, троянцы имитируют скачивание соответствующей лицензии с определенных веб-страниц. Однако в реальности они перенаправляют пользователей на прочие адреса, с которых скачиваются вредоносные приложения – рекламные программы, программы-шпионы, дозвонщики.
Первый червь, который мы рассмотрим сегодня это Lasco.A, заражающий сотовые телефоны с операционной системой Symbian. Хотя изначально его целью были телефоны серии Nokia 60, он может влиять на другие устройства, использующие то же программное обеспечение.
Lasco.A использует следующие способы размножения.
1.- С помощью Bluetooth (технологии, позволяющей беспроводное соединение между устройствами на коротких расстояниях).
При своем запуске Lasco.A начинает поиск прочих устройств, подключенных через Bluetooth и, в случае обнаружения, посылает свою копию в файле VELASCO.SIS. Когда устройство, на которое был послан файл, выходит из зоны действия Bluetooth, Lasco.A ищет другие, подходящие для инфицирования.
2.- Помещая свой код во все SIS файлы на зараженном устройстве. При распространении и запуске этих файлов на новых устройствах они заражаются Lasco.A.
Чтобы иметь возможность распространения Lasco.A требует вмешательства пользователей, т.к. им приходит сообщение, извещающее о получении червя. Если пользователь принимает сообщение, червь устанавливается на устройство.
Мы заканчиваем сегодняшний отчет Gaobot.CKP, червем, который распространяется, создавая свои копии в сетевых ресурсах общего пользования, и использует уязвимости LSASS, RPC DCOM и WebDAV. Он также может проникать на компьютеры под управлением SQL Server, где отсутствует пароль системного администратора, и на компьютеры с запущенным DameWare Mini Remote Control. Gaobot.CKP также получает доступ к компьютерам, зараженным следующими вредоносными программами: Bagle.A, Mydoom.A, Optix, NetDevil, Kuang и SubSeven.
Gaobot.CKP предоставляет атакующему удаленное управление зараженным компьютером, позволяя производить выполнение команд, скачивать и выполнять файлы, вести журнал нажатий клавиш и выполнять DDos (Distributed Denial of Services)-атаки.
Для прочей информации по этим и другим компьютерным угрозам, посетите Вирусную Энциклопедию Panda Software: http://www.viruslab.ru
О PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 17 января 2005 г.
Ключевые слова: нет
Извините, комментариев пока нет
|