Недельный отчет о вирусах и вторжениях
В отчете этой недели будут рассмотрены два троянца: Spamnet.A и Galapoper.C, несколько уязвимостей (в Internet Explorer и ОС Windows), два червя: Gaobot.JKO и Gaobot.JKK и 5 версий червя Damon (от А до Е).
Spamnet.A - это троянец, запускающийся по входе на определенную веб-страницу. После установки на компьютере он начинает скачивать и запускать другие вредоносные программы, которые он использует для получения с зараженного компьютера электронных адресов, которые затем отправляет по FTP. Далее зараженный компьютер используется для отправки спама.
Один из образцов вредоносного ПО, который скачивает Spamnet.A - Galapoper.C. Это троянец, который подключается к нескольким веб-страницам, на которых размещен PHP-скрипт, для скачивания файла, содержащего команды удаленного управления (такие, как скачивание и запуск других файлов или самообновление). Galapoper.C также отправляет варьирующиеся спамовые сообщения, созданные из информации, получаемой им с нескольких серверов.
Три проблемы безопасности, рассмотренные ниже, были классифицированы как "критические", так как могут позволить выполнение произвольного кода на пораженных системах.
- Критические уязвимости, влияющие на Internet Explorer версий 5.01, 5.5 и 6 в компьютерах с ОС Windows 2003/XP/2000/Me/98, способные позволить злоумышленнику получить полный контроль над системой.
- Уязвимость в Plug and Play, способна позволить удаленное выполнение кода и расширение прав. Она распространяется на Windows 2000 SP4, Windows XP SP1 и SP2, Windows XP Professional x64 Edition, Windows Server 2003 и Windows Server 2003 SP1.
- Уязвимость в интерфейсе Telephony Application Programming Interface (TAPI), способная позволить удаленное выполнение кода. Она распространяется на Windows 2000 SP4, Windows XP SP1 и SP2, Windows XP Professional x64 Edition, Windows Server 2003 (SP1 и x64 Edition), Windows 98, Windows 98 Second Edition и Windows Me.
- Уязвимость в Remote Desktop Protocol, способная позволить отказ от обслуживания на компьютерах с Windows 2003/XP/2000.
- Уязвимости в Kerberos, способные позволить отказ от обслуживания, раскрытие информации и спуфинг на компьютерах с Windows 2003/XP/2000.
- Уязвимость в Print Spooler Service, способная позволить удаленное выполнение кода на компьютерах с Windows 2003/XP/2000.
Microsoft сообщила об этих проблемах безопасности в шести бюллетенях - с MS05-038 до MS05-043, которые также содержат подробности обновлений, которые рекомендуется установить пользователям.
Черви, которые мы рассмотрим в сегодняшнем отчете - это Gaobot.JKK и Gaobot.JKO, обладают следующими общими характеристиками:
- Они используют две формы распространения: создавая свои копии на сетевых ресурсах общего пользования и через Интернет, эксплуатируя несколько уязвимостей (LSASS, RPC DCOM, Workstation Service, WebDAV, и т.д.).
- Они подключаются к IRC-серверам для получения удаленных команд управления, которые выполняют на зараженном компьютере.
- Завершают процессы, принадлежащие нескольким утилитам безопасности, включая антивирусы и брандмауэры.
- Для распространения на другие системы они устанавливают собственные FTP и TFTP серверы на пораженных компьютерах.
Мы завершаем сегодняшний отчет версиями A, B, C, D и E червя Damon. Эти черви являются прототипами вредоносных кодов для оболочки Microsoft Shell console (MSH), также известной как Monad.
Spamnet.A - это троянец, запускающийся по входе на определенную веб-страницу. После установки на компьютере он начинает скачивать и запускать другие вредоносные программы, которые он использует для получения с зараженного компьютера электронных адресов, которые затем отправляет по FTP. Далее зараженный компьютер используется для отправки спама.
Один из образцов вредоносного ПО, который скачивает Spamnet.A - Galapoper.C. Это троянец, который подключается к нескольким веб-страницам, на которых размещен PHP-скрипт, для скачивания файла, содержащего команды удаленного управления (такие, как скачивание и запуск других файлов или самообновление). Galapoper.C также отправляет варьирующиеся спамовые сообщения, созданные из информации, получаемой им с нескольких серверов.
Три проблемы безопасности, рассмотренные ниже, были классифицированы как "критические", так как могут позволить выполнение произвольного кода на пораженных системах.
- Критические уязвимости, влияющие на Internet Explorer версий 5.01, 5.5 и 6 в компьютерах с ОС Windows 2003/XP/2000/Me/98, способные позволить злоумышленнику получить полный контроль над системой.
- Уязвимость в Plug and Play, способна позволить удаленное выполнение кода и расширение прав. Она распространяется на Windows 2000 SP4, Windows XP SP1 и SP2, Windows XP Professional x64 Edition, Windows Server 2003 и Windows Server 2003 SP1.
- Уязвимость в интерфейсе Telephony Application Programming Interface (TAPI), способная позволить удаленное выполнение кода. Она распространяется на Windows 2000 SP4, Windows XP SP1 и SP2, Windows XP Professional x64 Edition, Windows Server 2003 (SP1 и x64 Edition), Windows 98, Windows 98 Second Edition и Windows Me.
- Уязвимость в Remote Desktop Protocol, способная позволить отказ от обслуживания на компьютерах с Windows 2003/XP/2000.
- Уязвимости в Kerberos, способные позволить отказ от обслуживания, раскрытие информации и спуфинг на компьютерах с Windows 2003/XP/2000.
- Уязвимость в Print Spooler Service, способная позволить удаленное выполнение кода на компьютерах с Windows 2003/XP/2000.
Microsoft сообщила об этих проблемах безопасности в шести бюллетенях - с MS05-038 до MS05-043, которые также содержат подробности обновлений, которые рекомендуется установить пользователям.
Черви, которые мы рассмотрим в сегодняшнем отчете - это Gaobot.JKK и Gaobot.JKO, обладают следующими общими характеристиками:
- Они используют две формы распространения: создавая свои копии на сетевых ресурсах общего пользования и через Интернет, эксплуатируя несколько уязвимостей (LSASS, RPC DCOM, Workstation Service, WebDAV, и т.д.).
- Они подключаются к IRC-серверам для получения удаленных команд управления, которые выполняют на зараженном компьютере.
- Завершают процессы, принадлежащие нескольким утилитам безопасности, включая антивирусы и брандмауэры.
- Для распространения на другие системы они устанавливают собственные FTP и TFTP серверы на пораженных компьютерах.
Мы завершаем сегодняшний отчет версиями A, B, C, D и E червя Damon. Эти черви являются прототипами вредоносных кодов для оболочки Microsoft Shell console (MSH), также известной как Monad.