Недавно обнаруженная уязвимость в MS Windows — уже в «эксплуатации»

ПредыдущаяСледующая
1174

Служба вирусного мониторинга компании «Доктор Веб» сообщает о распространении еще одного семейства Интернет-червей, эксплуатирующих уязвимость в самом распространенном в мире ПО — операционной системе Windows. Информация об уязвимости была обнародована компанией Microsoft в бюллетене MS05-039 от 9 августа и всего 5 дней понадобилось вирусописателям для создания червя, реально ее эксплуатирующего.

Уязвимости подвержены компьютеры под управлением Windows 2000. Таким образом, незащищенные межсетевыми экранами компьютеры, на которых установлена непропатченная Windows 2000, при условии переполнения буфера в Plug-and-Play, рискуют быть атакованными извне и на них может быть запущен любой код в режиме удаленного доступа.

Объектов для атак нового червя в мире довольно много. По оценкам зарубежных экспертов, компьютерный парк 50% крупных корпораций состоит из машин, работающих под управлением этой операционной системы. В результате, как сообщают многие СМИ, зафиксировано большое количество отказов в работе таких компьютеров, в том числе в телекомпании CNN и в редакции газеты The New York Times.

Семейство новых червей (на данный момент известны как минимум четыре его модификации) классифицируется антивирусными компаниями как W32/Zotob.worm, W32.Zotob.*, Zotob.* (название составлено из «перевернутого» имени файла, под которым пилотный экземпляр этого семейства прописывал себя в системный реестр). В вирусную базу компании «Доктор Веб» червь занесен под именем Win32.HLLW.Stamin (размер файла этого конкретного варианта червя — 10366 байт).

Для проникновения на компьютеры пользователей червь сканирует сеть по порту TCP 445 (как правило блокируемому сетевыми экранами) в поисках уязвимого хоста. Поникнув в систему благодаря уязвимости в Plug-and-Play, червь самозапускается и создает в системной директории Windows файл (в разных вариантах наименования исполняемого файла червя pnpsrv.exe, winpnp.exe, csm.exe, wintbp.exe, windrg32.exe). При этом отдельные варианты червя уничтожают исходный исполняемый файл, из которого они были запущены.

Свой автоматический запуск при последующих рестартах системы червь обеспечивает путем внесения своих данных в ключи реестра

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices

Найдя подходящий (уязвимый) компьютер и поселившись в нем, червь открывает «люк», который служит его средством общения с внешним миром, и устанавливает соединение с IRC — сервером. Соединившись со своим оператором, робот может принимать команды на закачку и запуск кода, его установку, получение обновлений своих версий или самоудаление. Проникнувший на компьютер шпион собирает различную системную информацию, включая данные об установленной операционной системе, логин пользователя, объем системной памяти и другую важную информацию.

Чтобы продлить как можно больше свое существование на зараженном компьютере, червь блокирует доступ к серверам обновлений антивирусных компаний, что делает пользователя беззащитным перед лицом новой угрозы. Для этого червь блокирует системный сервис SharedAccess путем внесения изменения в ветку реестра

HKLMSystemCurrentControlSetServicesSharedAccess

Последняя версия червя содержит также и деструктивные функции удаления файлов, ключей реестра и остановки процессов.

Появление данного червя стало еще одним напоминанием о несовершенстве любого, пусть даже самого распространенного, а значит признанного мировым компьютерным сообществом ПО, и вновь обострило извечную проблему своевременной установки «заплаток» к используемому на компьютерах софту. Для данной уязвимости патч находится здесь.

18 августа 2005 Г.

16:15

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Компания Intel анонсировала выпуск своего первого модема 5G: Одновременно был представлен модем LTE Cat-19, получивший обозначение Intel XMM 766033

Jaguar Land Rover начинает испытания самоуправляемых машин на дорогах общего пользования: Испытания будут продолжены в будущем году4

Компания Megabots хочет провести первый в мире турнир по боям огромных роботов: В следующем году может быть проведёт первый турнир по боям гигантских роботов7

Видео дня: робот Boston Dynamics Atlas делает сальто назад: Робот Boston Dynamics Atlas научился запрыгивать на препятствия33

Смартфон Samsung Galaxy J2 Pro в новом поколении наконец-то получит современную платформу: Стали известны детали о смартфонах Samsung Galaxy J2 Pro и Galaxy J5 Prime нового поколения22

Volkswagen собирается выделить на электромобили и самоуправляемые машины более 34 млрд евро: Общая сумма инвестиций на период до 2022 года примерно равна 72 млрд евро7

Китай намерен создать космический корабль с ядерным двигателем: Ядерные космические корабли могут стать реальностью81

PowerColor похвасталась изображениями видеокарты Radeon RX Vega 64 Red Devil: Radeon RX Vega 64 Red Devil получит 12-фазную подсистему питания11

Набор модулей памяти G.Skill Trident Z DDR4-4400 суммарным объемом 32 ГБ работает с задержками CL19-19-19-39: По словам производителя, это самый быстрый набор DDR4 такого объема6

997
1318

iXBT TV

  • Заводские экзоскелеты, обновление Firefox, слишком умные наушники

  • Репортаж с конференции Supercomputing 2017 (SC17), день 3: стенд группы компаний РСК

  • Репортаж с конференции Supercomputing 2017 (SC17), день 2: стенд Intel

  • Репортаж с конференции Supercomputing 2017 (SC17), день 1: рейтинг Top500

  • Обзор кинотеатрального DLP-проектора LG PF1000U со встроенным ТВ-тюнером

  • Камера Panasonic G9, унитазный робот, игровой смартфон, кепка для водителей

  • Обзор портативной беспроводной колонки Sven PS-460

  • Обзор напольного пылесоса Tefal Silence Force 4A TW6477 с одноразовыми мешками для сбора мусора

  • Обзор сверхширокоугольного зум-объектива Canon EF 16-35mm f/2.8L III USM

  • Обзор изогнутого 34-дюймового IPS-монитора LG 34UC99 с соотношением сторон 21:9 и белым корпусом

  • Обзор робота-пылесоса Philips SmartPro Active (FC8822/01) с широкой насадкой TriActive XL

  • Обзор видеокамеры Canon XF405: съемка 4K-видео с высокой частотой кадров

1212

Календарь

август
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать