Недельный отчет Panda Software о вирусах и вторжениях

Майкрософт выпустила десять бюллетеней безопасности для пользователей. Они исправляют уязвимости, опасность которых оценена как "критическая" (шесть), "серьезная" (одна), "умеренная" (две) и "низкая" (одна):

* MS06-056: Исправляет уязвимость (кросс-сайтовый скриптинг) на серверах с .Net Framework 2.0. Опасность этой бреши была оценена как "умеренная".

* MS06-057: Обновляет Windows Shell с целью помешать удаленному запуску кода. Обнаружена в Windows 2000, XP и Server 2003. Серьезность расценивается как "критическая".

* MS06-058: Исправляет шесть уязвимостей в PowerPoint и расценивается как "критическая".

* MS06-059: Исправляет четыре уязвимости в Microsoft Excel, также названные "критическими".

* MS06-060: Обновление для исправления критической уязвимости в Microsoft Word.

* MS06-061: Содержит обновление, исправляющее две уязвимости Microsoft XLM Core Services. Майкрософт назвала этот бюллетень "критическим". Он применим к Windows NT4 SP6, 2000, XP и Server 2003.

* MS06-062: Обновление для исправления уязвимостей Microsoft Office. Влияет на Microsoft Office, Project и Visio. Уязвимости названы "критическими".

* MS06-063: Исправляет две уязвимости в службе Windows Server. Бюллетень, которому была присвоена оценка "важный", предназначен для Windows 2000, Server 2003 и XP.

* MS06-064: Исправляет три уязвимости отказа в обслуживании на системах TCP/IP IPv6. Майкрософт присвоила этому бюллетеню "низкую" степень серьезности. Он предназначен для систем Windows XP и Server 2003.

* MS06-065: Исправляет уязвимость, влияющую на утилиту Windows Object Packager в Windows XP и Server 2003. Ее серьезность оценена как "умеренная".

Первый вредоносный код в отчете прошедшей недели - червь W32/Nedro.B.worm, разработанный для заражения операционных систем Windows. Он распространяется по IRC и через Yahoo! messenger.

Чтобы остаться незамеченным и избежать обнаружения и уничтожения, Nedro.B выполняет ряд действий:

•Блокирует доступ к реестру Windows.
•Вносит модификации в систему для запуска кода червя при любом запуске файла с одним из следующих расширений: art, dat, avi, ini и pif.
•Назначает иконку Microsoft Word файлам .scr (хранители экрана) для того, чтобы сделать их менее подозрительными для пользователей.
•Скрывает файлы .bat, .com, .exe и .scr (все эти файлы являются исполняемыми, и поэтому потенциально опасны).
•Удаляет опцию "Выполнить" из меню "Пуск".
•Запрещает просмотр пользователем содержимого жесткого диска через Проводник Windows.
•Завершает множество приложений безопасности.

Эти действия не только позволяют Nedro.B скрывать себя, но также оставляют систему уязвимой для других вредоносных кодов.

Haxdoor.NJ - это бэкдор-троян, собирающий различные виды паролей с зараженного компьютера, например таких, как пароли начала сеанса работы, а также почтовых клиентов Outlook и The Bat. Haxdoor.NJ также пытается украсть пароли для систем eBay, e-gold и paypal. Если он находит эту информацию, то отправляет ее своему создателю, используя руткит Rootkit/Haxdoor.NJ.

В распространении Haxdoor.NJ полагается на злоумышленника, поскольку не способен к автоматическому распространению. Этот руткит также открывает три произвольно выбираемых порта, чтобы позволить своему автору получить данные.

Для распространения, Haxdoor.NJ внедряет свой код в процесс explorer.exe, тем самым, обеспечивая свой запуск при каждой загрузке системы. Он предотвращает работу брандмауэра Windows XP SP2, изменяя его настройки таким образом, чтобы считаться авторизованным приложением.

©1997-2024 Компьютерная газета