Обнаружен новый червь для Linux
Сегодня утром в интернете появился новый червь для Linux — это уже второй новый червь для Linux за последние пару месяцев (первым был Net-Worm.Linux.Lupper).
Червь получил название Net-Worm.Linux.Mare.a. Для своего распространения Mare.a использует php include. Вместе с червем также распространяется новая версия IRC-бота Backdoor.Linux.Tsunami.
Trojan-Downloader.Win32.Agent.acd
Тип вредоносной программы: Троянская программа (Trojan)
Уровень опасности: Высокий
Длина: 16'036 байт
ОС подверженные заражению: Windows XP (SP2), Windows XP (SP1) и Microsoft Windows Server 2003 (SP0 или SP1)
Возможные названия: WMF - Trojan, Exploit-WMF trojan, Exploit.Win32.Agent.t, Troj/DownLdr-LW (Sophos), W32/PFV-Exploit (F-Secure)
Описание
Trojan-Downloader.Win32.Agent.acd является WMF файлом (Windows Metafile) использующим уязвимость в процессе обработки операционной системой WMF-файлов.
Уязвимости подвержены операционные системы Windows XP (SP2), Windows XP (SP1) и Microsoft Windows Server 2003 (SP0 или SP1).
Данная уязвимость работает в браузере Internet Explorer.
Создана и специальная эвристическая процедура детектирования новых разновидностей и модификаций Type_WMF-TROJAN
Данная “WMF-уязвимость” особенно опасна потому, что она имеет статус критической, а соответствующего исправления программных модулей от компании Microsoft еще не существует.
Настоятельно рекомендуется пользователям не открывать файлы с расширением *.wmf, а также, по возможности отказаться от использования браузера Internet Explorer или установить уровень безопасности на максимальную отметку (High).
Тип вредоносной программы: Троянская программа (Trojan)
Уровень опасности: Высокий
Длина: 16'036 байт
ОС подверженные заражению: Windows XP (SP2), Windows XP (SP1) и Microsoft Windows Server 2003 (SP0 или SP1)
Возможные названия: WMF - Trojan, Exploit-WMF trojan, Exploit.Win32.Agent.t, Troj/DownLdr-LW (Sophos), W32/PFV-Exploit (F-Secure)
Описание
Trojan-Downloader.Win32.Agent.acd является WMF файлом (Windows Metafile) использующим уязвимость в процессе обработки операционной системой WMF-файлов.
Уязвимости подвержены операционные системы Windows XP (SP2), Windows XP (SP1) и Microsoft Windows Server 2003 (SP0 или SP1).
Данная уязвимость работает в браузере Internet Explorer.
Создана и специальная эвристическая процедура детектирования новых разновидностей и модификаций Type_WMF-TROJAN
Данная “WMF-уязвимость” особенно опасна потому, что она имеет статус критической, а соответствующего исправления программных модулей от компании Microsoft еще не существует.
Настоятельно рекомендуется пользователям не открывать файлы с расширением *.wmf, а также, по возможности отказаться от использования браузера Internet Explorer или установить уровень безопасности на максимальную отметку (High).
Санта-Клаус несет вирус
Пользователи электронной почты были неприятно удивлены, получив под видом новогодней поздравительной открытки с Санта-Клаусом новый тип компьютерного вируса. Рождественский троян «MerryX.A» рассылается по почте в виде поздравительного письма.
В приложении к такому письму находится анимированный файл о Санта-Клаусе, который действительно воспроизводится на компьютере адресата. Правда, во время показа поздравительного ролика на компьютер устанавливается вредоносное программное обеспечение. Пока пользователь рассматривает картинку, «червь» пытается установить в его системе программу типа rootkit. Далее программа пытается разрешить удаленному пользователю получить полный доступ к ресурсам компьютера, что, в конечном итоге, чревато для хозяина машины большими проблемами, например, потерей конфиденциальной информации, если она имеется на зараженном компьютере, сообщает Аmericaru.
Поздравительные программы часто используются хакерами для обмана систем безопасности программного обеспечения и позволяют получить удаленный контроль над компьютером. Таким образом, хакер закрепляется на взломанном компьютере и остается при этом необнаруженным. Попав на компьютер, «червь» от имени пользователя рассылает себя по имеющимся адресам, передает Интернет Репортер. В корпоративных сетях, вирусы, подобные «червю» с Санта-Клаусом, могут представлять особую угрозу, поскольку некоторые работники открывают ссылки от информационных порталов на лету, не уведомляя технический персонал, сообщает MIGnews.ru.
В то же время тот факт, что на этот раз угроза исходит от порталов массовой рассылки, ознаменовало новый этап в распространении вирусов. Специалисты прогнозировали такое развитие - принимая во внимание растущее число новых, инновационных решений в области вирусописания за последние годы. Как констатировали в компании IMLogic, занимающейся безопасностью в Интернете, с начала 2005 года опасность, связанная с рассылкой сообщений, возрастала с каждым месяцем.
В прошлом году всплеск активности вирусоразработчиков пришелся опять-таки на рождественские праздники. Вирус, названный Zafi.D, распространялся посредством электронной почты: заражая пользовательский компьютер, программа сканировала адресную книжку почтового клиента и рассылала свои копии по всем найденным адресам. Узнать вирус можно было по поздравлению с Рождеством и Новым годом, написанном на одном из пятнадцати языков стран-членов Евросоюза. Выбор языка происходил автоматически в зависимости от того, в каком национальном домене сидит почтовый провайдер жертвы, что делает вирус еще более опасным, сообщает Internet.ru .
«Сложность в том, что разработчики «червей» прибегают к тактикам, которые оказались эффективными в e-mail кампаниях», - говорит представитель IMLogic. Вирусописатели могут видоизменять ранние версии вирусов и применять разные стратегии. Другая проблема заключается в том, что рядовые пользователи еще не всегда осознают, что черви и вирусы могут передаваться через системы рассылок, отметил представитель IMLogic. Согласно информации компании SurfControl, за последний год количество вирусов, маскирующихся под поздравительные открытки, выросло на 90%.
Надеяться на то, что «вирусологи» ограничатся лишь новогодним «налетом» на компьютеры пользователей, не стоит. В 2003 году вирус замаскировали под поздравительную открытку к 8 Марта. Открытки рассылались пользователям в ночь с 4 на 5 марта. При посещении сайта, адрес которого прилагался, пользователю предлагалось скачать файл для просмотра открытки. Открытка же являлась в действительности вирусом Wmpatch. Поздравление с вирусом получили до 1.000.000 адресатов.
Деловая газета «Взгляд»
Win32.VB: помесь червя и кролика
Червь Win32.VB размножается, как кролик, распространяется по Сети со скоростью лесного пожара, но при этом не представляет особой опасности для большинства пользователей.
К такому выводу пришли эксперты компании F-Secure, ведущие собственную статистику сетевых происшествий. Распространяющийся посредством спам-технологий червь Win32.VB занял третье место в хит-параде финской компании. Всего за два дня служба поддержки F-Secure получила почти семьсот писем от жертв новой сетевой напасти.
Тем не менее, несмотря на его повышенную назойливость, червь не представляет собой особой угрозы и без особого труда сдерживается антивирусными программами и межсетевыми фильтрами, пишет CNET. Так что, если вы регулярно обновляете базы соответствующих программ, опасаться вам нечего.
Вирус прикидывается шифровкой из GMail
Вирусами, распространяющимися по электронной почте, давно никого не удивишь. Времена, когда в письма вкладывались просто файлы с вирусами постепенно уходят. Чтобы обойти антивирусные фильтры, вирусописатели прячут свои творения в архивы, защищают их паролями и стараются убедить пользователя открыть зараженный файл.
Для этой цели используются самые разные подходы: то вирусописатели утверждают, что прислали порнографию, то секретный документ. Недавно в редакцию "Компьюленты" пришло письмо с темой "Encrypted E-mail Service (GMail)" (зашифрованная почтовая служба GMail). В тексте письма говорилось, что один из пользователей GMail прислал получателю зашифрованное послание - поздравление с новым годом.
Для расшифровки послания предлагается открыть архив mail.zip, пароль к которому прилагается. Разумеется, после открытия содержимого архива компьютер будет заражен вирусом. Это подтвердила и проверка архива онлайновой версией антивируса Dr. Web. По его мнению, архив содержит в себе вирус Win32.HLLM.Graz.
Источник: compulenta.
Червь Nyxem-D предлагает подучить Камасутру
Распространяющийся по электронной почте сетевой червь предлагает своим жертвам полюбоваться на картинки из индийского учебного пособия по плотской любви, не забывая заразить Windows-машины попавшихся на удочку простаков.
Помимо собственно обещаний показать жертве сценки из индийского бестселлера всех времен и народов, червь рассылает себя с такими заголовками, как The Best Videoclip Ever, Fw: SeX.mpg и Miss Lebanon 2006, сообщает The Register.
Если жертве хватит ума активировать червя, Nyxem-D пытается отключить антивирусные программы, а затем собирает все контакты из записных книжек коммуникационных программ, установленных на зараженном компьютере. Кроме того, червь снабжен механизмом автоматического обновления, с помощью которого он закачивает на машину-носителя свежие версии программы.
Internet.ru
Trojan.Encoder
Кодирует файлы документов и требует деньги за дешифровку.
Сообщение от «Доктор Веб»
QUOTE
27 января 2006 года
За последние сутки в Службу вирусного мониторинга компании «Доктор Веб» поступило несколько обращений от пользователей, файлы документов которых оказались закодированы неизвестным вирусом. Кроме зашифрованных и поэтому недоступных для прочтения файлов все жертвы вируса обнаружили на своих дисках многочисленные копии файла readme.txt, в котором содержалось сообщение о том, что файлы пользователя зашифрованы и предлагалось обратиться с письмом на указанный адрес электронной почты для расшифровки файлов.
В этой связи компания «Доктор Веб» информирует своих пользователей, что в данном случае речь идет о поражении системы троянской программой, которая детектируется антивирусным ядром Dr.Web как Trojan.Encoder (добавлен в вирусную базу 26 января 2006 года). Троянская программа попадает на компьютеры своих жертв по электронной почте и прописывает себя в ключ реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
services = Filename.exe
Троянец активируется, используя уязвимость операционной системы. Поселившись на компьютере жертвы, программа ищет файлы со следующими расширениями:
"rtf" ,"txt" ,"pdf" ,"csv" ,"frm" ,"css" ,"xls" ,
"mdb" ,"dbf" ,"dbt" ,"db" ,"safe" ,"flb" ,"pst" ,"pwl" ,"pwa" ,"pak" ,"rar" ,
"zip" ,"arj" ,"gz" ,"tar" ,"sar" ,"htm" ,"html" ,"cgi" ,"pl" ,"kwm" ,"pwm" ,
"cdr" ,"dbx" ,"mmf" ,"tbb" ,"xml " ,"frt" ,"frx" ,"gtd" ,"rmr" ,"chm" ,"mo" ,
"man" ,"c" ,"cpp" ,"h" ,"pgp" ,"gzip" ,"lst" ,"pfx" ,"p12" ,"db1" ,"db2" ,
"cnt" ,"sig" ,"css" ,"arh" ,"pem" ,"key" ,"prf" ,"old" ,"rnd" ,"prx"
и шифрует их с помощью алгоритма RSA. В дальнейшем автор вируса требует со своих жертв деньги за дешифровку. Свой адрес шантажист сообщает в файле readme.txt
Some files are coded by RSA method.
To buy decoder mail: ****[email protected]
with subject: RSA 5 68243170728578411
Специалисты антивирусной лаборатории компании «Доктор Веб» оперативно разработали специальную дешифрующую программу, позволяющую вернуть все пораженные троянцем файлы документов в первоначальное состояние. Мы предлагаем всем, кто столкнулся с вышеуказанной проблемой, обращаться в Службу технической поддержки компании «Доктор Веб» - Вам помогут совершенно бесплатно!
Вы также можете сами воспользоваться этой программой, скачав ее с с нашего FTP сервера
Параметры командной строки:
te_decrypt.exe имя_файла_который_требуется_дешифровать
За последние сутки в Службу вирусного мониторинга компании «Доктор Веб» поступило несколько обращений от пользователей, файлы документов которых оказались закодированы неизвестным вирусом. Кроме зашифрованных и поэтому недоступных для прочтения файлов все жертвы вируса обнаружили на своих дисках многочисленные копии файла readme.txt, в котором содержалось сообщение о том, что файлы пользователя зашифрованы и предлагалось обратиться с письмом на указанный адрес электронной почты для расшифровки файлов.
В этой связи компания «Доктор Веб» информирует своих пользователей, что в данном случае речь идет о поражении системы троянской программой, которая детектируется антивирусным ядром Dr.Web как Trojan.Encoder (добавлен в вирусную базу 26 января 2006 года). Троянская программа попадает на компьютеры своих жертв по электронной почте и прописывает себя в ключ реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
services = Filename.exe
Троянец активируется, используя уязвимость операционной системы. Поселившись на компьютере жертвы, программа ищет файлы со следующими расширениями:
"rtf" ,"txt" ,"pdf" ,"csv" ,"frm" ,"css" ,"xls" ,
"mdb" ,"dbf" ,"dbt" ,"db" ,"safe" ,"flb" ,"pst" ,"pwl" ,"pwa" ,"pak" ,"rar" ,
"zip" ,"arj" ,"gz" ,"tar" ,"sar" ,"htm" ,"html" ,"cgi" ,"pl" ,"kwm" ,"pwm" ,
"cdr" ,"dbx" ,"mmf" ,"tbb" ,"xml " ,"frt" ,"frx" ,"gtd" ,"rmr" ,"chm" ,"mo" ,
"man" ,"c" ,"cpp" ,"h" ,"pgp" ,"gzip" ,"lst" ,"pfx" ,"p12" ,"db1" ,"db2" ,
"cnt" ,"sig" ,"css" ,"arh" ,"pem" ,"key" ,"prf" ,"old" ,"rnd" ,"prx"
и шифрует их с помощью алгоритма RSA. В дальнейшем автор вируса требует со своих жертв деньги за дешифровку. Свой адрес шантажист сообщает в файле readme.txt
Some files are coded by RSA method.
To buy decoder mail: ****[email protected]
with subject: RSA 5 68243170728578411
Специалисты антивирусной лаборатории компании «Доктор Веб» оперативно разработали специальную дешифрующую программу, позволяющую вернуть все пораженные троянцем файлы документов в первоначальное состояние. Мы предлагаем всем, кто столкнулся с вышеуказанной проблемой, обращаться в Службу технической поддержки компании «Доктор Веб» - Вам помогут совершенно бесплатно!
Вы также можете сами воспользоваться этой программой, скачав ее с с нашего FTP сервера
Параметры командной строки:
te_decrypt.exe имя_файла_который_требуется_дешифровать
Источник «Доктор Веб»
А настоящая Kama Sutra начнется в пятницу
Компания IronPort, первой заявившая об обнаружении вируса Nyxem.E, предупреждает, что вирус приступит к выполнению "активных мероприятий" уже в пятницу третьего февраля.
К такому выводу эксперты IronPort пришли, проанализировав код попавшего к ним вируса. Через четыре дня уже подцепившие вирус системы начнут активно рассылать код Nyxem.E по всей Сети. На сегодняшний день, как полагают аналитики, общее количество зараженных компьютеров составляет что-то около полумиллиона, так что можно ожидать, что в будущую пятницу мы столкнемся с резким снижением скорости интернета и перегрузками у почтовых провайдеров.
Пользователям, антивирусные базы которых содержатся в надлежащем порядке, беспокоиться не о чем. А вот более безалаберным владельцам компьютеров стоит помнить, что в случае успешного заражения вирус Nyxem сотрет все файлы, созданные в форматах Word, Excel, PowerPoint и PDF, и превратит компьютер в часть зомби-сети, которая в будущем будет использоваться для рассылки спама и организации новых сетевых атак, сообщает CNET
Вирус Nyxem.e 3 февраля уничтожит информацию на зараженных компьютерах
"Лаборатория Касперского" оповещает о серьезной угрозе со стороны почтового червя Email-Worm.Win32.Nyxem.e. Главной опасностью червя является его деструктивная направленность: третьего числа каждого месяца, через полчаса после загрузки компьюетра он уничтожает информацию на жестком диске, перезаписывая файлы с расширениями doc, mdb, pdf, ppt, rar, xls, zip и другие. Содержимое этих файлов заменяется совершенно бесполезной текстовой строкой: DATA Error [47 0F 94 93 F4 F5].
Сам червь представляет собой файл размером 95 кб и распространяется по электронной почте с различными заголовками и текстом. Активировать вирус может только сам пользователь, запустив зараженный файл. После запуска Nyxem.e создает в системном каталоге Windows архив с тем же именем, что и запущенный файл. В дальнейшем запуск вируса происходит из этого архива. После запуска червь копирует себя под несколькими именами в корневой и системный каталоги Windows, а также в каталог автозагрузки, вдобавок, регистрируясь в ключе автозапуска системного реестра. Затем вирус рассылает свои копии по всем найденным адресам электронной почты и копирует себя в доступные сетевые ресурсы под именем Winzip_TMP.exe.
Вредоносная программа также прекращает работу антивирусов и предотвращает их повторный запуск. Наконец, Nyxem.e способен самостоятельно обновляться через интернет.
По данным "Лаборатории Касперского", на данный момент вирусом заражены несколько сотен тысяч компьютеров, причем их число продолжает расти. Пока эпидемия сильно уступает масштабам эпидемий червей MyDoom и Sobig.f, но деструктивное действие Nyxem.e делает этот червь особенно опасным.
Ближайшая дата активации деструктивных функций - пятница, 3 февраля 2006 г. По этой причине в "Лаборатории Касперского" рекомендуют всем пользователям проверить свои компьютеры. Процедуры защиты от Nyxem.e уже добавлены в базу данных "Антивируса Касперского".
"Лаборатория Касперского" оповещает о серьезной угрозе со стороны почтового червя Email-Worm.Win32.Nyxem.e. Главной опасностью червя является его деструктивная направленность: третьего числа каждого месяца, через полчаса после загрузки компьюетра он уничтожает информацию на жестком диске, перезаписывая файлы с расширениями doc, mdb, pdf, ppt, rar, xls, zip и другие. Содержимое этих файлов заменяется совершенно бесполезной текстовой строкой: DATA Error [47 0F 94 93 F4 F5].
Сам червь представляет собой файл размером 95 кб и распространяется по электронной почте с различными заголовками и текстом. Активировать вирус может только сам пользователь, запустив зараженный файл. После запуска Nyxem.e создает в системном каталоге Windows архив с тем же именем, что и запущенный файл. В дальнейшем запуск вируса происходит из этого архива. После запуска червь копирует себя под несколькими именами в корневой и системный каталоги Windows, а также в каталог автозагрузки, вдобавок, регистрируясь в ключе автозапуска системного реестра. Затем вирус рассылает свои копии по всем найденным адресам электронной почты и копирует себя в доступные сетевые ресурсы под именем Winzip_TMP.exe.
Вредоносная программа также прекращает работу антивирусов и предотвращает их повторный запуск. Наконец, Nyxem.e способен самостоятельно обновляться через интернет.
По данным "Лаборатории Касперского", на данный момент вирусом заражены несколько сотен тысяч компьютеров, причем их число продолжает расти. Пока эпидемия сильно уступает масштабам эпидемий червей MyDoom и Sobig.f, но деструктивное действие Nyxem.e делает этот червь особенно опасным.
Ближайшая дата активации деструктивных функций - пятница, 3 февраля 2006 г. По этой причине в "Лаборатории Касперского" рекомендуют всем пользователям проверить свои компьютеры. Процедуры защиты от Nyxem.e уже добавлены в базу данных "Антивируса Касперского".
Новый вирус эксплуатирует дыру в Winamp'е
Воспользовавшись "чрезвычайно критической" ошибкой в коде программного плеера Winamp, злоумышленники могут взять под полный контроль компьютер жертвы. Дырка, как сообщает антивирусная компания Secunia, наличествует в плеерах Winamp 5.12, хотя, теоретически, неприятности могут угрожать и владельцам более древних версий популярной программы. Правда, как считают эксперты компании, за последние годы количество пользователей Winamp'a сильно сократилось в пользу тяжеловесного (и не менее дырявого Windows Media Player), так что есть надежда, что особо массовой эпидемии мы не увидим. Тем не менее, принадлежащая America Online компания Nullsoft уже подготовила заплатку! Вы можете скачать новую версию программы уже сейчас! Новость о выходе новой версии программы немного раньше была опубликована!
The company posted version 5.13 of the media player online on Monday after Secunia and other security companies issued alerts about the problem. Malicious software exploiting the "extremely critical" flaw was already circulating on the Internet, according to Secunia's advisory. The security hole, found in the latest version of Winamp 5.12, could lead to malicious attackers taking remote control of a Winamp user's system. Earlier versions of the media player may also be affected, Secunia said.
Even though the security company gave the vulnerability its highest rating for software threats, it noted that the number of people who use Winamp has declined over the years, so the scope of the problem is not as large as it once might have been.
"Winamp used to be the world's most popular MP3 player and is still quite popular, but as Windows Media Player has gotten better, some users have migrated over," said Thomas Kristensen, Secunia's chief technology officer.
The vulnerability could be exploited when a Winamp user visits a malicious Web site and a tainted media file is launched onto the person's system. A buffer overflow is triggered, which allows the attacker to take control of the computer without being constrained by security measures, Kristensen noted.
"We aren't aware of any systems that have been compromised yet, but it's likely to happen since there's exploit code out," Kristensen said.
The update from Nullsoft, a division of America Online, has been made available for download at the Winamp Web site.
The vulnerability, initially discovered by Atmaca, is not the first to be found in the Winamp software. In late 2004, a highly critical flaw was found in the playlist files for the Winamp player.
SoftoRooM © 2004-2024