Danger! Вирус!

Worm.Win32.Padobot.a,b



viruslist.com

Вирус массовой рассылки Netsup

Компания Symantec зафиксировала появление нового червя массовой рассылки, получившего название Netsup. Вредоносная программа распространяется по электронной почте в виде файлов-вложений размером в 22016 байт. Обратный адрес при этом либо генерируется по заложенной в коде схеме, либо берется из книги контактов Microsoft Outlook на инфицированном компьютере. Тема сообщения выбирается произвольным образом из созданного автором вируса списка, а вот содержимое письма никогда не меняется. В теле послания, в частности, указано, что из-за ошибки оно не может быть доставлено, в связи с чем получателю предлагается запустить прикрепленный файл с оригинальным текстом.
В случае, если пользователь выполняет предложенные действия, червь копирует себя в системный каталог Windows под видом файла msnmsgs.exe и изменяет реестр, добавляя записи для автоматического самозапуска. В процессе рассылки инфицированных писем применяется встроенный SMTP-сервер. Кроме того, червь Netsup пытается проникнуть в файлообменные сети, для чего помещает собственные копии в общедоступные папки под видом крэков и интерфейсных тем, например, The Sims Britney Spears Skin.exe или Winzip_password_cracker.Nero_4_Ultra_Keygen_deviance.exe.

Вирус Netsup способен заражать компьютеры, работающие под управлением операционных систем Windows 95, 98, Me, NT, 2000, Server 2003 и XP. Специалисты Symantec оценивают опасность вредоносной программы как среднюю, необходимые обновления антивирусных баз данных для защиты от червя уже выпущены.

Компьюлента

Червь Plexus использует наработки автора Mydoom
4 июня 2004 года, 15:14
Текст: Владимир Парамонов

Компания "Лаборатория Касперского" обнаружила новую вредоносную программу Plexus, способную распространяться по электронной почте в виде файлов-вложений, а также через уязвимости в службах LSASS (локальная подсистема аутентификации пользователей) и RPC DCOM (удаленный вызов процедур) Microsoft Windows.

Червь написан на языке Visual C++ с использованием исходного кода вируса Mydoom. Размер в запакованном виде составляет 16208 байт, в распакованном - 57856 байт. После запуска вредоносная программа записывает себя в системный каталог Windows под именем upu.exe, регистрируется в ключе автозагрузки реестра и пытается воспрепятствовать обновлению баз данных антивируса Касперского.

Для дальнейшего размножения червь Plexus копирует собственный код на общедоступные сетевые ресурсы, пытается проникнуть в файлообменные сети под видом полезных утилит и осуществляет массовые рассылки писем по электронной почте, предварительно собрав адреса из файлов с расширениями .htm, .html, .php, .tbb и .txt. Кроме того, как уже упоминалось, Plexus способен задействовать дыры в подсистемах LSASS и RPC DCOM. Наконец, вирус открывает на прослушивание порт 1250, предоставляя возможность осуществлять загрузку файлов на машину-жертву с их последующим запуском.

"Лаборатория Касперсокого" уже выпустила обновления антивирусных баз данных, правда, в том случае, если компьютер заражен червем, пользователю для загрузки апдейта предварительно придется удалить файл hosts из папки Windows\System32\drivers\etc\hosts.

Следует также добавить, что одновременно с обнаружением вируса Plexus компания Panda Software зафиксировала появление очередной версии вредоносной программы Padobot (другое название Korgo). Вариант с индексом "D" функционально практически не отличается от своих предшественников, хотя с целью маскировки больше не выводит на дисплей сообщений об ошибке. Напомним, что вирус Padobot также использует дыру в службе LSASS.

"Лаборатория Касперского", ведущий российский разработчик систем
защиты от вирусов, хакерских атак и спама, сообщает об обнаружении
первого сетевого червя "Cabir", имеющего функции распространения по
сотовым сетям и заражения мобильных телефонов под управлением
операционной системы Symbian OS. К счастью, на данный момент не
зарегистрировано инцидентов, вызванных "Cabir".

Предположительно червь был создан неизвестным под псевдонимом
"Vallez", принадлежащим к международной группировке вирусописателей
"29A", которая специализируется на создании концептуальных вредоносных
программ. Ранее, эта группа "прославилась" авторством таких печально
известных вирусов как "Cap" (первый макро-вирус, вызвавший глобальную
эпидемию), "Stream" (первый вирус для дополнительных потоков NTFS),
"Donut" (первый вирус для платформы .NET), "Rugrat" (первый вирус для
платформы Win64).

В ходе предварительного анализа кода вредоносной программы
выяснилось, что "Cabir" доставляется на телефон в виде файла формата SIS
(дистрибутив операционной системы Symbian), маскируясь под утилиту для
защиты телефона Caribe Security Manager. При запуске зараженного файла
червь выводит на экран надпись "Caribe", внедряется в систему и
активизируется при каждой загрузке телефона. После этого "Cabir"
сканирует доступные устройства, использующие технологию передачи данных
Bluetooth, выбирает первый из них и пересылает ему свою копию.

На данный момент каких-либо деструктивных функций в "Cabir" не
обнаружено.

Червь был создан специально для работы в Symbian OS для мобильных
телефонов Nokia (например, серии 92x0). Однако, не исключено, что
"Cabir" также работоспособен и в телефонах и мобильных устройствах
других производителей.
kaspersky.ru

Первый "троянец" для КПК родом из России
Опасаться вирусных эпидемий следует теперь и владельцам карманных компьютеров. Вслед за обнаружением в июле пока еще безвредного вируса, поражающего КПК, специалисты в области инфобезопасности сообщили сегодня о появлении первого «троянца», позволяющего злоумышленнику «перехватить» управление чужим карманным компьютером, сообщает CNews.

По информации «Лаборатории Касперского», появилась первая backdoor-программа, получившая по классификации компании название Backdoor.WinCE.Brador.a, — утилита удаленного администрирования, позволяющая злоумышленнику перехватить управление пораженным компьютером. Программа размером 5632 байт поражает КПК на базе Windows CE. После запуска она создает файл с именем svchost.exe в каталоге запуска Windows, получая, таким образом, полное управление системой при каждом включении КПК. Вирус определяет IP-адрес зараженной системы и отправляет его по электронной почте автору, информируя его о том, что КПК находится в сети, и программа-backdoor активна. После этого вирус открывает порт 44299 для приема различных команд.

Основная функция Brador.a — открытие портов на зараженных машинах с целью получения злоумышленниками доступа к КПК и полного контроля над мобильным устройством. Программа обладает функцией автозагрузки и удаленного управления, кроме того, она может добавлять или удалять файлы на жестком диске, а также пересылать их злоумышленнику. Обнаруженный вирус не имеет функции самораспространения и может попасть на КПК пользователя под видом другой безобидной программы, по классическим для троянских программ схемам: зараженные вложения в электронных письмах и загрузка через Сеть, а также при передаче данных с настольного компьютера.

По данным аналитиков «Лаборатории Касперского», автором WinCE.Brador.a предположительно может являться наш соотечественник — такой вывод сделан в связи с тем, что информация о появлении первой «официальной» backdoor-программы для PocketPC поступила с российского адреса электронной почты, текст сообщения составлен на русском языке. Особые опасения внушает тот факт, что данная разработка является коммерческой (предлагается приобретать клиентскую часть за деньги), а это означает, что распространение вируса может оказаться стремительным.

Напомним, что первый вирус, поражающий карманные компьютеры с процессорами ARM под управлением операционной системы Windows CE, был обнаружен 17 июля румынской компанией Softwin S. R. L. (г. Бухарест) — он получил обозначение Duts. За месяц до того стало известно о первом сетевом черве под названием Cabir, заражающем мобильные телефоны под управлением операционной системы Symbian OS, на базе которой работает большая часть представленных сегодня на рынке смартфонов. Оба вируса являлись концептуальными и никаких вредных действий не производили. Их авторство приписывается вирусописателю, известному под псевдонимом Vallez, который принадлежит к международной группировке 29A, специализирующейся на создании вредоносных программ-"первопроходцев".

"Обнаружение первой троянской программы для карманных компьютеров подтверждает наши опасения, высказанные недавно в связи с появлением концептуальных вирусов для мобильных телефонов и для операционной системы Windows Mobile, — говорит Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского». — WinCE.Brador.a — полноценная вредоносная программа, здесь речь уже не идет о демонстрации вирусописателями своих возможностей, мы можем наблюдать набор деструктивных функций, характерный для большинства бэкдоров".

Подобные опасения высказывались и на конференции по компьютерной безопасности Black Hat Briefings, прошедшей в Лас-Вегасе в конце июля. Эксперты заявили о том, что вирусы для мобильных устройств могут оказаться куда опасней их сородичей, поражающих обычные компьютеры. На конференции был представлен ряд программ, демонстрирующих уязвимость мобильных платформ. Особую тревогу у экспертов вызвал тот факт, что для превращения известного на тот момент вируса Duts в полноценную вредоносную программу, необходимо модифицировать всего несколько строк кода.

«Пользователи мобильных устройств находятся в реальной опасности, и мы можем только предположить, что компьютерный андеграунд в ближайшее время еще больше активизируется в создании вредоносных программ для мобильных телефонов и карманных компьютеров. Ситуация с мобильными устройствами развивается так же, как в свое время с настольными компьютерами, и вполне возможно, что нас ожидают крупные вирусные эпидемии для КПК», — добавил Евгений Касперский.
securitylab.ru

Антивирусная компания Symantec обнаружила в интернете новую модификацию печально известного червя Sasser.
Как и предшествующие варианты, Sasser.G при распространении использует уязвимость в локальной подсистеме аутентификации пользователей операционных систем Windows 2000 и ХР. Червь записывает себя в директорию Windows под именем avserve3.exe или wserver.exe и регистрируется в ключе автозапуска реестра. Далее вредоносная программа открывает FTP-сервер на порте 5554 и осуществляет сканирование произвольных IP-адресов в поиске уязвимых машин. Подробное описание червя Sasser.G ищите здесь.

Источник: Компьюлента

Эксперты предупреждают о мощной интернет-атаке террористов, которая может состояться 26 августа

"У них (террористов) есть достаточно знаний и опыта для парализации работы интернета. Интернет может прекратить свою работу на несколько часов", - сказал на пресс-конференции в РИА "Новости" один из ведущих российских антивирусных экспертов Александр Гостев.
По его словам, информация о готовящейся атаке была опубликована на специализированных сайтах. "Ее достоверность оценить сложно, - сказал Гостев. - Мы оцениваем те возможности и те средства, которыми обладают террористы, и они вызывают наши опасения".
По его словам, в первую очередь от атаки пострадают США и Западная Европа, в меньшей степени - Япония.
В свою очередь, Евгений Касперский, руководитель антивирусной лаборатории Касперского, отметил, выступая на пресс-конференции, что военным объектам России такая опасность не грозит, потому что они "находятся на значительном удалении от интернета".
"Меньше всего пострадают страны, которые меньше других зависят от интернета, например Афганистан", - сказал Касперский. По его мнению, если интернет окажется на несколько часов "выключенным", работа многих компаний будет парализована.
Он отметил, что угроза атаки для частных пользователей не так велика, как для крупного бизнеса и государственных структур. По словам Касперского, в результате подобных атак в прошлом прекратила работу железная дорога Австралии, посольство США перестало выдавать визы, Южная Корея была на несколько часов отключена от интернета.
"Я боюсь, что если террористические организации возьмутся за дело, остановить их будет невозможно", - заключил Касперский.

Источник: @Astera

Ждать ли 26 августа атаки "террористических вирусов"?

Эксперты по борьбе с компьютерными вирусами сомневаются в достоверности утверждений, сделанных Евгением Касперским на пресс-конференции РИА "Новости". Напомним, что основатель "Лаборатории Касперского" объявил, что "определенными исламскими группировками 26 августа объявлено Днем электронного джихада". Он предупредил о вероятности вирусных атак, в результате которых интернет может быть парализован на несколько часов.

Ещё вчера в интервью "Лента.ру" исполнительный директор компании Dr. Web сказал: "Я не верю в массированные интернет-атаки, поскольку на основных узловых серверах стоит защита, а конец света, в принципе, "Лаборатория Касперского" предрекает уже давно". Другие специалисты по компьютерной безопасности, с которыми сегодня связалась "Компьюлента", подтверждают, что также не располагают сведениями о грядущем апокалипсисе.

Константин Архипов, руководитель российского представительства Panda Software: "Никакой информацией о вероятной интернет-атаке террористов, назначенной на 26 августа, мы не располагаем. Более того, сложно оценить, на чем основано заявление Евгения Каперского по поводу "электронного джихада". С завидной периодичностью представители этой антивирусной компании делают мрачные прогнозы, предрекая очередной конец света. И хотелось бы наконец разобраться, чего хочет добиться Касперский, раз за разом делая подобные утверждения. Здесь есть два варианта. Либо он просто распространяет заведомо ложную информацию, не подкрепленную никакими фактами, чем сеет панику среди пользователей и побуждает их к неадекватным действиям. Такое поведение можно сравнить с механизмом тех же компьютерных мистификаций, которые внедряются на компьютер пользователя, создавая ложное впечатление о заражении машины вирусом и, тем самым, мешая нормальной работе, что оборачивается потерями времени, а зачастую, и финансов. И работа антивирусных производителей заключается как раз в борьбе с подобными программами. Ну, а если же Касперский действительно обладает подобными сведениями высокой, можно даже сказать, государственной важности, то напрашивается вопрос, во-первых, кто является его источником такой информации, а во-вторых, почему же он, являясь единственным посвященным лицом, не делится этими сведениями ни с органами государственной власти, ни с коллегами по информационной безопасности. Ведь если свершится то, что он предсказывает (а угроза терроризма сейчас как нельзя более актуальна), то потери будут значительными, и необходимо попытаться предотвратить ситуацию, объединив усилия. Касперский же предпочитает остаться единственным обладателем таких секретных сведений, что наводит на мысль, что эти заявления - всего лишь очередная попытка заработать себе имя и дешевую популярность".

Андрей Каримов, руководитель отдела антивирусных исследований Proantivirus Lab: "Вероятность проведения атаки - 50/50. Вполне возможно, что-то состоится. "Мощная интернет-атака" - это, конечно, сильно сказано, но попытки скоординировать DDoS-атаки, вирусные эпидемии и т.д. уже были. На манер модного нынче флэш-моба. Но, возможно, ничего и не случится, ибо все эти попытки, как правило, проваливались".

Дмитрий Леонов, создатель сайта BugTraq.Ru: "В принципе, в подобной атаке нет ничего невозможного. Но к заявлениям, не подкрепленным ссылками на заслуживающий внимания источник, лично у меня нет никакого доверия. Завтра, конечно, все узнаем окончательно".

Как пояснил "Компьюленте" Алексей Зернов, менеджер по корпоративным коммуникациям и PR в "Лаборатории Касперского", информация об атаках была впервые опубликована 23 августа на ряде российских и арабских сайтов, в частности, по адресам http://www.securitylab.ru/47339.html, http://www.sedmoykana....php3?id=68548 и http://www.nfc.co.il/.

compulenta.ru

Обнаружена новая модификация червя Mydoom

Компания Symantec предупреждает о появлении новой модификации червя Mydoom. Вариант Mydoom.AD распространяется по электронной почте в виде вложений с различными именами, через популярные файлообменные сети, а также через каналы IRC.

После проникновения на компьютер-жертву вредоносная программа регистрируется в ключе автозапуска системного реестра, завершает ряд процессов, связанных со службами безопасности, и пытается запретить доступ к сайтам антивирусных компаний. Далее червь осуществляет сканирование жестких дисков в поисках адресов электронной почты, по которым затем отправляются копии вредоносного кода. При организации массовых рассылок Mydoom.AD применяет встроенный SMTP-сервер.

Источник: Информационный портал - "Компьюлента"


В чат-румах распространяется червь Noomy.A.

Специалисты в области ИТ-безопасности предупреждают о появлении нового компьютерного червя Noomy.A. По мнению экспертов компании PandaLabs, этот сложный и опасный код, пока еще не распространившийся в Сети широко, имеет ряд особенностей, которые делают его очень серьезной потенциальной угрозой для пользователей чата Internet Relay Chat (IRC).

Червь написан на Visual Basic; на зараженном компьютере он создает HTTP-сервер и генерирует файлы, содержащие свои копии. Файлы могут иметь названия 2004serials.pif, Ageofempires2crack.exe, AgeOfMythologyISO.exe, AnaKurnikovaVirualGirl2004.scr и др.


Затем Noomy.A соединяется с IRC-каналами как пользователь и начинает отправку сообщений в чат-румы. Для того, чтобы сделать контент сообщений привлекательным и убедить пользователя загрузить хакерский файл, используется технологии социальной инженерии. Сообщения могут содержать следующие тексты: "Если Вас интересуют новейшие крэки - добро пожаловать на мой сайт", "Загрузите заставку с изображением Бритни Спирс пока я в онлайне" и т.д. Сообщения содержат ссылки на серверы, созданные на зараженных компьютерах.


Noomy.A может останавливать работу защитных средств, в том числе антивирусов, что приводит к заражению и другими вредоносными программами.


Также данный червь распространяется через электронную почту. При этом он может содержаться в письмах с разнообразными названиями и содержанием тела письма. Письма могут иметь расширения .dbx, .htm, .html и .php. На зараженном компьютере Noomy.A рассылает себя по всем найденным адресам.

Источник: CNews

В распространенной форумной системе Invision Power Board найдена уязвимость.
По сообщению датской компании Secunia, специализирующейся на вопросах сетевой безопасности, дыра обеспечивает возможность проведения XSS-атак (Cross-Site Scripting) на удаленные компьютеры. Проблема связана с ошибкой в модуле "index.php", уязвимость содержится в пакете Invision Power Board версии 2.0 и, вероятно, более ранних модификациях программы. Способов устранения дыры на сегодняшний день не существует.

Компания Symantec обнаружила новую вредоносную программу, получившую название Fili.
Этот червь способен распространяться через каналы IRC, популярные файлообменные сети, такие как KaZaA, Morpheus, eDonkey и Grokster, а также по электронной почте в виде вложений с расширениями bat, cmd, com, exe, pif или scr. После активации вирус записывает в системную директорию Windows свою копию под именем pilif.exe и добавляет ссылку на данный файл в ключ автозапуска реестра. Далее червь пытается закрыть ряд процессов, связанных со службами безопасности, и запретить доступ к диспетчеру задач. При организации массовых рассылок вредоносного кода Fili использует адреса, найденные в книге контактов Outlook.

Компания Symantec зафиксировала появление нового макровируса Prece, поражающего документы Microsoft Word.
После активации эта вредоносная программа инфицирует шаблон Normal.dot и вносит ряд изменений в настройки вышеназванного текстового редактора. В частности, Prece отключает антивирусную защиту, а также запрещает отображение списка ранее открытых файлов. Кроме того, вредоносная программа удаляет все файлы с расширением SCP в директории C:\Program Files\Accessories в том случае, если системная дата установлена на 21 апреля или любой последующий день.

Источник:www.compulenta.ru