Наверное нет таких
людей, которые не сталкивались с
Компьютерным Вирусом. На этих
страницах мы хотим познакомить
Вас с очень маленькой частью
существующих вирусов, которые
безжалостно уничтожают и
разрушают программы на наших
компьютерах, взламывают файлы с
паролями, делают рассылку почты с
наших компьютеров и многое другое.
Одним словом вреда от них очень
много и поэтому мы советуем
ознакомиться с приведенной
информацией на этих страницах,
ибо она поможет Вам в будущем. И
самое главное не забывайте
пользоваться Антивирусными
программами, которые предохранят
Вас от лишней головной боли.
Троянские кони. Trojan.PSW.Phreaker Эта программа
относится к семейству "троянских
коней", ворующих системные
пароли.При запуске
троянец инсталлирует себя в
систему: копирует в системный
каталог Windows с именем KERNEL32.EXE и
регистрирует этот файл в
системном реестре в секции
авто-запуска.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
kernel32 = kernel32.exe Троянец также
создает дополнительный файл-библиотеку
KERN32.DLL. Троянец затем
регистрирует себя как скрытое
приложение (сервис) и невидим в
списке задач. Троянец
периодически отсылает
собранную информацию на
электронный адрес
злоумышленника. Сообщения
троянца содержат: имя
компьютера и его адрес в Сети,
RAS-информацию, логины и пароли
доступа в сеть и ICQ. Троянцем
также можно управлять при
помощи специальных команд,
расположенных на Web-странице
одного из публичных серверов (т.е.
троянец содержит процедуры
типа "backdoor"), однако эта
страница недоступна.
Вирусы для Win32. Win32.HLLW.Bezilom Неопасный нерезидентный Win32-вирус.
Состоит из трех компонент, все
являются приложениями Windows (PE
EXE-файлы), написаны на Visual Basic:
Natasha.exe - 143K, "дроппер"
вируса, был разослан в
несколько конференций в
середине февраля 2002 года. Maria.doc.exe - 29K, файл-вирус.
MacroSoftBL.exe - 70K, якобы
антивирусная программа (файл-"обманка").
При запуске дроппера он
создает и запускает два файла:
файл1: "PKGF320.exe" во
временном каталоге Windows,
является вирусом.
файл2: "MacroSoftBL.exe" в
каталоге "Program Files\MacroSoftBL",
с атрибутами "скрытый и
системный файл" - файл-обманка.
Вирус. При запуске копирует
себя в каталог Windows с именем
Maria.doc.exe" (с большим
количеством пробелов между
"doc" и "exe"). Этот файл
затем регистрируется в ключе
авто-запуска системного
реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
StartUp = "%WindowsDir%\Maria.doc ... .exe" Затем вирус копирует себя в
корневые каталоги доступных
дисков со случайными именами (например,
CMZYMZ.EXE, HUHHBG.EXE). Эти файлы затем
записываются на авто-запуск в
файле AUTOEXEC.BAT, который
создаётся в том же каталоге.
Обманка. Этот файл
регистрируется в ключе авто-запуска
системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MacroSoft = Program Files\MacroSoftBL\MacroSoftBL.exe Данное приложение видно в
трее. При открытии оно
сообщает о заражении вирусом и
предлагает купить
антивирусную программу.
27 февраля 2002
г.
Уязвимость
в Microsoft SQL Server.
Обнаружена еще одна
уязвимость в продуктах Microsoft.
На сей раз - в Microsoft SQL Server
версий 7.0 и 2000.Дыра связана
с пресловутой проблемой
переполнения буфера.
Воспользовавшись дырой,
злоумышленник получает
возможность с удаленного
компьютера нарушить работу SQL
Server или же выполнить
программный код.
Эксплуатировать уязвимость
можно двумя способами. Во-первых,
с помощью вызова одной из
функций, в которых существует
уязвимость, во-вторых - путем
составления специального
запроса в базу данных,
вызывающего переполнение
буфера. Результаты усилий
хакера будут зависеть от
настроек пакета программ.
Патч для SQL Server 7.0 можно скачать
здесь...
(http://support.microsoft.com/support/misc/kblookup.asp?id=Q318268) Патч
для SQL Server 2000 здесь...
(http://support.microsoft.com/support/misc/kblookup.asp?id=Q316333)
26 февраля 2002
г.
Три патча
для дыр Microsoft. Microsoft
предупреждает об обнаружении
ошибок в браузере Internet Explorer,
Microsoft Commerce Server 2000 и программе XML
Core Services версии 2.6 и выше.
Уязвимость в IE
проявляется в версиях IE 5.01 SP2,
5.5 SP1, 5.5 SP2 и 6.0 и касается
способа взаимодействия VB-скриптов
одного фрейма браузера с
контентом других фреймов.
Уязвимость связана с
проблемой защиты, которая
возникает при попытках VB-скриптов
читать данные из фрейма
браузера, расположенного на
другом домене. Как правило,
такого не происходит. Но
ошибка делает такой доступ
возможным. Дыра дает
возможность хакеру создавать
веб-страницы или e-mail-сообщения
в формате HTML, которые
позволяют читать файлы на
локальном диске пользователя
или извлекать информацию с
посещаемых им страниц. В
последнем случае,
злоумышленник может
перехватывать номера
кредитных карт и пароли
пользователей. Хакер может
читать только те локальные
файлы, которые отображаются в
браузере, такие как текстовые
или HTML-файлы. Для этого ему
необходимо знать точный путь к
этим файлам. Патч, закрывающий
данную уязвимость, можно
скачать здесь.
(http://www.microsoft.com/windows/ie/downloads/critical/q318089/default.asp) Ошибка
в Commerce Server 2000 позволяет хакеру
проводить атаки типа DoS, а
также вывести из строя сервер
или выполнить на сервере любую
программу. В ряде случаев,
злоумышленник может
распространить свой контроль
на другие компьютеры в сети, к
которым у Commerce Server есть доступ.
Баг находится в файле AuthFilter,
присутствующем в Commerce Server по
умолчанию. Атакующий может
отправить данные
аутентификации, переполняющие
буфер AuthFilter, что приводит к
отказу AuthFilter или заставляет
его выполнять нужный
атакующему код. Заплатка
доступна здесь.
(http://www.microsoft.com/Downloads/Release.asp?ReleaseID=36683) Баг в XML
Core Services версий 2.6 и выше (поставляются
с Internet Explorer 6.0, SQL Server 2000 и всеми
копиями Windows ХР) дает
злоумышленнику возможность
читать данные из компьютера
пользователя. Уязвимость
относится к элементу ActiveX (XMLHTTP),
который позволяет веб-страницам
отправлять и принимать данные
формата XML по стандартному
протоколу HTTP. Дело в том, что
XMLHTTP осуществляет ненадежную
проверку параметров
безопасности некоторых типов
запросов данных на веб-странице.
Благодаря этому хакер,
предварительно заманив юзера
на свою веб-страницу, может
запрашивать данные с жесткого
диска пользователя, причем
злоумышленник должен знать
полный путь к файлу, который он
желает прочесть. Патч можно
скачать здесь.
(http://www.microsoft.com/windows/ie/downloads/critical/q317244/default.asp)
25 февраля 2002
г.
МР3 файлы
не всегда безопасны.
Раньше
злоумышленникам никогда не
приходило в голову атаковать
веб-браузеры и запускать
скрипты на компьютерах
любителей MP3 с помощью медиа-плееров
Microsoft и RealNetworks. Уловка была
впервые использована
порнографическими сайтами и
спамерами, распространявшими
поддельные файлы формата MP3.
Один такой MP3-файл, якобы
содержащий музыку Лос-Анжелеской
рок-группы "Lifehouse", при
проигрывании на Windows Media Player
запускает порнографическое
видео и генерирует огромное
число рекламных окошек.
Тесты Newsbytes показали, что
Windows Media Player и RealOne Player (RealNetworks)
уязвимы к атакам, проводимым
посредством специального
мультимедийного файла. То есть
злоумышленники
переименовывают этот файл
таким образом, что он
приобретает расширение .MP3. А
из-за того, что файлы формата
MP3, как правило, не содержат
вирусов и прочих вредоносных
кодов и не вызывают никаких
подозрений у пользователей
интернета, последние спокойно
обмениваются этими файлами с
незнакомыми людьми
посредством служб типа Morpheus,
Grokster и Kazaa. Злоумышленники
могут легко воспользоваться
подобной доверчивостью,
конвертировав
порнографические и рекламные
файлы в формат mp3.
То есть пользователь может
попасть в ловушку, заманенный
псевдо-MP3 файлом. По тестам
Newsbytes, медиа-плееры обеих
компаний проигнорировали
несоответствия между
действительным форматом файла
и именем расширения файла. К
примеру, специальный
мультимедийный файл,
созданный Newsbytes в формате .WMA,
являющимся собственностью
Microsoft, вполне нормально был
воспроизведен в Windows Media Player,
после того как был
переименован в файл с
расширением .MP3. Точно так же,
плеер RealOne успешно запустил
файл RealVideo, переименованный в
файл с расширением .MP3, и
наоборот.