Новости с "рынка" сетевой безопасности

[ceadr]

С сайта www.AVINFO.ru "Сегодня компания Lavasoft с радостью сообщает о выходе новой версии Ad-Aware Enterprise Edition version 1.7

Основным направлением компании LAVASOFT, лидера среди поставщиков решений в области программного обеспечения для предотвращения трассировки информации пользователя, является разработка и распространение решений для защиты вашего компьютера или сети от компрометирующих и шпионских угроз конфиденциальности. Компании любого уровня, а также частные пользователи получают комплексные и эффективные решения для защиты конфиденциальности.

Сегодня компания Lavasoft с радостью сообщает о выходе новой версии Ad-Aware Enterprise Edition version 1.7

В новой версии добавлены следующие функции и исправлены следующие ошибки:
Новые функции:
Файлы сигнатур теперь могут быть переданы клиенту двумя способами: “pushing” и “pulling”.
- Альтернативные методы ведения журналов. Пространство жесткого диска на Сервере и Клиенте может быть увеличено с помощью функции "No detailed logging" (Журнал без детализации).
- При загрузке клиенты автоматически проверяют наличие обновлений на сервере.
- Новый ключ добавлен в реестр для контроля пути, по которому читаются логи сканирования Ad-Aware.
Исправлены ошибки:
Начальное время всегда отображалось в "%" в панели "Server Control".
- Уведомления по почте отправлялись с неверными временными промежутками.
- "Force Update" теперь установлено по умолчанию в обновлении по расписанию.
- Панель статуса не обновлялась вовремя в панели "Client Status".
- Отсутствующие клиенты не идентифицировались верно.
- IP сервера не мог быть размещен в локальном сетевом интерфейсе.
- При запуске "Management Console" шкала процесса установки снова не будет появляться.

Современные исследования показывают, что большинство компьютеров в корпоративных сетях заражено той или иной формой рекламного или шпионского ПО, и, более того, данная проблема становится одной из наиболее распространенных в рамках обеспечения безопасности корпоративной сети.

Доверьте решение данной проблемы компании Lavasoft, которая является основателем отрасли противодействия шпионскому ПО и на протяжении многих лет представляет инновационные решения.

Более подробную информацию о продуктах компании Lavasoft можно найти на сайте http://www.lavasoft.avsoft.ru/."

[Rollers]

В ноябре последний вариант червя Sober навел хаос, являясь пользователям под личиной писем из ФБР и ЦРУ. Антивирусные компании знали, что червь каким-то образом управляется через веб. Он запрограммирован так, чтобы автор мог контролировать зараженные машины, а если требуется — и изменять поведение самого червя.

В четверг финская антивирусная фирма F-Secure сообщила, что она расшифровала алгоритм, используемый червем, и может вычислить точные адреса URL, которые тот посещает в любой день. Главный специалист F-Secure Микко Хиппонен пояснил, что автор вируса не использует постоянный URL, так как его быстро заблокировали бы.

«Sober создает псевдослучайные адреса URL, которые меняются в зависимости от дат. 99% этих URL просто не существует… Однако автор вируса может рассчитать URL на любую дату, и когда ему нужно сделать что-либо на всех зараженных машинах, он просто регистрирует соответствующий URL, загружает туда свою программу и БАХ! Она выполняется на сотнях тысяч машин во всем мире», — пишет Хиппонен в своем блоге.

По расчетам F-Secure, 5 января 2006 года все компьютеры, зараженные последним вариантом вируса Sober, будут искать обновленные файлы в следующих доменах:


http://people.freenet.de/gixcihnm/

http://scifi.pages.at/agzytvfbybn/

http://home.pages.at/bdalczxpctcb/

http://free.pages.at/ftvuefbumebug/

http://home.arcor.de/ijdsqkkxuwp/

Хиппонен рекомендует администраторам лишить любые зараженные ПК возможности автоматического обновления, заблокировав доступ к этим доменам.

Менеджер Trend Micro Адам Бивиано считает, что блокирование URL, может быть, и полезно, но все же надежнее всего было бы сделать все ПК безопасными. «Блокирование этих URL неплохая идея, но в первую очередь задача администраторов — гарантировать, что их машины не заражены», — прокомментировал он.

securitylab.ru

[Rollers]

Группа компаний, выпускающих SSL-сертификаты для сайтов с шифрованным соединением (https), планирует в следующем году пересмотреть практику выдачи этих документов, поскольку зачастую они создают у пользователя чувство ложной безопасности и приводят к успеху мошенников.

Самая серьезная проблема значка желтого замка в браузере, обозначающего защищенное соединение, — в невнимательности при выдаче сертификатов. SSL-сертификат включает ключ шифрования, название организации-обладателя и срок годности, подписанные издателем. Несколько лет назад проверка заявителя на принадлежность к указанной организации начала проводиться «спустя рукава». Некоторые издатели довольствовались лишь фактом существования почтового ящика, откуда пришел запрос. Этим воспользовались фишеры. Впрочем, им необязательно выдавать свой сертификат за реальный: попадая на подставной сайт по защищенному соединению, пользователь видит тот же самый желтый замок. Редко кто догадывается посмотреть подробности сертификата и увидеть, что сертификат выдан совсем другой организации. «Проблема с базовым сертификатом — в низком уровне проверки заказчика, а методы подтверждения в браузерах нелегки для среднего пользователя», — сказал Джим Мелони (Jim Maloney), директор по безопасности компании Corillian, предоставляющей технологии онлайновых платежей более чем 100 банкам.

Браузеры — тоже часть проблемы. Желтый замок выглядит всегда одинаково со времен его изобретения Netscape «на заре» всемирной паутины. Microsoft и другие производители браузеров собираются изменить его в Internet Explorer 7. Вместе с издателями сертификатов VeriSign, Comodo, GeoTrust и Cybertrust, объединившимися в CA Forum, компании пересмотрят стандарт и сделают сертификаты более надежными. Ими будут выпускаться сертификаты «высокой надежности». Представители форума уже три раза встречались в этом году по данному вопросу.

Фишеры украли у финансовых организаций как минимум $400 млн. в прошлом году, по данным Financial Insight при IDC. Тем временем объемы онлайновых транзакций растут. К 2010 году их оборот в США составит $329 млрд. против $172 млрд. в этом году, по данным Forrester Research.

securitylab.ru

[Rollers]

В антивирусном ПО Symantec есть уязвимость, которую злоумышленники могут использовать для перехвата контроля над системой, предупредила компания во вторник вечером.

Согласно Symantec, баг, который влияет на целый ряд программных средств безопасности компании, представляет «высокий» риск. Датская секьюрити-фирма Secunia расценивает его как «высококритичный». В рекомендации Secunia говорится, что он проявляется в большинстве продуктов Symantec, включая версии Symantec AntiVirus, Symantec Norton AntiVirus и Symantec Norton Internet Security для корпоративных и индивидуальных пользователей на платформах Windows и Macintosh.

Уязвимость находится в Symantec AntiVirus Library, которая обеспечивает поддержку форматов файлов для анализа вирусов. «При декомпрессии файлов RAR Symantec допускает множество переполнений кучи (heap overflows), что позволяет злоумышленникам получить контроль над защищаемой системой, — говорит консультант по безопасности Алекс Уилер, который первым обнаружил ошибку. — Эти уязвимости могут использоваться дистанционно, без вмешательства пользователя в конфигурациях по умолчанию через обычные протоколы, такие как SMTP».

RAR — это собственный формат программы WinRAR, которая используется для компрессии и декомпрессии данных. Пока уязвимость обнаружена только в версии Dec2Rar.dll 3.2.14.3 и в принципе, по словам Уилера, может затрагивать все продукты Symantec, использующие этот DLL. Полный список затрагиваемых продуктов приведен здесь.

Symantec еще не выпустила поправку для решения этой проблемы. Пока Уилер рекомендует пользователям запретить сканирование RAR-компрессированных файлов.

Это не первая уязвимость, обнаруженная Уилером. В октябре он нашел аналогичную ошибку в антивирусном ПО «Лаборатории Касперского», которую позднее компания признала. А в феврале он обнаружил другую ошибку переполнения кучи в антивирусном ПО Symantec.

ZDNet

[Rollers]

US CERT опубликовала отчет, огласно которому в 2005 году было обнаружено на 38% больше уязвимостей по сравнению с 2004 годом.

Согластно US-CERT, 812 уязвимостей было обнаружено в операционной системе Windows и различном ПО для Windows, 2328 уязвимостей в операционных системах Unix/Linux (включая Mac OS) и различные входящие в дистрибутив приложения. Остальные 2058 дыр воздействовали на несколько операционных систем.

securitylab.ru

[George]

Trojan.Encoder - не поддавайтесь кибер-шантажу. «Доктор Веб» всегда придет Вам на помощь.

27 января 2006 года

За последние сутки в Службу вирусного мониторинга компании «Доктор Веб» поступило несколько обращений от пользователей, файлы документов которых оказались закодированы неизвестным вирусом. Кроме зашифрованных и поэтому недоступных для прочтения файлов все жертвы вируса обнаружили на своих дисках многочисленные копии файла readme.txt, в котором содержалось сообщение о том, что файлы пользователя зашифрованы и предлагалось обратиться с письмом на указанный адрес электронной почты для расшифровки файлов.

В этой связи компания «Доктор Веб» информирует своих пользователей, что в данном случае речь идет о поражении системы троянской программой, которая детектируется антивирусным ядром Dr.Web как Trojan.Encoder (добавлен в вирусную базу 26 января 2006 года). Троянская программа попадает на компьютеры своих жертв по электронной почте и прописывает себя в ключ реестра

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
services = Filename.exe

Троянец активируется, используя уязвимость операционной системы. Поселившись на компьютере жертвы, программа ищет файлы со следующими расширениями:

"rtf" ,"txt" ,"pdf" ,"csv" ,"frm" ,"css" ,"xls" ,
"mdb" ,"dbf" ,"dbt" ,"db" ,"safe" ,"flb" ,"pst" ,"pwl" ,"pwa" ,"pak" ,"rar" ,
"zip" ,"arj" ,"gz" ,"tar" ,"sar" ,"htm" ,"html" ,"cgi" ,"pl" ,"kwm" ,"pwm" ,
"cdr" ,"dbx" ,"mmf" ,"tbb" ,"xml " ,"frt" ,"frx" ,"gtd" ,"rmr" ,"chm" ,"mo" ,
"man" ,"c" ,"cpp" ,"h" ,"pgp" ,"gzip" ,"lst" ,"pfx" ,"p12" ,"db1" ,"db2" ,
"cnt" ,"sig" ,"css" ,"arh" ,"pem" ,"key" ,"prf" ,"old" ,"rnd" ,"prx"

и шифрует их с помощью алгоритма RSA. В дальнейшем автор вируса требует со своих жертв деньги за дешифровку. Свой адрес шантажист сообщает в файле readme.txt
Some files are coded by RSA method.
To buy decoder mail: ********34@rambler.ru
with subject: RSA 5 68243170728578411

Специалисты антивирусной лаборатории компании «Доктор Веб» оперативно разработали специальную дешифрующую программу, позволяющую вернуть все пораженные троянцем файлы документов в первоначальное состояние. Мы предлагаем всем, кто столкнулся с вышеуказанной проблемой, обращаться в Службу технической поддержки компании «Доктор Веб» - Вам помогут совершенно бесплатно!

Если у вас не очень много пораженных троянцем файлов, Вы можете их дешифровать прямо на нашем сервере. Для этого Вам надо загрузить сюда зашифрованный файл.

Вы также можете сами воспользоваться этой программой, скачав ее с с нашего FTP сервера. Параметры командной строки:

te_decrypt.exe имя_файла_который_требуется_дешифровать

Обращаем внимание, что дешифрованный с помощью этой утилиты файл будет иметь первоначальное имя с добавленным к нему расширением .decr.

Ссылка на страницу - _http://info.drweb.com/show/2746

[Judge]

3-е февраля станет черным днем для любителей порно
31/01/2006 10:03, Сергей Бондаренко
Антивирусные компании сообщают о том, что 3-го февраля пользователи, компьютеры которых заражены вирусом Nyxem, будут очень удивлены, когда не смогут найти свои файлы в форматах DMP, DOC, MDB, MDE, PDF, PPS, PPT, PSD, RAR, XLS и ZIP. Вирус, известный также как Blackmal, MyWife, Kama Sutra, Grew и CME-24, распространяется с 16-го января и за это время уже успел заразить как минимум 300 тысяч компьютеров. В его коде имеется указание на перезаписывание всех файлов названных типов 3-го числа каждого месяца. Nyxem распространяется по почте. Он обычно приходит с такими вариантами тем: Fw: Funny , Fw: Picturs, *Hot Movie*, Fw: SeX.mpg, Re: Sex Video, Miss Lebanon 2006 или School girl fantasies gone bad. В письме пользователю обещают бесплатные порнографические картинки или видео и просят открыть аттачмент. После заражения компьютера вирус блокирует антивирусные приложения, а также распространяется по адресной книге и локальной сети. Антивирусные компании предупреждают, что угрозе, прежде всего, подвержены домашние пользователи, большинство из которых не следит за обновлениями антивирусных баз.

news.bbc.co.uk

Взято отсюда: http://www.3dnews.ru/software-news/3..._porno-101301/

[Gr@nd@d]

«Лаборатория Касперского», российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении целого семейства троянских программ, использующих новую уязвимость в процедуре обработки файлов типа Windows Meta File (WMF).

Семейство получило название Trojan-Downloader.Win32.Agent.acd. Использование данной WMF-уязвимости особенно опасно потому, что она имеет статус критической, а соответствующего исправления программных модулей от компании Microsoft еще не существует.

Уязвимости в обработке WMF-файлов подвержены операционные системы Microsoft Windows XP с пакетами обновлений Service Pack 1 и Service Pack 2, а также Microsoft Windows Server 2003 Service Pack 0 и Service Pack 1. Использование WMF-уязвимости возможно при работе с браузером Internet Explorer, служебной программой Microsoft Windows «Проводник» и, при выполнении ряда дополнительных условий, браузером Firefox.

Заражение троянскими программами семейства Agent.acd производится при посещении пользователем сайтов unionseek.com и iframeurl.biz. Проникая с указанных сайтов в систему, вредоносный код запускается посредством WMF-уязвимости. Затем «Agent.acd» загружает на атакованный компьютер другие троянские программы, характер действий которых определяется злоумышленниками.

«Лаборатория Касперского» предупреждает пользователей о появлении вредоносных программ, использующих новую WMF-уязвимость, и рекомендует не открывать незнакомые файлы с расширением *.wmf, а также, в случае, если работа в интернете осуществляется при помощи браузера Internet Explorer, установить уровень безопасности на максимальную отметку, High. Эксперты не исключают появления новых модификаций троянских программ, использующих WMF-уязвимость, в самое ближайшее время.

Источник

[Rimar]

Червивое "яблоко"
Появился первый червь, который распространяется через iChat в операционной системе MacOS X на платформе PowerPC. Этот червь носит имя Leap (CME-4) и распространяется в архиве latestpics.tgz, маскируясь под jpeg. Будучи разархивирован и запущен этот червь сканирует операционную систему в поиске наиболее используемых в последнее время приложений, подменяет их собой, переименовывая оригинальный исполнимый файл. В результате, каждый раз перед запуском приложения исполняется тело червя. Кроме того, червь захватывает несколько функций системы мгновенных сообщений iChat. Как только внешние пользователи изменяют свой статус в iChat, червь инициирует передачу им своего тела latestpics.tgz. Причем сам процесс передачи файла скрыт от пользователя зараженного компьютера. Пока распространение этого червя не очень большое, однако ему в спину уже дышит второй червь Inqtana, который написан на Java и распространяется при помощи ошибки в реализации системы Bluetooth. Эта ошибка была исправлена Apple в июне 2005 года. Этот червь деактивируется после 24 февраля. Компания Sophos провела опрос пользователей компьютеров и выяснила, что 79% из них считают, что MacOS также подвержена вирусам, но большинство (59%) надеются, что вирусов для этой ОС будет меньше, чем для Windows.
osp.ru

Олимпиада и вирусы
Вирусописатели используют олимпийские игры для распространения своих продуктов. В частности, червь Bagle.FY, который начал распространяться 13 февраля, использовал Олимпийские игры в Турине для того, чтобы проникнуть на компьютеры пользователей. Червь распространялся как приложение к письму, где предлагалось сыграть в лотерею, чтобы выиграть бесплатный билет на Олимпийские игры. Заманчивое предложение содержалось в теле письма, а за подробностями предлагалось обращаться в приложенный архив. Однако в архиве собственно и содержался червь. В тот же день по Internet начало распространяться письмо-шутка, которое вируса не содержало, но предупреждало, что в приглашениях на Олимпиаду может содержаться страшный вирус, который уничтожает нулевой сектор дискового накопителя. Поэтому в течении какого-то времени не рекомендуется открывать почтовые сообщения с темой "Invitation". Тем же, кто получил письмо-предупреждение, советовалось разослать его всем знакомым. Возможно, эти два события совпали случайно, поскольку были привязаны к Олимпийским играм. Однако нельзя исключать, что вирусописатели использовали новую технологию - посеять панику, а потом атаковать с неожиданной стороны.
osp.ru

[Rimar]

Новые черви для MacOS
Появились еще два варианта червя Inqtana, которые нацелены на операционную систему MacOS X. Новые версии червя могут поражать также и более старую версию операционной системы 10.3, для которой Apple не выпустила исправлений той ошибки, которая используется для заражения. В этих червях также убрано ограничение на размножение после 24 февраля 2006 года, которое существовало в первом варианте Inqtana. Оба червя, в отличие от первого его варианта, не были найдены в "живом" виде, но получены исследовательскими компаниями по электронной почте. Причем компания Sophos поторопилась выпустить обновления своей базы, в результате чего на некоторых компьютерах были зарегистрированы ложные срабатывания антивируса с сообщением, что он заражен OSX/Inqtana-B. На самом деле никакого заражения не было, но лишь некорректная формулировка сигнатур. Спустя два часа компания выпустила исправления к своим сигнатурам, и ложные срабатывания прекратились.
osp.ru

[Псих]

В 2005 году число dDoS-атак на web сайты возросло на 679%



02 марта, 2006
Атаки хакеров на коммерческие сайты становятся все более частыми и разрушительными по своим последствиям. Зачастую злоумышленники бомбардируют сайты громадными потоками данных, что полностью блокирует легальный трафик. Специалисты компании Symantec отмечают, что количество dDoS-атак на web сайты в 2005 году выросло на 679%.

Для большинства атак использовались компьютеры, превращенные злоумышленниками в так называемых "ботов", которые они могут контролировать через интернет после установки шпионящего ПО.

По информации Symantec, для некоторых атак хакеры использовали сотни и даже тысячи ботов. Такие разрушительные атаки отразить практически невозможно.

"Если собирается горстка людей, намеренных выбить вас из сети, защитить себя бывает очень сложно", - сообщил USA Today Дэйв Коул (Dave Cole), директор отдела Symantec по разработке защитного ПО.

В последнее время зафиксировано большое количество атак на сайты крупных компаний, имеющих большие доли на своих рынках. Многие эксперты по безопасности, основываясь на некоторых данных, подозревают, что за многими из этих атак могут стоять более мелкие компании-конкуренты, пытающиеся таким образом улучшить свои позиции.
_http://www.securitylab.ru/news/263410.php

[Demonius]

Можно взломать и принтер

Компания Hewlett-Packard предупредила владельцев выпускаемых ею изделий о том, что ошибка в программном обеспечении, установленном на ряде ее лазерных принтеров, делает их уязвимыми для хакерской атаки.

Речь, как пишет The Register, идет о программе Toolbox, устанавливаемой на принтеры HP Color LaserJet серий 2500 и 4600. Если пользователь оставит все установки программы на заводских умолчаниях, то у хакера появится возможность получить доступ к файлам подключенного к такому принтеру компьютера, работающего под управлением Windows.

Компания Hewlett-Packard настоятельно рекомендует обновить уязвимую версию Toolbox на версию 3,1, где эта уязвимость устранена.
Internet.ru

[Rimar]

Первый вирус для StarOffice
Макровирус Stardust, заражающий документы офисного пакета StarOffice, обнаружен специалистами "Лаборатории Касперского". Макровирусы, основная масса которых была создана для Microsoft Word, в последнее время редкость, поскольку от них относительно легко защититься, отключив соответствующие функции в Word. Как правило, такие вирусы инфицируют шаблон, в результате чего при открытии документов те тоже оказываются зараженными. Аналогично действует Stardust, который распространяется в документе с макросами и заражает глобальный шаблон, вследствие чего все впоследствии открываемые документы тоже инфицируются. При открытии зараженного документа происходит вывод на экран порноизображения, размещенного на бесплатном хостинге tripod.com. По мнению сотрудников "Лаборатории Касперского", риск заражения Stardust, созданного, по-видимому, в целях проверки концепции, низок. Специалисты также отмечают, что при небольшой модификации кода вируса его можно заставить заражать и документы OpenOffice 2.0, аналога StarOffice с открытым кодом.
osp.ru

[Псих]

Дождались...
Необычного троянца обнаружили в Сети исследователи компании Websense. Троянец отправляет краденую информацию не традиционными способами, уязвимыми для брандмауэров – по электронной почте или HTTP пакетами - а через «невинный» протокол ICMP (Internet Control Message Protocol), который используется в технологии ping – проверке работоспособности и времени отклика удаленных компьютеров путем обмена пробными пакетами.

Троянец, которому еще не присвоили имя, устанавливается в систему как вспомогательный объект браузера Internet Explorer (Browser Helper Object, BHO), и ждет, когда пользователь зайдет на определенные сайты, в основном, банковские. Затем вредоносный код перехватывает пароли, другую конфиденциальную информацию, и отправляет их удаленному хакеру. Данные, перенаправляющиеся с помощью ICMP, достаточно примитивно шифруются алгоритмом XOR («исключающее "или"»).

В Websense проверили работоспособность нового троянца, заразив им тестовый компьютер и введя данные в форму на сайте Deutsche Bank, использующем защищенный протокол SSL. Как и ожидалось, троянец перехватил информацию, и передал ее через ICMP на удаленный сервер

[Gr@nd@d]

В августе вышла дюжина обновлений от Microsoft.
9 критических и 3 важных обновления.
Важные - удаленное исполнение кода в Windows Explorer, повышение привилегий из-за уязвимости в ядре, удаленное исполнение кода из-за уязвимостей в Hyperlink Object Library.
Все критические нацелены на исправление ошибок, также приводящих к удаленному исполнению кода - кумулятивное обновление для IE, исправление Outlook Express, уязвимость в службе Server, ошибка при работе с DNS, уязвимости в Microsoft Management Console, HTML Help, Visual Basic for Applications, PowerPoint, и еще несколько уязвимостей в ядре.
В течение нескольких часов после выхода критического патча для службы Server было продемонстрировано использование этой уязвимости - причем на этот раз источником послужил анализ самого патча. Gartner Research предлагает готовиться к худшему - уязвимость слишком легко использовать, и атакующий код уже доступен всем желающим, так что это попахивает новым Blaster'ом.

Источник

[Gr@nd@d]

Microsoft выпустила десять бюллетеней безопасности для пользователей. Они исправляют уязвимости, опасность которых оценена как "критическая" (шесть), "серьезная" (одна), "умеренная" (две) и "низкая" (одна):

MS06-056: Исправляет уязвимость (кросс-сайтовый скриптинг) на серверах с .Net Framework 2.0. Опасность этой бреши была оценена как "умеренная".

MS06-057: Обновляет Windows Shell с целью помешать удаленному запуску кода. Обнаружена в Windows 2000, XP и Server 2003. Серьезность расценивается как "критическая".

MS06-058: Исправляет шесть уязвимостей в PowerPoint и расценивается как "критическая".
MS06-059: Исправляет четыре уязвимости в Microsoft Excel, также названные "критическими".

MS06-060: Обновление для исправления критической уязвимости в Microsoft Word.

MS06-061: Содержит обновление, исправляющее две уязвимости Microsoft XLM Core Services. Майкрософт назвала этот бюллетень "критическим". Он применим к Windows NT4 SP6, 2000, XP и Server 2003.

MS06-062: Обновление для исправления уязвимостей Microsoft Office. Влияет на Microsoft Office, Project и Visio. Уязвимости названы "критическими".

MS06-063: Исправляет две уязвимости в службе Windows Server. Бюллетень, которому была присвоена оценка "важный", предназначен для Windows 2000, Server 2003 и XP.

MS06-064: Исправляет три уязвимости отказа в обслуживании на системах TCP/IP IPv6. Майкрософт присвоила этому бюллетеню "низкую" степень серьезности. Он предназначен для систем Windows XP и Server 2003.

MS06-065: Исправляет уязвимость, влияющую на утилиту Windows Object Packager в Windows XP и Server 2003. Ее серьезность оценена как "умеренная".
Первый вредоносный код в отчете прошедшей недели - червь W32/Nedro.B.worm, разработанный для заражения операционных систем Windows. Он распространяется по IRC и через Yahoo! messenger.

Чтобы остаться незамеченным и избежать обнаружения и уничтожения, Nedro.B выполняет ряд действий:

Блокирует доступ к реестру Windows.
Вносит модификации в систему для запуска кода червя при любом запуске файла с одним из следующих расширений: art, dat, avi, ini и pif.
Назначает иконку Microsoft Word файлам .scr (хранители экрана) для того, чтобы сделать их менее подозрительными для пользователей.
Скрывает файлы .bat, .com, .exe и .scr (все эти файлы являются исполняемыми, и поэтому потенциально опасны).
Удаляет опцию "Выполнить" из меню "Пуск".
Запрещает просмотр пользователем содержимого жесткого диска через Проводник Windows.
Завершает множество приложений безопасности.
Эти действия не только позволяют Nedro.B скрывать себя, но также оставляют систему уязвимой для других вредоносных кодов.

Haxdoor.NJ - это бэкдор-троян, собирающий различные виды паролей с зараженного компьютера, например таких, как пароли начала сеанса работы, а также почтовых клиентов Outlook и The Bat. Haxdoor.NJ также пытается украсть пароли для систем eBay, e-gold и paypal. Если он находит эту информацию, то отправляет ее своему создателю, используя руткит Rootkit/Haxdoor.NJ.

В распространении Haxdoor.NJ полагается на злоумышленника, поскольку не способен к автоматическому распространению. Этот руткит также открывает три произвольно выбираемых порта, чтобы позволить своему автору получить данные.

Для распространения, Haxdoor.NJ внедряет свой код в процесс explorer.exe, тем самым, обеспечивая свой запуск при каждой загрузке системы. Он предотвращает работу брандмауэра Windows XP SP2, изменяя его настройки таким образом, чтобы считаться авторизованным приложением.

Источник

[Gr@nd@d]

Финальная версия программы для борьбы со spyware теперь бесплатно доступна всем англоязычным пользователям XP, на подходе и другие языки. Windows Defender войдет в состав выходящей в ближайшее время MS Vista, но до недавнего времени еще оставались сомнения, будет ли он доступен пользователям старых систем.

Источник

[Centauras]

Panda Antivirus for Linux

Бесплатный антивирус для серверов и РС, работающих под Linux, а также под ОС Windows или DOS, но имеющих подключение к Linux-серверам. Надежная защита от вирусов. Управляется через командную строку или консоль.
Источник http://www.pandasoftware.com/download/linux.htm?sitepanda=particulares

[Псих]

14 ноября выйдет "заплатка" для устранения уязвимости в XML
Как сообщает информационный ресурс BetaNews, компания Microsoft в четверг объявила о том, что в рамках грядущего "вторника патчей", который в этом месяце придется на 14 ноября, будет выпущена "заплатка" для недавно обнаруженной уязвимости в компоненте ОС Windows – XML Core Services. Помимо XML уязвимости будут исправлены еще пять других "дыр" в продуктах софтверного гиганта, самая опасная из которых была классифицирована как "критическая".

Проблема с компонентом XML Core Services, охватывает элемент управления COM известный как XMLHTTP, позволяющий скрипту делать запросы и получать XML данные посредствам HTTP протокола с любого web-сайта, который представляет XML данные. Софтверный гигант в следующий вторник также выпустит два не связанных с безопасностью обновления для ОС Windows через системы Microsoft Update и Windows Update. Как и обычно, в тот же день выйдет и обновленная версия инструмента для удаления различных червей и вирусов Malicious Software Removal Tool.

_securitylab.ru

[Gr@nd@d]

Компании, специализирующиеся на вопросах компьютерной безопасности, предупреждают о появлении новой вредоносной программы, получившей название SpamThru.

Троян SpamThru используется злоумышленниками с целью организации массовых рассылок по электронной почте. При этом вредоносная программа имеет несколько характерных особенностей. После проникновения на ПК и активации SpamThru загружает из интернета пиратскую копию антивируса Касперского, который затем используется для поиска в системе конкурирующих вирусов и троянов. Обнаруженные файлы затем уничтожаются.

Другая особенность SpamThru заключается в использовании специального протокола Р2Р для обмена информацией между инфицированными узлами и центральным сервером. В случае если управляющий сервер по каким-либо причинам будет отключен от сети, злоумышленники могут быстро установить новый.

Вредоносная программа SpamThru способна поражать компьютеры, работающие под управлением операционных систем Windows. Ведущие антивирусные компании уже добавили процедуры защиты от этой программы в базы данных своих продуктов.

Источник