| |
VirusList.com Вирусные предупреждения и новости. 12 августа 2003
******************************************************************
1. 1,8 секунды, которые спасли интернет
2. Как подписаться/отписаться на/от новостных блоков
3. Правила безопасности
****
1. 1,8 секунды, которые спасли интернет
"Лаборатория Касперского" сообщает о начале крупномасштабной
эпидемии нового сетевого червя Lovesan. За несколько часов он сумел
достичь вершины списка самых опасных вредоносных программ и вызвать
многочисленные заражения компьютеров.
Lovesan проникает на компьютеры через недавно обнаруженную брешь в
сервисе DCOM RPC операционной системы Microsoft Windows и потенциально
способен производить на подконтрольном компьютере любые манипуляции.
Ошибке, которая была обнаружена лишь недавно, подвержены все серверные
версии Windows NT, начиная с 4.0 и заканчивая Server 2003, что и
обусловило взрывной характер эпидемии.
Lovesan - не первая вредоносная программа, атакующая компьютеры
через эту брешь: лишь неделю назад в интернете был обнаружен червь
Autorooter не имевший, в отличие от своего последователя,
полнофункциональной системы автоматического распространения.
"Лаборатория Касперского" прогнозировала
(http://www.kaspersky.ru/news.html?id=1316699) подобное развитие событий
и рекомендовала пользователям принять необходимые меры предосторожности.
"Слабость вирусописателей к уязвимости в DCOM RPC объясняется
большой информационной шумихой, поднятой вокруг нее две недели назад, и
наличием готовых примеров проведения атаки, которые доступны на многих
маргинальных web-сайтах", - комментирует Евгений Касперский,
руководитель антивирусных исследований "Лаборатории Касперского".
В процессе распространения Lovesan сканирует порт 135 TCP/IP в
поисках уязвимых компьютеров и проверяет возможность проведения атаки.
Если соответствующее обновление Windows не установлено, червь
осуществляет закачку на компьютер своего файла-носителя MSBLAST.EXE.
Этот файл затем регистрируется в секции автозагрузки системного реестра
Windows и запускается.
Опасность червя заключается даже не столько в несанкционированном
проникновении на компьютеры пользователей, сколько в генерации огромного
объема "мусорного" трафика, переполняющего каналы передачи данных
интернета.
"На этот раз интернет спасла запрограммированная в Lovesan
1,8-секундная задержка между попытками заражения других компьютеров. В
черве Slammer, вызвавшем в январе этого года десегментацию и замедление
сети, такой задержки не было", - продолжает Евгений Касперский.
Основной вредоносной функцией Lovesan является активизирующийся 16
августа механизм DDoS-атаки на сайт windowsupdate.com, на котором
находятся те самые обновления для операционных систем семейства Windows.
В этот день веб-сайт подвергнется массированной бомбардировке пакетами
данных с зараженных компьютеров, в результате чего может стать
недоступным.
В целях противодействия угрозе необходимо немедленно установить
обновление
(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp)
для Windows, закрывающее брешь, и по возможности заблокировать с помощью
межсетевого экрана TCP/IP-порты 135, 69 и 4444, если они не используются
другими приложениями.
Более подробная техническая информация доступна в "Вирусной
энциклопедии":
Worm.Win32.Lovesan
(http://www.viruslist.com/viruslist.html?id=2727712)
Вирус-червь. Распространяется по глобальным сетям, используя для
своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание
приведено в Microsoft Security Bulletin MS03-026...
Worm.Win32.Autorooter
(http://www.viruslist.com/viruslist.html?id=2709083)
Является набором Win32 EXE-файлов (компонент). По своей функциональности
схож с сетевым Win32-червем: распространяется по локальным или глобальным
сетям, однако в данной версии червя эта функция полностью не реализована...
Данил Гридасов
|
Цомпутершики! ХЭЛП! Ну достало. Седня с у -- Продавец Байдарок -- 12.08.03@13:43 (Чит.: 167)