Внимание, новая уязвимость IE

← →
pasha_golub © (2004-06-25 18:31) [0]

1. Хакеры используют неизвестную уязвимость Internet Explorer

Сегодня утром в интернете была зафиксирована необычная эпидемия,
затрагивающая веб-серверы под управлением MS IIS5 (Microsoft Internet
Information Server 5) и, затем, пользовательские компьютеры, посетившие
зараженные веб-серверы при помощи Internet Explorer.

Злоумышленники, предположительно, используют весьма нестандартный
механизм заражения пользовательских компьютеров.

Во-первых, они взламывают веб-сервер, работающий под управлением
IIS5, и заражают его написанной на JavaScript троянской программой
Trojan.JS.Scob.a (процедуры её обнаружения и удаления добавлены в базы
данных Антивируса Касперского в ночь с 24 на 25 июня). Проникновение на
IIS5-сервер, судя по всему, осуществляется через одну из старых или же
неизвестную новую уязвимость.

Затем, при посещении какой-либо веб-страницы на зараженном
веб-сервере посредством браузера MS Internet Explorer, установленный на
веб-сервере "троянец" перехватывает управление и обращается к веб-сайту,
на котором находится специальный PHP-скрипт, использующий еще одну до
сегодняшнего дня неизвестную уязвимость, но уже в браузере Internet
Explorer.

Наконец, за счет использования этой уязвимости, на пользовательский
компьютер устанавливается одна из версий программы Backdoor.Padobor
(модификаций w, x, y, z), предоставляющей злоумышленникам возможность
полного контроля над зараженной машиной.

Эксперты по информационной безопасности предполагают, что за новой
эпидемией стоят спамеры, пытающиеся таким образом установить программы
для рассылки спама на как можно большее число пользовательских
компьютеров.

"Лаборатория Касперского" рекомендует пользователям интернета
временно воздержаться от просмотра веб-страниц при помощи браузера
Internet Explorer. По имеющейся на данный момент информации, другие
широко распространенные веб-браузеры (Mozilla и Opera) не подвержены
этой уязвимости. Также, в целях профилактики, можно временно отключить
исполнение JavaScript в настройках Internet Explorer.

"Лаборатория Касперского" обращает особое внимание пользователей на
то, что потенциально опасным может оказаться любой, даже уважаемый или
хорошо им знакомый веб-сайт.

С более подробной информацией можно ознакомиться по следующим
ссылкам:

http://isc.sans.org/diary.php?date=2004-06-24
http://isc.sans.org/diary.php?date=2004-06-25

Кроме того, на сайте Microsoft создана специальная страница,
посвященная этому инциденту:

http://www.microsoft.com/security/incident/download_ject.mspx

← →
Jeer © (2004-06-25 18:33) [1]

Чур, меня, чур:))

← →
Anatoly Podgoretsky © (2004-06-25 19:20) [2]

Судя по страшилкам это Касперский

← →
Jeer © (2004-06-25 19:23) [3]

Anatoly Podgoretsky © (25.06.04 19:20) [2]

О ! Он умеет пугать пугливых:)
Теньга легко не достается, увы.

← →
Anatoly Podgoretsky © (2004-06-25 19:29) [4]

Этой уязвимости свыше 2 месяцев, критическое обновление было выпущено 13,05,2004 и как всегда в последнее время вирусписаки просто берут и дизассемблируют обновление от Микрософт и эксплуатируют эту информацию. За последние два года было только так.

← →
Real © (2004-06-25 19:31) [5]

Я думаю у них сообщество антивирусников (касперский рулит русским филиалом). Есть свой пресс-центр, а также отдел планирования, рекламы, разработки новых вирусов и т.д....

← →
Anatoly Podgoretsky © (2004-06-25 19:34) [6]

Да и еще, данная версия вируса уже z
То есть вторая лень вместо разработки вируса мейкеры бурут уже существующий и чуть изменяют, что бы антивирус не узнал.
Налицо кризис жанра :-)

← →
Anatoly Podgoretsky © (2004-06-25 19:50) [7]

И еще в базе McAfee, Symantec, F-Secure данный вирус был уже 6.06.2004
Отсюда можно сделать вывод, что Касперский наверно к этому отношения не имеет :-)

← →
Palladin © (2004-06-25 19:51) [8]

← →
ИМХО © (2004-06-25 19:59) [9]

Удалено модератором

← →
Jeer © (2004-06-25 20:10) [10]

А вообще-то кто-то им пользуется ?
У нас давно NAV и Trend Micro Corporative.

imho, все это - налицо реклама KAV, типа, покупайте наших слонов - наши слоны самые слоенючие слоны в мире.

"Лаборатория Касперского" сообщает о новой массовой эпидемии целой комбинации вредоносных программ, сочетающейся с несанкционированным проникновением в компьютерные системы. Эпидемия затрагивает веб-серверы под управлением операционной системы IIS5 (Microsoft Internet Information Server 5) и, во вторую очередь, пользовательские компьютеры, которые обращаются к пораженным веб-серверам при помощи популярного браузера Internet Explorer.

При этом злоумышленники применяют нестандартный механизм заражения пользовательских компьютеров. Во-первых, они взламывают веб-сервер, работающий под управлением IIS5, и заражают его написанной на JavaScript троянской программой Trojan.JS.Scob.a. На основании полученных данных аналитики "Лаборатории Касперского" предполагают, что проникновение на IIS5-сервер осуществляется через уже известную либо принципиально новую уязвимость.

Затем, при посещении какой-либо веб-страницы на зараженном веб-сервере с использованием браузера Microsoft Internet Explorer, установленная на веб-сервере троянская программа перехватывает управление и обращается к веб-сайту, на котором находится специальный PHP-скрипт, использующий еще одну, неизвестную до сегодняшнего дня, уязвимость, но уже в браузере Internet Explorer.

Наконец, за счет использования этой уязвимости, на пользовательский компьютер устанавливается одна из версий программы-шпиона Backdoor.Padodor (модификаций w, x, y, z), предоставляющей злоумышленникам возможность полного контроля над зараженной машиной.

Результаты анализа кода программы-шпиона "Padodor" не оставляют сомнений в определении авторов данной вредоносной акции. В тексте программы присутствует "авторская строка" со словами "Coded by HangUp Team". Это дает основания предполагать, что автором и инициатором данной акции является международно-известная команда вирусописателей и хакеров HangUp (веб-сайт rat.net.ru, сейчас защищен паролем), также подозреваемая в создании ряда других вредоносных программ. Например, обнаруженный недавно печально известный червь "Padobot" (также известный как "Korgo"), который атакует компьютеры через уязвимость LSASS, а для получения команд от злоумышленников использует каналы чата IRC.

Группа "HangUp Team" была создана тремя жителями Архангельска. В 2000 году они были арестованы и приговорены к условным срокам заключения по ст. УК РФ 273, за нарушение закона о создании и распространении вредоносных программ. Однако, в настоящее время команда "HangUp" вновь ведет активную деятельность и включает в себя представителей компьютерного андерграунда со всего постсоветского пространства, и, возможно, других стран мира. Группа также известна благодаря своим крепким связям со спам-индустрией, охотно приобретающей у "HangUp Team" сети из зараженных троянскими программами компьютеров, которые затем с помощью установки прокси-серверов используются для рассылки спама.

"Не исключено, что в данном случае имеет смысл вести речь о "Zero-day Exploit", т.е. о бреши, еще никому неизвестной, для которой еще не выпущен соответствующий патч. Иными словами, возможно, что хакеры, обнаружив или выкупив брешь у автора, незаметно заразили IIS-серверы по всему миру для распространения программы-шпиона. Мы говорили о возможности появления такого рода инцидентов еще несколько лет назад, и события этого дня подтверждают печальную тенденцию деструктивной направленности действий компьютерного андерграунда, который переходит к применению комбинированных атак, не допускающих применения сопоставимых средств защиты", - сказал Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

http://www.bezpeka.com/news/2004/06/2501.html

Перестал пользоваться IE, OE, всякими антивирусами, не ставлю заплаток.

Пользуюсь Mozilla Firefox/Thunderbird, включил файервол, службе RPC сказал, чтобы она перезапускалась "если чё", а не перезагружала комп, отключил NetBIOS в любом проявлении, уже месяца три как живу и "ни чё". Странно как-то...

Внимание, новая уязвимость IE Найти похожие ветки