Главная » Новости » 2004 » 05 » 05 5 мая 2004

Sasser или Проприетарные ОС — панацея?

Все споры о том, какие ОС являются оптимальными для серьезных учреждений, похоже, могут вспыхнуть с новой силой. Sasser умудрился среди миллионов "персоналок" порезвиться в системе береговой охраны Великобритании (Marine and Coastguard Agency), в результате чего сотрудникам пришлось вспомнить старые добрые времена, достать ручки и бумагу и вручную определять местоположение кораблей.

Произошло это еще вчера, когда первые работники госучреждений начали возвращаться после выходных на рабочие места и приносить с собой зараженные ноутбуки или активно пользоваться настольными системами, остававшихся с доступом к интернету в течение праздников. По первоначальным оценкам аналитиков эпидемия Sasser по масштабам и нанесенному ущербу не уступает эпидемии Blaster в августе прошлого года.

Бесконечно можно спорить о том, что является одной из косвенных причин широкого распространения вируса – беззаботность пользователей или уязвимости в ОС Windows, одно ясно точно: масштабы могли бы быть меньше, если бы организации (хотя бы правительственные) пользовались собственными разработками (ну скажите, кому придет в голову искать уязвимости в проприетарных разработках). Что бы не говорили, а script-kiddies все же предпочитают готовые эксплойты и известные уязвимости. Например, по данным различных источников меньше всего ломают системы irix, aix и другие, чья процентная доля среди всех используемых серверных ОС вряд ли доходит до 1%.

Совсем другое дело Sasser, который появился через 17 дней после обнаружения уязвимости в Windows – 20 "дыр" были описаны в бюллетене Microsoft 13 апреля. С момента начала распространения, 30 апреля, в природе было замечено 4 варианта вируса (базовый и три штамма, "оптимизированных под скорость распространения").

Ну и, наконец, стоит упомянуть опубликованные Лабораторией Касперского данные, опубликованные еще 1 мая:

Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 15 Кб, упакован ZiPack. При запуске червь регистрирует себя в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
avserve2.exe = %WINDIR%avserve2.exe

Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя.

Загрузка выполняется по протоколу FTP — для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "N_up.exe", где N — случайное число.

По материалам Slashdot, Newscientist, Лаборатории Касперского

17:18 05.05.2004
Оценить новость

Не работают комментарии или голосования? Читайте как почистить куки



ВИКТОРИНА PATRIOT

Какие продукты, помимо компьютерной памяти, представлены в линейке Patriot – Viper Gaming?
май
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2004

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.