На прошедшей неделе в Сети появился новый червь I-Worm.Sexer, агитирующий за одного из кандидатов на пост мэра г. Москвы. Вирус принадлежит к разряду так называемых почтовых червей, которые распространяются в письмах электронной почты. Однако он не использует никаких брешей в защите почтовых программ и активизируется только в случае открытия пользователем зараженного вложения.
Вредоносная программа доставляется на компьютер жертвы в сообщении, содержащем в качестве отправителя фальшивый адрес nicky@yahoo.com, а в качестве заголовка следующее: "посмотри, какая прелесть!))". К посланию прикреплен файл sex.exe.
Если пользователь имел неосторожность запустить вложенный файл, то червь покажет на экране текст с рекламой одного из кандидатов в московские градоначальники, Германа Стерлигова. Червь также модифицирует фон рабочего стола и размещает на нем все ту же агитирующую заставку. После этого I-Worm.Sexer копирует себя в корневой каталог диска C и регистрируется в ключе автозапуска системного реестра Windows. Затем червь находит на зараженном компьютере адресную книгу и, незаметно для пользователя, отправляет по всем обнаруженным там адресам свою копию.
Если говорить о виновниках, то, по сообщению самого кандидата на пост мэра Германа Стерлигова, он не имеет к авторам вируса и к самой идее подобного способа агитации никакого отношения. Так что вопрос о причинах написания первого "политического" вируса в истории Рунета остается открытым.
*
15 октября компания Microsoft выпустила новую серию бюллетеней, посвященных проблемам безопасности операционных систем семейства Windows.
Первая из дыр, описанная в бюллетене MS03-041, актуальна для всех операционных систем семейства Windows NT, начиная с версии 4.0 и заканчивая Windows Server 2003. Уязвимость связана с ошибками в работе технологии Authenticode, ответственной за подтверждение авторства того или иного ActiveX-модуля. Именно Authenticode отвечает за вывод предупреждений при загрузке модулей на пользовательский компьютер. Однако из-за наличия ошибки, в некоторых случаях при нехватке памяти такое предупреждение не выводится, и модуль загружается и запускается без уведомления пользователя. Используя эту ошибку, злоумышленник может выполнить на компьютере произвольный код.
Вторая дыра актуальна только для операционной системы Windows 2000 и связана с наличием ошибки переполнения буфера в модуле Microsoft Local Troubleshooter. При запуске данного модуля не все параметры проверяются корректно, из-за чего может возникнуть ошибка переполнения. Вследствие этого хакер сможет выполнить в системе любые действия.
Бюллетень MS03-043 описывает ошибку переполнения буфера в системной службе Messenger. Эта служба не имеет ничего общего с интернет-пейджерами MSN Messenger и Windows Messenger и служит для передачи по Сети сообщений от одного пользователя к другому, а также для различных оповещений. В данной службе существует опасность переполнения буфера, что может привести к выполнению хакером произвольного кода. Для использования дыры злоумышленник должен создать и направить на атакуемый компьютер сообщение, вызывающее переполнение буфера.
Следующая дыра связана с наличием ошибки переполнения буфера в модуле Help and Support Center. Наиболее опасной эта уязвимость является для пользователей Windows XP и Windows Server 2003, поскольку только эти две операционные системы поддерживают один и тот же протокол, позволяющий справочной системе обрабатывать URL. Именно через этот протокол хакер может направить запрос, вызывающий ошибку и запускающий произвольный код.
Последняя из дыр, описываемая в бюллетене безопасности, несет в себе риск превышения привилегий текущего пользователя. Уязвимость связана с переполнением буфера при обработке элементов интерфейса ListBox и ComboBox. Эти элементы являются для Windows стандартными и расположены в системной библиотеке User32.dll. Использовав дыру, хакер сможет выполнить код, направив программе, в которой присутствуют элементы ListBox или ComboBox, особым образом сформированное системное сообщение. Если атакуемая программа выполняется с повышенным уровнем привилегий, то с этими же привилегиями будут выполнены и команды атакующего.
Напоследок отмечу, что залатать вышеописанные дыры можно на сайте компании Microsoft.
Андрей АСФУРА
Горячие темы