Новости сетевой безопасности

Новый троян атакует пользователей MSN

Специалисты компании Aladdin обнаружили нового трояна, распространяющегося через службу обмена мгновенными сообщения MSN. Уже спустя несколько часов после первого обнаружения (случившегося вечером 18 ноября), червь захватил более 11 тысяч систем. Ежечасно участниками бот-сети, управляемой с помощью одного из каналов IRC, становятся около сотни новых компьютеров.

Троян рассылает свои копии в виде выполняемых файлов под видом картинок с расширением jpg, находящихся в zip-архиве. При этом зараженные файлы приходят пользователям MSN в основном от контактов из списка, аккаунты которых были уже взломаны.

Одна из особенностей червя - использование сразу нескольких процессов для захвата новых машин; червь крадёт пароли, рассылает вредоносное ПО и спам. Эксперты Aladdin отмечают, что впервые засеченный ими IM-троян распространяется также и через VPN-сети. Таким образом, попав на компьютер через MSN, он сканирует сеть на предмет уязвимых компьютеров, так что его объектами его нападений могут становиться и системы, не использующие интернет-пейджер MSN.

Несколько уязвимостей в Mozilla Firefox и Seamonkey

Программа:
Mozilla Firefox версии до 2.0.0.10
Mozilla Seamonkey версии до 1.1.7
Опасность: Высокая
URL производителя: www.mozilla.com

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольный код на целевой системе.
1. Уязвимость существует из-за недостаточной обработки некоторых данных. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе.
2. Ошибка состояния операции обнаружена при установке свойства "window.location". Удаленный пользователь может с помощью специально сформированного Web сайта произвести CSRF атаку.
3. Уязвимость существует из-за того, что обработчик протокола "jar:" не проверяет MIME тип содержимого архивов. Удаленный пользователь может загрузить на сервер определенные файлы (например, .zip, .png, .doc, .odt, .txt) и выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Решение: Установите последнюю версию Mozilla Firefox 2.0.0.10 и Mozilla Seamonkey 1.1.7 с сайта производителя.

Источник: www.mozilla.org/security/announce/2007/mfsa2007-39.html

Symantec обнаружила хакерское ПО, изменяющее загрузочный сектор компьютера

Компания Symantec сообщила об обнаружении нового образца хакерского программного обеспечения, способного изменять загрузочный сектор главного жесткого диска компьютера. В компании отмечают, что обнаруженное ПО относится к средствам удаленного администрирования (руткит) и предназначено для работы с Windows.

По словам экспертов Symantec, обнаруженный код - это принципиально новая разработка, которая не использует какие-либо ранее задействованные вредоносные коды, поэтому на сегодня далеко не все антивирусы способны обнаруживать новый руткит.

Руткит модифицирует код главного загрузочного сектора (master boot record), где хранится информация об операционной системе или системах (если их несколько), которой следует передать управление компьютером после проверки BIOS.

"Традиционные руткиты инсталлируются в системе как драйверы, примерно также как и остальное программное обеспечение и файлы. Эти драйверы грузятся вместе с операционной системой на этапе включения компьютера, но новый руткит записывает себя еще до операционной системы и начинает выполнятся до старта ОС", - говорит Оливер Фредрих, руководитель антивирусного подразделения Symantec.

"Такой метод дает беспрецедентный контроль над компьютером, фактически код прячется там, где ни один руткит до него не прятался", - говорит он.

По данным исследователей из института SANS, статистический анализ показал, что на сегодня данным руткитом заражены несколько тысяч компьютеров по всему миру, а первые признаки нового вредоносного кода появились в середине декабря 2007 года. Кроме того, в SANS сообщили, что обнаружили несколько сайтов, при помощи которых руткит распространяется.

"Это очень серьезная угроза и она показывает навыки ряда компьютерных преступников. Несмотря на то, что концепция несанкционированного модифицирования не нова, примененный подход ранее почти не использовался. Очевидно, что здесь поработали профессионалы, которые в последствии на базе этого кода могут создать и дополнительные схемы похищения данных и получения контроля над пользовательским компьютером", - говорят в Symantec.

В Verisign отметили, что первая волна атак нового руткита, судя по данным траффика, была 12 декабря, вторая - 19 декабря 2007 года. По словам Мэтью Ричардса, директора VeriSign iDefense Labs, на сегодня около 5 000 компьютеров заражены руткитом.

В Symantec говорят, что полученные на данный момент сведения свидетельствуют о том, что код работает только в Windows XP, пользователи Windows Vista пока находятся вне опасности, так как для своей работы руткит требует административных привилегий, а Vista при подобных обращениях выводит запрос на выполнение.

Еще одна опасность кода заключается в том, что из-за нахождения в главной загрузочной записи его крайне трудно обнаружить из операционной системы средствами антивируса. "Единственный верный способ удалить этот код - запуск консоли восстановления Windows c инсталляционного диска, также следует воспользоваться командой fixmbr в командной строке. В ряде BIOS есть функций для запрещения записи в загрузочный сектор, сейчас эта функциональность может оказаться полезной", - говорит Элия Флорио, антивирусный аналитик Symantec.

Более подробные данные можно получить по адресу gmer.net/mbr/

cybersecurity.ru

Первый троян для iPhone

Для популярного смартфона iPhone, выпускаемого компанией Apple, создана первая троянская программа, viaсообщает Lenta.ru. По данным компании F-Secure, троян был создан 11-летним ребенком, ставившим эксперименты с XML-файлами. После разговора с отцом экспериментатора сайт, с которого распространялся троян, был отключен от Сети.

Троян маскируется под обновление пакета Erica’s utilities, представляющего собой коллекцию программ для командной строки. Это обновление якобы необходимо для смены прошивки iPhone до версии 1.1.3. При установке троян выводит строку «shoes.». Если его попытаться удалить, он стирает множество файлов, в том числе из Erica’s utilities.

Пакет Erica’s utilities не очень распространен в России, но все равно смотрите, что ставите на телефон. Пользуйтесь только проверенными репозитариями.

Антивирусная компания McAfee сообщила о новом виде угроз, связанных с посещением сайтов социальных сетей. Эксперты компании обнаружили на ряде страниц с профилями пользователей популярной социальной сети MySpace вредноносные коды, которые активируются при заходе на страницу с профилем пользователя.


SecurityLab.ru

Получается вполне легальный генератор вирусов и сетевых атак.

Загадка инфицированных сайтов немного прояснилась, но по-прежнему не решена.

14 января стало известно о заражении нескольких сотен сайтов некоторым, не известным раннее, методом. Мэри Лэндсмэн (Mary Landesman), специалист ИБ из ScanSafe, которая, собственно, и объявила об обнаружении необычной атаки, обратилась за помощью к специалистам безопасности с целью исследования данного инцидента.

Cайты содержат вредоносный скрипт с динамичным именем, причем сам скрипт генерируется при посещении пользователем главной страницы зараженного сайта. Большинство исследователей не видели ранее ничего подобного. Обычно зараженные сайты просто «ссылаются» на «атакующие» сервера, на которых размещены вредоносные файлы со статическими именами.

Новый метод атаки представляет большой интерес, поскольку вредоносный код просто не существует на сайте до тех пор, пока пользователь не посетит его. Скрипт остается невидимым для администраторов сайта. Генерация случайного имени защищает скрипт от обнаружения большинством антивирусов. Кроме того, вредоносный код нельзя обнаружить при помощи поисковых систем.

Согласно первоначальным исканиям Лэндсмэн, количество зараженных сайтов составляет несколько сотен. Но после дополнительных исследований эксперты ИБ пришли к выводу, что эта цифра значительно больше, сообщается на channelregister.co.uk.

По мнению специалистов из SecureWorks и Finjan заражено порядка 10 тыс. сайтов. Хакеры, создавшие вредоносный код, для установки бэкдора эксплуатируют уязвимости в QuickTime, Yahoo! Messenger и ОС Windows.

HackZone.ru

Группа российских программистов, обозначившая себя как Network Security Research, сообщила о создании программного обеспечения, способного обходить систему защиты CAPTCHA, используемую на портале Yahoo.

На сегодня существует множество реализаций системы с программной точки зрения. Вообще говоря, в идеале для максимальной защиты на каждом сайте следовало бы развернуть свою систему, реализованную на базе собственных алгоритмов. Именно так и поступили в Yahoo, создав в рамках всех сервисов свою собственную, но единую систему CAPTCHA, которая до сих пор считалась наиболее защищенной. Тем не менее в блоге Network Security Research автор блога под псевдонимом John Wane пишет, что ими было разработано программное обеспечение, которое с вероятностью не менее 35% точно распознает систему защиты Yahoo и обходит ее.

По утверждениям самого "John Wane", их группа связалась с представителями и сообщила об обнаруженных уязвимостях, однако никто из Yahoo им так и не ответил. Программное обеспечение, размещенное в блоге группы, позволяет проводить массовую регистрацию адресов электронной почты, отправлять множественные сообщения в блоги и несанкционированно использовать другие сервисы Yahoo. "Как правило, приемлемый уровень точности составляет около 15%, но при количестве попыток в день не менее 100 000 атакующий может говорить об успехе своих противоправных действий", - говорит разработчик.

Разработанная исследователями система состоит из двух частей - серверной и клиентской. Для работы серверной части требуется наличие среды MATLAB 2007a Compiler Runtime (MCR), которая ожидает соединения и передачи картинки CAPTCHA, после этого движок программы распознает изображение и передает его клиентской части, которая использует полученные данные в свои целях, например для регистрации мусорных адресов электронной почты. В перспективе разработчики также не исключили и создания бизнеса из своей разработки - взимать с пользователей системы по 1 центу за каждый распознанный номер или слово CAPTCHA.

HackZone.SU

Сайт, созданный в рамках антикриминальной программы ЕС, стал источником компьютерных вирусов. Как сообщает интернет-издание The Inquirer, по адресу www.ctose.org должен располагаться ресурс с информацией об уголовных расследованиях. Однако теперь заходящие туда пользователи видят сообщения о различных услугах, от резервирования гостиничных номеров до страхования, а при попытке исследовать содержимое ресурса получают предупреждения о вирусных атаках.

Сайт сtose.org (Cyber Tools On-line Search for Evidence), задуманный как часть международной сети для проведения компьютерных расследований, был открыт в 2003 году при поддержке Европола, Интерпола и ФБР. The Inquirer отмечает, что деятельность проекта была постепенно свернута из-за недостатка финансирования.

lenta.ru

В интернете появился новый вирус, распространяющийся через сеть IP-телефонии Skype, сообщает The Register.

Вирус рассылает ссылку на графический файл (на самом деле являющийся носителем вируса) всем членам списка контактов Skype на зараженном компьютере посредством встроенной в программу функции обмена сообщениями. При открытии ссылки пользователю предлагается сохранить и запустить приложение. В случае положительного ответа пользователя, вирус отключает антивирусные программы и вносит изменения в файл hosts, чтобы препятствовать установке обновлений системы безопасности. Других деструктивных функций вирус не содержит.

Производители антивирусного программного обеспечения уже выпустили обновления для своих продуктов, а авторы Skype опубликовали в своем блоге инструкцию по удалению вируса вручную. Масштабы распространения вируса пока неизвестны. Судя по количеству жалоб от пользователей на форуме Skype, любителей открывать неизвестные ссылки в сообщениях достаточно много.

HackZone.RU