Вы находитесь на страницах старой версии сайта.
Переходите на новую версию Interface.Ru

НОВОСТЬ06.09.05


Новая напасть на пользователей MS Windows и как с ней бороться

Компания Microsoft опубликовала очередную информацию о выпуске обновлений для своих продуктов, куда входит семь обновлений для Windows, не считая очередной версии антивирусной утилиты Malicious Software Removal Tool.

Шесть обновлений связаны с безопасностью, причем некоторые из патчей имеют критический рейтинг. Размер заплатки составляет 416 кб, после инсталляции может потребоваться перезагрузка компьютера. Кроме того, корпорация Microsoft планирует включить данный патч в следующий пакет обновлений для операционной системы Windows ХР.

Одно из августовских обновлений не будет связано с безопасностью, но, вместе с тем, обозначено как высокоприоритетное. Все обновления будут распространяться через службу автоматических обновлений, сайты Windows Update и Microsoft Update, а также систему Software Update Services, с помощью которой системные администраторы могут централизованно устанавливать обновления на компьютеры пользователей.

Информация об очередной уязвимости ОС Windows 2000/XP/2003 была обнародована компанией Microsoft в бюллетене MS05-039. Как выяснилось, всего пять дней понадобилось вирусописателям для создания червя, эксплуатирующего данную уязвимость. Таким образом, незащищенные межсетевыми экранами компьютеры, на которых установлена “непропатченная” ОС, при условии переполнения буфера в Plug-and-Play рискуют быть атакованными извне и на них может быть запущен любой код в режиме удаленного доступа.

Как сообщается в официальном уведомлении, для проведения атаки необходимо получить доступ к реестру операционной системы. Сделать это можно через какую-либо другую уязвимость в Windows или же локально. Далее нужно ввести список исключений брандмауэра в соответствующий раздел реестра ОС.

Для проникновения на компьютеры пользователей новоявленный червь сканирует сеть по порту TCP 445 (как правило, блокируемому сетевыми экранами) в поисках уязвимого хоста. Поникнув в систему благодаря уязвимости в Plug-and-Play, червь самозапускается и создает в системной директории Windows файл под именем pnpsrv.exe, winpnp.exe, csm.exe, wintbp.exe, windrg32.exe или каким-нибудь иным. При этом отдельные варианты червя уничтожают исходный исполняемый файл, из которого они были запущены.

Свой автоматический запуск при последующих рестартах системы червь обеспечивает путем внесения своих данных в ключи реестра. Найдя подходящий (уязвимый) компьютер и “поселившись” в нем, червь открывает “люк”, который служит ему средством общения с внешним миром, и устанавливает соединение с IRC-сервером. Соединившись со своим оператором, робот может принимать команды на закачку и запуск кода, его установку, получение обновлений своих версий или самоудаление. Проникнувший на компьютер шпион собирает различную системную информацию, включая данные об установленной операционной системе, логин пользователя, объем системной памяти и другие важные сведения.

Чтобы продлить как можно больше свое существование на зараженном компьютере, червь блокирует доступ к серверам обновлений антивирусных компаний, что делает пользователя беззащитным перед лицом новой угрозы. Для этого червь блокирует системный сервис SharedAccess путем внесения изменения в ветку реестра HKLM\System\CurrentControlSet\Services\SharedAccess. Собщается, что последняя версия червя содержит также и деструктивные функции удаления файлов, ключей реестра и остановки процессов.

Зарубежные СМИ сообщают, что зафиксировано большое количество отказов в работе компьютеров телекомпании CNN, редакции газеты The New York Times и ряде других организаций. По данным “Лаборатории Касперского” (ЛК), в данном случае речь идет о черве, который у разных антивирусных компаний имеет следующие названия:

Вместе с тем эксперты ЛК отмечают, что в настоящее время в Интернете не наблюдается заметной вирусной эпидемии. Если вспомнить ситуацию с эпидемией червя Sasser в мае 2004 г., то тогда сетевой трафик вырос примерно на 20-40%, чего в настоящее время не происходит.

По информации PCWeek и compulenta.ru

Обратиться в Interface Ltd. за дополнительной информацией/по вопросу приобретения продуктов
Загрузить апдейт

О компании Microsoft

Основанная в 1975 году, компания Microsoft является ведущей мировой корпорацией, специализирующейся на производстве программного обеспечения. Microsoft разрабатывает передовые программные продукты для персональных компьютеров, которые позволяют существенно повысить эффективность труда и использовать новейшие достижения информационных технологий на работе, дома и при обучении. Программные продукты корпорации Microsoft пользуются огромной популярностью среди заказчиков во всем мире и получили широчайшую поддержку сторонних компаний, предлагающих сервисные услуги на компьютерном рынке.

Подробнее о продуктах Microsoft
Microsoft: «Мы не будем брать денег за устранение уязвимостей»

За дополнительной информацией обращайтесь в Interface Ltd.

Обсудить на форуме Microsoft

Рекомендовать страницу

INTERFACE Ltd.
Телефон/Факс: +7 (495) 925-0049
Отправить E-Mail
http://www.interface.ru
Rambler's Top100
Ваши замечания и предложения отправляйте редактору
По техническим вопросам обращайтесь к вебмастеру
Дата публикации: 06.09.05