Две новые модификации семейств Bagle и Netsky, заполонивших сентябрьскую вирусную двадцатку, были обнаружены на прошлой неделе антивирусными экспертами. Таким образом, повторяется ситуация прошедших двух месяцев, когда в вирусные рейтинги почти не проникают новые вредоносные программы, а основной костяк лидеров по количеству случаев заражения составляют старые черви вместе со своими "свежими" версиями.
Так, червь Bagle.AS распространяется по электронной почте в виде вложений с различными именами, а также через пиринговые сети, маскируясь под полезные утилиты и приложения, к примеру, ACDSee 9.exe или WinAmp 5 Pro Keygen Crack Update.exe. После запуска вирус записывает себя в системный каталог Windows, регистрируется в реестре и создает копии вредоносного кода во всех папках, содержащих в названии символы "share". Кроме того, червь открывает ТСР-порт для получения команд от своего создателя.
Новая модификация червя Netsky, получившая название Netsky.AD, распространяется, равно как и предыдущие варианты, по электронной почте, используя в процессе организации массовых рассылок вредоносного кода встроенный SMTP-сервер. После активации вирус записывает в директорию Windows свою копию под именем Msnmsger.exe и регистрирует этот файл в ключе автозапуска системного реестра. Затем червь выводит на дисплей сообщение об ошибке с текстом "File Corrupted replace this!!". Адреса электронных ящиков для своего дальнейшего распространения Netsky.AD извлекает из файлов с расширениями eml, htm, html, oft, php, rtf, sht, tbb, txt.
Кроме того, стоит отметить появление макровируса Kamal. И хотя, в отличие от вышеперечисленных червей, большой угрозы для компьютера от него ожидать не стоит, своей актуальности макровирус не теряет. Ведь, как-никак, "прячется" Kamal в ныне популярном текстовом процессоре Microsoft Word. После активации вредоносная программа выполняет несколько основных действий. Во-первых, Kamal выводит на экран информационное сообщение, содержащее всего один символ "I". Во-вторых, макровирус внедряется в шаблон Normal.dot и отключает антивирусную защиту текстового процессора MS Word. Наконец, в-третьих, Kamal изменяет свойства открываемых документов, добавляя в поля "Автор" и "Тема" строку "I-Worm.Kamila", а в поле "Заметки" - текст "Generated by I-Worm.Kamila".
* * *
Мало того, что Microsoft выпускает заплатки сразу штуками и через определенный промежуток времени, а не тогда, когда в этом есть необходимость, так еще и бюллетени безопасности далеки от совершенства. Так, недавно вышедший бюллетень безопасности, посвященный программе Internet Explorer, описывает лишь несколько критически опасных дыр в браузере. От остальных, видимо, пользователю придется страховаться самостоятельно.
Первая уязвимость, указанная в бюллетене, позволяет выполнить произвольный код на атакуемой системе. Для реализации нападения злоумышленнику необходимо вынудить жертву просмотреть сформированную особым образом интернет-страницу, обработка которой приведет к повреждению информации в области памяти, выделяемой программе для динамически размещаемых структур данных. Хакеры также могут захватить полный контроль над удаленной машиной через брешь в модуле Inseng.dll.
Еще одна ошибка, проявляющаяся при обработке операций Drag and Drop, обеспечивает возможность записи произвольных файлов на компьютер пользователя через вредоносную онлайновую страницу или электронное сообщение. Похожая уязвимость возникает в процессе обработки сценариев в тэгах изображений и может приводить к выполнению произвольного кода на удаленном компьютере. Эта дыра была обнаружена вскоре после выпуска второго сервис-пака для Windows XP.
Наконец, софтверный гигант заделал дыру в Internet Explorer, обеспечивающую возможность проведения XSS-атак; две уязвимости, посредством которых можно подменить URL в адресной строке браузера, а также ошибку в системе кэширования защищенных web-сайтов.
К сожалению, не обошлось на этот раз и без неприятностей. Дело в том, что буквально на днях компания GreyMagic Software сообщила об обнаружении дыры в IE, при помощи которой злоумышленник может получить доступ к конфиденциальным XML-документам, хранящимся на удаленном компьютере. По информации GreyMagic Software, дыра до сих пор представляет потенциальную угрозу для пользователей браузера. Интересно, что о существовании проблемы было известно еще в 2002 году, и корпорация Microsoft даже выпустила тогда соответствующий патч.
* * *
Виртуальный мир все больше становится похожим на реальный. Там тоже можно производить покупки, играть в казино и даже страдать от рэкетиров.
Как стало известно, минимум шесть-семь тысяч web-компаний регулярно выплачивают "дань" сетевым вымогателям. Выступая на презентации доклада "20 крупнейших уязвимостей интернета SANS Institute", директор по исследовательской работе этой организации Алан Паллер заявил, что проблема интернет-рэкета с каждым годом становится все острее. На крючках вымогателей сидят практически все онлайн-казино и многие другие компании, бизнес которых напрямую зависит от бесперебойной работы их серверов.
Сетевые бандиты в качестве угроз используют DDoS-атаки, способные надолго вывести из строя сайт и, таким образом, оставить его без посетителей и их денег. Компании, желающей избавиться от такой участи, обычно предлагают заплатить некоторую сумму отступных, чтобы какое-то время чувствовать себя в безопасности.
Роджер Камминг, возглавляющий находящийся в Великобритании Координационный центр безопасности национальной инфраструктуры, также заявил, что интернет-вымогательство уже достигло невероятных оборотов, и проблема грозит перейти с локального на общенациональный уровень.
Кстати, нет ничего удивительного в том, что компании платят рэкетирам. По мнению специалистов компании Next Generation Security Software, 90% онлайновых бизнес-проектов беззащитны перед киберпреступниками. Как заявили эксперты, девять из десяти попавшихся им web-приложений снабжены заурядными методами защиты. К тому же примерно треть найденных уязвимостей может быть использована для получения конфиденциальной информации посторонними лицами.
Андрей АСФУРА