Червь "Bizex" атакует пользователей ICQ
Зарегистрирована первая глобальная эпидемия ICQ-червя

"Лаборатория Касперского" предупреждает об обнаружении нового
сетевого червя "Bizex", который вызвал первую глобальную эпидемию среди
пользователей интернет-пейджера ICQ. На данный момент сообщения о
случаях заражения червем поступают практически из всех стран мира. По
предварительным оценкам количество зараженных компьютеров составляет
около 50 тысяч.

Заражение компьютера происходит при посещении хакерского веб-сайта,
приглашение на который доставляется по каналам ICQ.

Для маскировки при просмотре веб-сайта пользователю показывается
содержание интернет-представительства "Joe Cartoon" - автора популярных
американских мультсериалов. В это время вредоносная программа атакует
компьютер сразу по двум направлениям. Во-первых, используя брешь в
браузере Internet Explorer
(http://www.microsoft..../MS02-047.asp).
Во-вторых, через брешь в операционной системе Windows
(http://www.microsoft..../ms03-011.asp).
В результате на компьютер незаметно для пользователя загружается
специальный файл, который "дотаскивает" с удаленного веб-узла
непосредственно файл-носитель "Bizex" (APTGETUPD.EXE) и запускает его на
выполнение.

После этого "Bizex" начинает процедуру заражения компьютера. Для
этого он создает папку SYSMON в системном каталоге Windows, копирует
себя в нее под именем SYSMON.EXE и регистрирует этот файл в ключе
автозапуска системного реестра. Таким образом, червь обеспечивает свою
загрузку в память компьютера при каждом старте операционной системы.

По завершении этого процесса "Bizex" начинает процедуру дальнейшего
распространения по ICQ. Червь извлекает из себя несколько системных
библиотек для работы с этим интернет-пейджером и устанавливает их в
системный каталог Windows. С их помощью "Bizex" получает доступ к списку
контактов ICQ, отключает запущенный ICQ-клиент, осуществляет
самостоятельное подключение к серверу от имени владельца зараженной
машины и от его имени рассылает по всем найденным контактам ссылку на
указанный выше веб-сайт. Важно отметить, что червь атакует только
оригинальные ICQ клиенты (за исключением Web ICQ), в то время как
альтернативные пейджеры (Miranda, Trillian) обладают иммунитетом.

"Bizex" содержит ряд исключительно опасных побочных эффектов,
которые могут привести к утечке важных конфиденциальных данных. В
частности, червь сканирует зараженный компьютер, собирает сведения об
установленных платежных системах и незаметно отсылает их на удаленный
анонимный сервер. В число уязвимых систем попали: Wells Fargo American
Express UK Barclaycard Credit Lyonnais Bred.fr Lloyds E-gold

Помимо этого "Bizex" перехватывает информацию, передаваемую с
компьютера по протоколу HTTPS (защищенный протокол передачи данных,
который, в частности, используется для важных финансовых транзакций), а
также коды доступа к различным почтовым системам (например, Yahoo Mail).
Эти сведения также пересылаются на удаленный анонимный сервер.

В интернете началась новая эпидемия червя Phatbot
Во Всемирной сети зафиксирована повторная эпидемия вредоносной программы Phatbot, атакующей компьютеры с установленными на них операционными системами Microsoft Windows.

Червь Phatbot, напомним, впервые появился в середине марта. Этот вирус обладает чрезвычайно развитой функциональностью и инфицирует компьютеры жертв самостоятельно, используя известные ему дыры в ОС. После проникновения на машину червь модифицирует собственный код, вводя, тем самым, в заблуждение некоторые антивирусные пакеты, затем отключает антивирусы и блокирует доступ к сайтам их производителей. Естественно, троян вносит изменения в системный реестр, обеспечивая себе автоматический запуск при загрузке операционной системы. Более того, вредоносная программа развертывает собственную децентрализованную пиринговую сеть, а компьютеры, подключенные к этой сети, могут выполнять практически любые команды, отдаваемые авторами вируса.

Как сообщает CNET News со ссылкой на институт SANS, в понедельник уже, было, утихшая эпидемия Phatbot разгорелась с новой силой. Троян сканирует порты 2745, 1025, 3127, 6129, 5000, 80 и 1433, используя протокол TCP, и распространяется посредством NetBIOS от Microsoft. Червь постоянно видоизменяется и модифицируется и, по словам специалистов, по своим возможностям уже существенно отличается от оригинальной версии. Уничтожить программу очень и очень сложно, поскольку не существует единого командного центра (если не считать авторов вируса) в организованной Phatbot пиринговой сети.

Представители Microsoft, между тем, заявили, что никакой информации о новой версии Phatbot они пока не получали.
(www.compulenta.ru)

Netsky продолжает совершенствоваться

Спустя буквально три дня после обнаружения двадцать третьей по счету модификации вредоносной программы Netsky, антивирусные компании зафиксировали во Всемирной сети появление еще двух версий червя - Netsky.Х и Netsky.Y.

По своим функциональным возможностям, новые варианты вируса очень близки к предшественникам. В частности, Netsky.Х и Netsky.Y распространяются по электронной почте, рассылая письма с вложениями посредством встроенного SMTP-сервера. При поиске адресов производится сканирование всех накопителей инфицированной машины, за исключением оптических дисков. В период с 28 по 30 апреля 2004 года вредоносные программы постараются организовать DoS-атаки на сайты www.nibis.de, www.medinfo.ufl.edu и www.educa.ch. Черви представляют угрозу для пользователей операционных систем Windows 95, 98, Me, 2000, NT, Server 2003 и XP. Компьютеры с Mac OS и Linux вирусы заражать не способны.

Основным же отличием Netsky.Х и Netsky.Y от более ранних модификаций является возможность генерации сообщений на девяти различных языках. В частности, вирусы знают английский, шведский, финский, польский, норвежский, португальский, итальянский, французский и немецкий. Причем фразы в сформированных вредоносных письмах зачастую построены неправильно, кроме того, присутствуют орфографические и грамматические ошибки. Отсюда можно сделать вывод, что для составления списков возможных текстовых строк авторы Netsky пользовались автопереводчиками.

compulenta.ru

Новая версия Netsky продолжает атаковать "неугодные" сайты

Сразу несколько антивирусных компаний сообщили о появлении в интернете новой модификации червя Netsky. Эта вредоносная программа плодится с такой скоростью, что для классификации ее вариантов уже не хватает букв латинского алфавита. В частности, обнаруженная на днях версия вируса получила индекс "Z".

Червь Netsky.Z, как и большая часть его предшественников, распространяется по электронной почте. Вредоносная программа проникает на компьютер только в том случае, если пользователь открыл файл-вложение, всегда имеющее расширение .ZIP и размер 22016 байт. После запуска вложения червь регистрирует себя в системном реестре и начинает рассылку собственных копий посредством встроенного SMTP-сервера по найденным на машине адресам. Отправитель письма фальсифицируется, а тема, содержание сообщения и имя ZIP-файла выбираются произвольным образом из заложенного в коде червя списка.

Кроме того, вирус открывает порт 665, что позволяет автору присылать на компьютер жертвы исполняемые файлы, которые автоматически запускаются после загрузки. Наконец, если системная дата находится в промежутке между 2 и 5 мая 2004 года, Netsky.Z пытается провести DoS-атаки на веб-сайты www.nibis.de, www.medinfo.ufl.edu и www.educa.ch. Вредоносная программа способна заражать компьютеры с операционными системами Windows 95, 98, Me, 2000, NT, Server 2003 и XP. Для пользователей ОС Linux и Mac OS червь Netsky.Z никакой угрозы не представляет.

Новый тип вирусов не за горами

Скотт Чейзин, технический директор компании MX Logic и создатель дискуссионной группы по вопросам безопасности Bugtraq, предупреждает о возможном появлении нового типа вирусов — «суперчервей», которые будут использовать технологию соединения равноправных узлов.

P2P могут использоваться не только для размножения в Сети, но и для общения с системами, уже зараженными другими вирусами. Результатом такого взаимодействия станет появление «суперчервя» со способностью видоизменяться. Хорошим примером может служить известный Phatbot, который имеет новейшую архитектуру и использует P2P технологию, исходный код которой стал доступен для публики прошлым летом.

Г-п Чейзин говорит, что пока еще не знает примера взаимодействия такого рода червей друг с другом, но появление нового вектора угрозы — реально. Для мутации вируса будет достаточно проникновения в одну уже зараженную машину, что приведет к «рождению» нового кода для распространения и атаки других компьютеров.

Иными словами, новый принцип распространения червя может положить конец так называемым «волнам» — когда червь появляется, достигает своего пика и затем исчезает. Вместо этого, атаки новых эксплойтов будут носить продолжительный характер. Новый вид червей может быть также использован как для рассылки спама, так и для DoS-атак.

P2P черви обычно распространяются посредством почтовых сообщений, но большую опасность могут представлять и незащищенные точки беспроводного доступа, что вызывает у г-на Чейзина наибольшую обеспокоенность.

(www.securitylab.ru)

Новые версии червя Bagle читают стихи и показывают картинки

Антивирусные компании предупреждают о появлении во Всемирной сети двух новых модификаций вредоносной программы Bagle. Черви Bagle.Z и Bagle.АА распространяются по электронной почте в виде вложений, представляющих собой либо исполняемые файлы с расширениями .COM, .CPL, .EXE, .HTA, .SCR и пр., либо защищенные паролем ZIP-архивы (секретный шифр в этом случае указывается внутри послания). В процессе рассылки используется встроенный SMTP-сервер, обратный адрес при этом фальсифицируется, а тема и содержимое письма выбираются произвольным образом из доступного списка. Кроме того, вирусы пытаются разместить свои копии в папках, которые содержат символы "shar" и, возможно, являются общедоступными директориями в пиринговых сетях.
При проникновении на компьютер жертвы черви закрывают известные им антивирусные процессы и регистрируются в системном реесте, обеспечивая себе автоматический запуск при загрузке Windows. Далее на дисплее выводится сообщение об ошибке (см. рисунок).

Кроме того, у Bagle.Z и Bagle.АА имеются оригинальные "визитные карточки". В частности, в коде Bagle.Z заложено поэтическое послание на английском языке следующего содержания:

"Unique people make unique things That things stay beyond the normal life and common understanding The problem is that people don't understand such wild things, Like a man did never understand the wild life".

("Уникальные люди делают уникальные вещи. Эти вещи выходят за рамки нормальной жизни и общих понятий. А вся проблема в том, что люди не понимают таких диких вещей, как человек так никогда и не постиг дикую природу".)

Что касается варианта Bagle.АА, то он, помимо файла с вредоносным кодом, может иметь в письме фотографии девушек в формате JPEG. Оба вируса представляют угрозу для пользователей, на чьих компьютерах установлены операционные системы Windows XP, 2000, NT, Mе, 98, 95 или Server 2003.
(www.compulenta.ru)

Сетевая эпидемия очередной версии червя NetSky

"Лаборатория Касперского" предупреждает о начале эпидемии очередной версии вредоносной программы NetSky, получившей индекс АС. Впервые червь NetSky появился в феврале нынешнего года, и с тех пор авторы выпустили уже порядка тридцати модификаций вируса с различными возможностями. В частности, одни варианты NetSky пытаются организовать DoS-атаки на неугодные сайты, другие удаляют конкурирующие вредоносные программы, а третьи даже демонстрируют недюжинные познания в иностранных языках.

Что касается червя NetSky.АС, то он не обладает какими-то незаурядными способностями, а для его активации пользователю необходимо собственноручно запустить присланный по электронной почте файл. Тем не менее, на сегодняшний день "Лаборатория Касперского" зарегистрировала уже сотни случаев заражения данной вредоносной программой, которой, кстати, был присвоен средний уровень опасности.

Вирус является приложением Windows (PE EXE-файл) и запакован PE_Patch. Размер вложения составляет 17920 байт, в распакованном виде червь "разрастается" до полутора мегабайт. Тема и текст сообщений, а также имя вложения выбираются произвольным образом, а вот расширение файла всегда одинаково - PIF. При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу. После проникновения на компьютер вредоносная программа изменяет системный реестр, обеспечивая себе автоматический запуск при загрузке Windows, и пытается удалить с компьютера вирус Bagle.Y, если, конечно, таковой имеется. Соответствующие обновления антивирусных баз для защиты от NetSky.АС уже выпущены.

(www.compulenta.ru)

Варианты червя Sasser опаснее оригинала
Как и оригинальный червь, три новые программы — Sasser.B, Sasser.C и Sasser.D — используют брешь в защите непропатченных версий Windows XP и Windows 2000. Заражая уязвимые системы, червь организет дистанционное соединение с целевым компьютером, устанавливает сервер File Transfer Protocol (FTP), а затем загружает в новый хост собственную копию, сообщает Zdnet.

Оригинальная версия червя Sasser распространялась медленно, но в субботу онлайновые вандалы выпустили Sasser.B, заражающий компьютеры гораздо быстрее. К понедельнику появились еще два варианта червя, и число зараженных систем стали измерять сотнями тысяч. «Червь значительно усовершенствован, — говорит старший директор центра секьюрити-реагирования Symantec Альфред Хьюгер. В понедельник утром Symantec насчитала не менее 10 тыс. подтвержденных случаев заражения и выразила предположение, что заражены сотни тысяч компьютеров.

Для Массачусетского университета в Амхерсте Sasser оказался суровым испытанием. По словам менеджера по эксплуатации университетских сетей Скотта Конти, от Sasser здесь пострадало 1100 компьютеров. Если многие другие университеты потратили на борьбу с червем весь уикенд, то Массачусетский университет держался, пока кто-то не подключил к сети зараженный компьютер.

Каждый семестр Конти и его коллегам приходится иметь дело примерно с 5000 случаев заражений червями, вирусами и бот-программами. «Как это ни досадно, но борьба с атаками теперь становится неотъемлемой частью нашего бизнес-плана», — сетует он.
(www.securitylab.ru)

I-Worm.Wallon.a - коллекционер адресов электронной почты
Компания F-secure сообщила об обнаружении нового червя, рассылающего по электронной почте сообщения в формате HTML - Wallon. Эти сообщения содержат ссылки, использующие сервис переадресации Yahoo и открывающие в браузере пользователя сайт, на котором расположен скрипт, загружающий и запускающий другие компоненты червя.

В отличие от большинства червей, рассылаемых по электронной почте, Wallon не присоединяет себя к сообщению в виде приложенного файла. Вместо этого он присылает ссылку в составе сообщения в формате HTML, имеющую вид ссылки на одну из страниц Yahoo. При её открытии вирус использует службу переадресации Yahoo и открывает другую страницу, на которой загружается файл terra.html. Данный файл содержит зашифрованную ссылку на еще одну страницу, где расположен файл count.html. Эот файл использует уязвимость данных объекта для загрузки и запуска файла sys.chm. Последний, в свою очередь, используя XMLHTTP/ADODB, загружает двоичный файл под названием sys.exe, который переписывается в файл wmplayer.exe из папки Windows Media Player. Загруженный файл будет выполняться при каждом открытии Windows Media Player, как непосредственном, так и через веб-страницу. Файл SYS.EXE является загрузчиком. Он загружает файл NOT.EXE и помещает его под имением ALPHA.EXE в корневой каталог на диске C. После этого файл активируется.

Кроме того, загрузчик изменяет начальные поисковые страницы браузера Internet Explorer, в результате чего при его запуске открывается страница www.google.com.super-fast-search.apsua.com. ALPHA.EXE, главный файл червя, имеет объем 150 Кб и упакован с помощью компрессора ASPack. При запуске червь проверяет значение в одной из записей реестра ОС. При положительном значении червь ждет пять часов, а затем 10 раз открывает сайт pixpox.com с перерывами по 10 минут. После этого он читает пользовательские настройки SMTP из реестра, находит и открывает файл WAB (Windows Address Book) и рассылает электронные сообщения по всем обнаруженным адресам. Сообщения представляют собою ссылки, содержащие доменное имя получателя. При этом червь не посылает сообщения по адресам, содержащим следующие слова microsoft, support, software, webmaster, postmaster, admin. Червь отправляет также пустое письмо на адрес [email protected]. Вероятно, это делается для того, чтобы собирать электронные адреса пользователей,компьютеры которых заражены червем, сообщают специалисты F-secure.
(www.securitylab.ru)

Остерегайтесь BMP-файлов!
Обнаружена массовая рассылка троянской программы "Agent", заражающей компьютеры с помощью BMP-файлов.

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении массовой рассылки троянской программы "Agent", заражающей компьютеры при просмотре графических файлов формата BMP.

"Agent" использует брешь браузере Internet Explorer версий 5.0 и 5.5, которая позволяет запускать на компьютере вредоносный код при просмотре специально сконструированных BMP-файлов. Брешь была обнаружена 16 февраля 2004 г. (_www.kaspersky.ru/news.html?id=145752935), что стало следствием утечки исходных кодов Windows (_www.kaspersky.ru/news.html?id=145667021).

"Agent" был разослан по электронной почте при помощи спам-технологий. Зараженное письмо не содержит никаких отличительных признаков, кроме вложенного BMP-файла со случайным именем. Важно отметить, что данный файл создан специально для атаки русской версии Windows 2000 - на других версиях операционной системы вредоносный код работать не будет. Этот факт косвенно указывает на Россию и страны СНГ как наиболее вероятные места создания "Agent".

Если пользователь имел неосторожность запустить вложенный BMP-файл, "троянец" связывается с удаленным сервером, расположенным в доменной зоне Ливии, загружает с него другую троянскую программу - "Throd", и устанавливает ее на компьютере-жертве.

"Throd" представляет собой классическую программу-шпиона. При установке "троянец" регистрируется в ключе автозапуска системного реестра Windows и переходит в режим ожидания команд. В частности, с его помощью злоумышленники могут выполнять удаленные инструкции (копирование данных, считывание адресов из адресной книги Outlook и их пересылка на удаленный адрес), а также использовать зараженный компьютер как прокси-сервер для проведения анонимных сетевых преступлений.

"Несомненно, что "Throd" сделан специально для нужд спаммеров - пополнения базы данных адресов рассылки. Это еще раз подтверждает тенденцию сращивания вирусных и спам отраслей компьютерного андерграунда", - сказал Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

Серьезное беспокойство внушает факт, что на данный момент отсутствует специальное обновление Internet Explorer для защиты от атак через указанную брешь. Таким образом, сейчас единственным эффективным средством противодействия атаке является антивирусная программа. "Кроме того, не исключено появление вредоносных программ и для других версий Windows. По этой причине мы рекомендуем всем пользователям, независимо от установленной версии операционной системы предпринять соответствующие меры", - добавил Евгений Касперский.

Антивирус Касперского® анализирует содержимое BMP-файлов и автоматически выявляет опасные объекты при попытке их проникновения через интернет или электронную почту. Таким образом, программа нейтрализует "Agent" без дополнительных обновлений базы данных. Защита от "Throd" уже добавлена в очередное обновление Антивируса Касперского.
kaspersky.ru

Новый червь угрожает всем без исключения ОС Windows

Компания Symantec обнаружила новую вредоносную программу Kibuv, способную проникать на компьютеры, работающие под управлением операционных систем Windows 95, 98, Ме, NT, Server 2003, 2000 и XP.

Червь распространяется, сканируя случайные IP-адреса в поисках уязвимых систем. При этом первая модификация вируса, обнаруженная 14 мая, использует дыры в службе DCOM RPC (удаленный вызов процедур) и сервисе LSASS (локальная подсистема аутентификации пользователей). А вторая версия червя с индексом "В" способна эксплуатировать еще и уязвимость в компоненте Messenger ОС Windows, ошибку в коде вируса Sasser, "черные ходы", открытые Weird и Beagle и пр.

После проникновения на машину червь Kibuv изменяет реестр, обеспечивая себе автоматический запуск при каждой загрузке операционной системы, и открывает FTP-сервер на порте 9604 (или 7955 для версии Kibuv. для дальнейшего размножения. Через этот порт на компьютер-жертву производится загрузка основного вредоносного файла. Кроме того, более поздняя модификация червя Kibuv.B прослушивает порт 420, ожидая команд от своих авторов.

Следует заметить, что в последние несколько дней резко возросло количество новых вирусов, использующих уязвимость в службе LSASS. В частности, после появления вредоносной программы Sasser компании, специализирующиеся на вопросах компьютерной безопасности, зафиксировали появление червей Cycle, Dabber и некоторых других.
www.compulenta.ru