»Регистрация

Безопасность

Недельный отчет Panda Software о вирусах и вторжениях

Категория: Безопасность
Екатеринбург, 11 ноября 2005

Ryknos.A – это backdoor-троян, открывающий порт 8080 и подключающийся к нескольким IP-адресам для получения команд удаленного контроля – таких как команды на скачивание и запуск файлов на зараженном компьютере.

Ryknos.A устанавливает себя в системную директорию Windows под именем "$SYS$DRV.EXE". Таким образом, на системах с установленным ПО Sony Digital Rights Management, он использует руткит, включенный в это ПО для маскировки в проводнике Windows любого файла, чье имя начинается на "$SYS$".

Три проблемы безопасности, которые мы рассмотрим сегодня - это уязвимости в Graphics Rendering Engine, Windows Metafile (WMF) и Enhanced Metafile (EMF). Они могут позволить удаленному пользователю контролировать уязвимый компьютер с теми же привилегиями, как пользователь, начавший сеанс, или проводить против него атаки отказа в обслуживании.

Эти уязвимости, классифицированные как ‘критические’, зафиксированы в обработке метафайлов Windows (WMF), изображений и улучшенных метафайлов (EMF). Они могут влиять на любое приложение, выполняющее рендеринг изображений WMF или EMF в Windows 2000, XP или Server 2003.

Эти проблемы безопасности могут быть использованы вредителем, при помощи специальным образом созданного изображения. Оно может отправляться по электронной почте, размещаться на веб-странице, встраиваться в документ Office или храниться на сетевом устройстве общего пользования. Злоумышленник может использовать эти уязвимости, если ему удастся начать локальный сеанс и запустить программу, созданную для этих целей.

Чтобы закрыть эти бреши, Microsoft выпустила обновления для уязвимых систем - Windows 2003, Windows XP и Windows 2000. Пользователям рекомендуется обратиться к бюллетеню Microsoft MS05-053 по адресу: http://www.microsoft.com/technet/security/bulletin/MS05-053.mspx- чтобы скачать обновления или воспользоваться обновлением Windows.

Lupper.A – это червь, заражающий системы Linux, эксплуатируя две бреши безопасности: AWStats Rawlog Plugin Input Vulnerability и XML-RPC for PHP Remote Code Execution Exploit. Lupper.A скачивает свою копию с определенного IP-адреса, после чего сохраняет (в /tmp/lupii) и запускает ее. Кроме того, червь открывает лазейку (backdoor) через порт 7111, которая может позволить осуществлять удаленное управление компьютером.

Отчет завершает Zagaban.H, который, подобно всем троянцам, не способен к самостоятельному распространению – он должен распространяться третьими сторонами (через электронную почту, скачиваемые из Интернета данные, файловые передачи через FTP и пр.).

Zagaban.H выполняет ряд действий на зараженном компьютере:
- Мониторинг веб-адресов (открываемых пользователем через Internet Explorer) и поиск текстовых строк, относящихся к банкам. Если он регистрирует любую подобную строку, он записывает адрес и все нажатые на странице клавиши, таким образом получая конфиденциальную информацию (пароли, номера счетов, pin-коды и т.д.). Затем он отправляет украденные данные на определенный веб-сервер.

- Создает два файла в системной директории Windows: IPREG.EXE, являющийся его копией, и SPDR.DLL, который он внедряет во все запускаемые процессы.

Убедитесь, что Ваш компьютер чист от вирусов с помощью бесплатного онлайнового антивируса Panda ActiveScan (www.viruslab.ru )


О PandaLabs

С 1990 года миссией PandaLabs был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется в конкретном типе вредоносного ПО (вирусы, черви, троянцы, шпионы, фишинг, спам и т.д.), работают круглосуточно для предоставления непрерывной поддержки. В достижении этого им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, PandaLabs в настоящий момент является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли (более подробная информация на www.viruslab.ru).

Автор: admin. Просмотров: 3634



Читаемое
ИТОГИ Форума Искусства и Моды
Международный форум и выставка Riverport Expo 2019 прой ...
Председатель правления ПФР Антон Дроздов принял участие ...
«Россети Центр и Приволжье Тулэнерго» выполнил технолог ...
Из 90-х с размахом
В погоне за пивными артефактами: «Воронежский пивзавод» ...
Компания «Штрубе» представила инновационные растениевод ...
Активисты ОНФ призвали власти скорректировать строитель ...
Профессор Кармело Риццо провел лекцию для российских вр ...
Роскошная итальянская мебель
Россельхозбанк снизил ставки по рефинансированию ипотек ...
Вице-президент «Балтики» рассказал о структуре Программ ...
Зеркальная плитка – отличная возможность сделать дизайн ...
«Главстрой» открыл пространство современного искусства ...
«Россети Центр Липецкэнерго» продолжает работу по модер ...
Сергей Глазьев: Blockchain Leadership Summit это “маршр ...
Утром - деньги, поставки - когда-нибудь: стратегия успе ...
Интернет-магазин «Бюрократ» запустил акции для юридичес ...
Компания Navicon – в ТОП-20 компаний на российском рынк ...
III Международный слет юных геологов "ГЕОАРТЕК-2019: Г ...