Червь "Bizex" атакует пользователей ICQ
Зарегистрирована первая глобальная эпидемия ICQ-червя

"Лаборатория Касперского" предупреждает об обнаружении нового
сетевого червя "Bizex", который вызвал первую глобальную эпидемию среди
пользователей интернет-пейджера ICQ. На данный момент сообщения о
случаях заражения червем поступают практически из всех стран мира. По
предварительным оценкам количество зараженных компьютеров составляет
около 50 тысяч.

Заражение компьютера происходит при посещении хакерского веб-сайта,
приглашение на который доставляется по каналам ICQ.

Для маскировки при просмотре веб-сайта пользователю показывается
содержание интернет-представительства "Joe Cartoon" - автора популярных
американских мультсериалов. В это время вредоносная программа атакует
компьютер сразу по двум направлениям. Во-первых, используя брешь в
браузере Internet Explorer
(http://www.microsoft..../MS02-047.asp).
Во-вторых, через брешь в операционной системе Windows
(http://www.microsoft..../ms03-011.asp).
В результате на компьютер незаметно для пользователя загружается
специальный файл, который "дотаскивает" с удаленного веб-узла
непосредственно файл-носитель "Bizex" (APTGETUPD.EXE) и запускает его на
выполнение.

После этого "Bizex" начинает процедуру заражения компьютера. Для
этого он создает папку SYSMON в системном каталоге Windows, копирует
себя в нее под именем SYSMON.EXE и регистрирует этот файл в ключе
автозапуска системного реестра. Таким образом, червь обеспечивает свою
загрузку в память компьютера при каждом старте операционной системы.

По завершении этого процесса "Bizex" начинает процедуру дальнейшего
распространения по ICQ. Червь извлекает из себя несколько системных
библиотек для работы с этим интернет-пейджером и устанавливает их в
системный каталог Windows. С их помощью "Bizex" получает доступ к списку
контактов ICQ, отключает запущенный ICQ-клиент, осуществляет
самостоятельное подключение к серверу от имени владельца зараженной
машины и от его имени рассылает по всем найденным контактам ссылку на
указанный выше веб-сайт. Важно отметить, что червь атакует только
оригинальные ICQ клиенты (за исключением Web ICQ), в то время как
альтернативные пейджеры (Miranda, Trillian) обладают иммунитетом.

"Bizex" содержит ряд исключительно опасных побочных эффектов,
которые могут привести к утечке важных конфиденциальных данных. В
частности, червь сканирует зараженный компьютер, собирает сведения об
установленных платежных системах и незаметно отсылает их на удаленный
анонимный сервер. В число уязвимых систем попали: Wells Fargo American
Express UK Barclaycard Credit Lyonnais Bred.fr Lloyds E-gold

Помимо этого "Bizex" перехватывает информацию, передаваемую с
компьютера по протоколу HTTPS (защищенный протокол передачи данных,
который, в частности, используется для важных финансовых транзакций), а
также коды доступа к различным почтовым системам (например, Yahoo Mail).
Эти сведения также пересылаются на удаленный анонимный сервер.

Вирус в компьютере

https://softoroom.org/topic12425s0.html

В Sun Java JRE опасные уязвимости

Эксперты по информационной безопасности обнаружили уязвимости в Sun Java JRE, которые позволяют удаленному пользователю скомпрометировать уязвимую систему.

Уязвимости существуют из-за неизвестных ошибок в «reflection» API. Злонамеренный апплет может обойти ограничения безопасности песочницы, прочитать и записать произвольные файлы, выполнить произвольные приложения на системе.

«Дыре» присвоен рейтинг опасности «высокая». Уязвимы JDK and JRE 5.0 Update 5 и более ранние версии; SDK and JRE 1.4.2_09 и более ранние версии; SDK and JRE 1.3.1_16 и более ранние версии. Для использования уязвимости нет эксплойта. Для решения проблемы установите исправленную версию с сайта производителя, сообщил Securitylab.

В приложениях для Windows найдены уязвимости

Программистам крупных компаний, таких, как провайдер США AOL и разработчик систем работы с графикой и документами Adobe Systems, следовало бы тщательнее подходить к защите своих программ от хакеров, считают двое исследователей Принстонского университета. Это касается и других крупных фирм, которые в настоящее время устраняют указанные уязвимости. Главная претензия исследователей — приложения требуют слишком много прав для работы, и этими правами может воспользоваться злоумышленник.

Команда из Принстона работает над системой контроля доступа в Windows, определяющей права пользователя. Студент Судхакар Говиндавахала (Sudhakar Govindavajhala), входящий в команду исследователей, сказал, что поставщики делают ошибки, когда пишут программы под Windows. Используя эти ошибки, хакер может повысить свои привилегии в системе и «сделать много интересных вещей».

Исследователям удалось обнаружить уязвимости в AOL Instant Messenger и Photoshop. Компании уже исправили ошибки, однако с тех пор были найдены другие в различных приложениях разных поставщиков. Соавтор доклада и участник команды Эндрю Эппел (Andrew Appel) сказал, что информация передана в соответствующие компании.

Поскольку корпорация Microsoft серьезно взялась за безопасность операционной системы Windows, в частности, предоставляя автоматические обновления, хакеры переключились на сопутствующие продукты, поставщики которых реагируют не так быстро. Об этой тенденции предупреждают специалисты SANS Institute — организации, готовящей профессионалов компьютерной безопасности. SANS периодически выпускает списки уязвимых приложений — интернет-пейджеров, медиаплееров, систем резервного копирования и других.

Обнаружен новый троян под Mac OS X 10.5

Вирус OSX/Leap-A был обнаружен специалистами компании Sophos и выложен ими на сайт для информирования пользователей о новой опасности. Ввирус специально предназначен для заражения операционных систем от Apple Computer Inc. действует через iChat, который совместим с американским онлайн-чатом AIM.

Программа рассылает себя по адресам, обнаруженным в списке адресатов в файле latestpics.tgz программы iChat.

Представители крупнейших антивирусных компаний заявили, что появление вируса для Mac OS свидетельствует об опасной тенденции распространения вредоносных программ на платформы менее распространенные, чем Windows. По сообщениям специалистов, более, чем 90% всех вирусов в мире создаются для операционной системы Windows.

Однако как отмечают специалисты, вирус не опасен для осторожных пользователей, так как не инфицирует компьютер автоматически. Перед тем, как сохраниться на новом компьютере OSX/Leap-A спрашивает разрешения у пользователя.

Компания Symantec присвоила первый ранг опасности вирусу OSX/Leap-A, в то время как саамы опасный вид вирусов имеет пятый ранг.

Ранее под MaC OS уже появлялись трояны, например Mac/Cowhand-A.

Компания "Лаборатория Касперского" обнаружила новую вредоносную программу, способную инфицировать компьютеры с операционными системами Windows и Linux. Вирус получил двойное название Virus.Linux.Bi.a / Virus.Win32.Bi.a.

Эксперты "Лаборатории Касперского" отмечают, что Bi.a представляет собой концептуальную вредоносную программу, демонстрирующую принципиальную возможность создания кроссплатформенных вирусов. Bi.a написан на ассемблере и заражает исполняемые файлы (ELF и PE) в текущем каталоге. При этом Bi.a не выполняет деструктивных действий и не имеет никакого практического применения. Инфицированные файлы содержат строки со следующим текстом: "[CAPZLOQ TEKNIQ 1.0] © 2006 JPanic:", "This is Sepultura signing off... ", "This is The Soul Manager saying goodbye..." и "Greetz to: Immortal Riot, #RuxCon!".

Не исключено, что код Bi.a в перспективе будет использован злоумышленниками для создания более опасных программ. Процедуры защиты от кроссплатформенного вируса, впрочем, уже добавлены в базы данных Касперского.

Примечательно, что около месяца назад была обнаружена первая вредоносная программа, способная поражать персональные компьютеры под управлением Windows, а также коммуникаторы с операционной системой Windows CE или Windows Mobile. Программный код получил название Crossover Virus и также является лишь демонстрацией того, что существует принципиальная возможность создания вирусов, паразитирующих на различных устройствах.


В. Парамонов, Компьюлента

Вирус в сетях

Червь проникает через сети P2P, посредством которых миллионы пользователей каждый день скачивают музыку и картинки

В Интернете появился опасный полиморфный вирус, носящий название Polipos, который уже в течение целого месяца распространяется по различным сетям типа Peer2Peer. Первые сообщения о вирусе были зарегистрированы в конце марта этого года. Помимо сложного полиморфного механизма, реализованного во вредоносной программе, в ней содержалась и опасная функция «нейтрализации» целого ряда антивирусных программ и прочих средств безопасности.

С легкостью распространяясь по P2P, вирус проникает на подключенные машины и, будучи запущенным, скрытно делает их участниками другой общедоступной сети.

Polipos заражает исполняемые файлы Windows, записывая вредоносный код в неиспользуемые пространства кодовых секций, как бы «покрывая тело файла-жертвы собственными пятнами». При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код.

При запуске вирус внедряет свой код во все запущенные на компьютере процессы. Таким образом в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и других. Зараженные файлы становятся общедоступными для участников этой сети.

Безусловно, распространение подобного вируса вызвало беспокойство среди пользователей соответствующих P2P-сетей. Однако обращает на себя внимание довольно любопытное обстоятельство.

Несмотря на то что присутствие в P2P-сетях Polipos не является ни для кого новостью уже около месяца, антивирус Dr.Web до последних дней был единственным, кто его детектировал, заявили в пресс-службе компании. Специалисты «Лаборатории Касперского» в свою очередь не смогли дать комментарии по поводу этого вируса.

В середине марта также стало известно об эпидемии еще одного вируса, распространяемого через P2P. Червь Bagle-DO выдавал себя за фотографии обнаженной актрисы Кейт Бекинсейл или эротические фото известной наследницы короля гостиничного бизнеса Пэрис Хилтон и поп-звезды Бритни Спирс.

Как только инфицированный файл открывается, червь устанавливает себя на компьютер и ищет другие компьютеры в локальной сети и в сетях P2P с целью их заражения – через почтовые сообщения и одноранговые системы обмена файлами.

Еще раньше, в сентябре прошлого года, в Интернете появился червь P2Load.A, подменяющий собой самую популярную поисковую систему Google. Как и его «собратья», P2Load.А распространяется через P2P, а точнее, через пиринговые программы Shareaza и Imesh. При этом он маскируется под файлы компьютерной игры из серии «Звездных войн».

При запуске он отображает сообщение об ошибке, информирующее пользователя о том, что не найден определенный файл, и предлагает скачать его. При этом червь заражает компьютер и вносит две основные модификации: изменяет стартовую страницу, отображая рекламу, и подменяет интернет-поисковик Google.

Когда пользователь пытается воспользоваться поисковиком, его запрос перенаправляется на страницу, которая выглядит точно так же, как и Google, и даже выполняет схожие функции. Однако при этом в результатах поиска отображаются те сайты, которые хотели показать создатели червя, а не те, которые показал бы «официальный» Google.

Механизм лечения этих вирусов довольно сложен, поскольку требует обработки сложного алгоритма шифровки, поэтому порой на распознавание кода вируса может уходить довольно значительное (по компьютерным меркам) время.

Для лечения зараженных файлов не требуется скачивания никаких дополнительных утилит – большинство современных антивирусных программ эффективно борются с вирусами, подобными Polipos. Однако специалисты, как и во многих других случаях, настоятельно рекомендуют обновить антивирусные базы.

«Обязательным элементом защиты является постоянно обновляемое антивирусное ПО. Учитывая, что сейчас пишется все больше и больше вредоносных программ, неосторожные компьютерные пользователи могут подвергнуть свои данные большому риску», – говорит старший технический консультант компании Sophos Грэхем Клули.

Новый троян завлекает планом игр чемпионата по футболу

Специалисты по вопросам компьютерной безопасности предупреждают о появлении очередной вредоносной программы, использующей методы так называемого социального инжиниринга. Новый троян эксплуатирует всеобщий интерес к предстоящему чемпионату мира по футболу, который начнётся в следующем месяце в Германии.

Схема распространения вредоносной программы, как сообщает Infoworld, сводится к следующему. Потенциальной жертве приходит электронное письмо с текстом "Fussball Weltmeisterschaft 2006 in Deutschland" ("Чемпионат мира по футболу в Германии"). В теле сообщения имеется ссылка на некий файл googlebook.exe, якобы содержащий план соревнования. Однако, если пользователь по неосторожности щёлкнет по ссылке, на его компьютер вместо ожидаемого графика игр проникает троян.

Уголовная полиция земли Баден-Вюртемберг уже направила информацию о вредоносной программе в Федеральное агентство по информационной безопасности Германии, а также в Федеральное бюро расследований США. Кстати, троян, предположительно, распространяется с сервера, расположенного именно на территории Соединённых Штатов.

Кстати, методы социального инжиниринга применяются вирусописателями достаточно часто. Например, ураган Катрина повлёк за собой спам-рассылку сообщений с предложением узнать подробности о стихийном бедствии. Однако любопытным вместо обещанной информации высылался вредоносный код.

Червь устанавливает на компьютер подставной Internet Explorer

Компания защиты сетей мгновенных сообщений FaceTime Communications обнаружила червя «yhoo32.explr», который распространяется через Yahoo Messenger и инсталлирует на компьютер подставной браузер Internet Explorer.

Всё начинается со ссылки на зараженную веб-страницу, которую вирус рассылает по списку контактов. При посещении страницы на компьютер загружается и устанавливается так называемый «Safety Browser» - «безопасный браузер» - программа, которая ведет пользователя на страницы с рекламным и шпионским ПО. «Браузер» использует логотип Internet Explorer для того, чтобы сбить пользователя с толку. Червь также устанавливает в браузере новую домашнюю страницу – сайт Safety Browser.

Кроме рассылки себя по списку контактов, червь также перезаписывает отправляемые сообщения, вставляя в них свою ссылку, причем пользователь этого не видит. Еще одно неудобство – визгливые звуки, которые играет фальшивый браузер, однако пользователи Windows XP Service Pack 2 этого не услышат из-за блокировки.

Любителям вареза посвящяется...

Троян Erazer-A, распространяющийся через пиринговые сети под видом полезных программ, не только шпионит за хозяевами зараженных компьютеров, но и удаляет с них варез и прочую порнографию.

Программа обследует открытые для p2p-обмена папки на предмет обнаружения там файлов, сохраненных в форматах AVI, MP3, MPEG, WMV, GIF, ZIP и другие, после чего стирает с диска файлы с порнографией, музыкой и краденным софтом, отвечающие определенному описанию. Сделав свое черное дело, троян откладывает яйцо, используя для него такие громкие имена, как game.exe, goporn.exe, nero7.exe или officexpcrack.exe в надежде, что очередной пользователь пиринговой сети купится и закачает его на свою машину.

В Европе появился новый компьютерный вирус-вымогатель

Новый опасный вид вируса поразил европейские каналы Интернета. Проникая в персональный компьютер, он устанавливает контроль над ним.

Одновременно владелец компьютера получает сообщение, что если он не переведет определенную сумму на указанный счет, то вся частная информация, находящаяся в компьютере, будет распространена в Интернете. Еще одна угроза - стереть все файлы в захваченном компьютере. И в данном случае у владельца также требуют деньги. Во многих случаях люди вынуждены платить, отмечают британские специалисты.

Как сообщили власти, вирус-вымогатель сейчас активно распространяется в сетях Великобритании, Франции, Германии и в ближайшее время достигнет России, сообщает ИТАР-ТАСС.