в этот день
24.01.18
01:22
В Екб.03:22
Отстранение "чистых" спортсменов назвали "ополчением на Россию"
До 100 тысяч рублей в сутки: во сколько иностранцам обойдется проживание в городах ЧМ
ОБСЕ завершает свою миссию в Донбассе

Тема дня
Давосский форум-2018 – еще один шаг в рабовладельческий строй 2.0 ВЭФ-2018 – это "юбилейный" форум после кризиса 2008 года. 10 лет назад были разработаны меры, результаты которых можно оценить теперь. А результаты неутешительные, из очередного доклада организации Oxfam следует, что 1% населения Земли владеет 82% всех мировых богатств. И за последние 10 лет состояние сверхбогатых лишь прирастало, а у всех остальных – оставалось, как прежде, и уменьшалось. То есть, кризис разрешался не за счет более справедливого распределения ресурсов, а за счет низших слоев населения планеты.
Аналитика

Журналист и жертва террора. Зачем в Екатеринбурге переименовывают улицу Володарского? Методичная десоветизация, запущенная в 90-е годы, усилилась в 2018 году, этот процесс в столице Урала объединяет совершенно разные силы: митрополит Кирилл и мэр Евгений Ройзман что ни день выступают в СМИ с предложениями переименовывать улицы – убирать советские, возвращать дореволюционные либо придумывать новые. Да что улицы – Свердловскую область некоторые хотят превратить в Екатеринбургскую или даже Романовскую.


Андрей Фурсов: Сталин – кумир россиян, хоть властям и хочется обратного Россияне назвали ВЦИОМу кумиров 20 века. В первую пятерку попали: Юрий Гагарин (44%), Владимир Высоцкий (28%), Георгий Жуков (27%), Иосиф Сталин (22%), Александр Солженицын (14%). При этом в списке нет Ельцина или, например, Николая II, которых усиленно пытаются навязывать последние годы. Есть Горбачев, но он где-то в конце на уровне статистической погрешности. Также важно отметить, что популярность Сталина возрастает (с 14% в 1999 г. поднялась до 22% в 2018 г.), а Солженицына – падает (было 16%, стало 14%).

Реклама от YouDo

Как вы считаете, что послужило причиной ЧП в пермской школе?

Американизация нашего телевидения, масс-культа

Психические отклонения нападавших

Политические убеждения нападавших

Бытовой конфликт

Надо расследовать возможный теракт

Мне все равно/ничего не слышал


Результаты 724

Microsoft объявила крупную награду за головы вирусописателей: призовой фонд $0,5 млн
размер шрифта: A A A   в блог   версия для печати

 () |

Корпорация Microsoft готова предложить $250 тысяч за информацию, способствующую  поимке авторов червей MSBlast и семейства SoBig. Таким образом "призовой фонд" составил $0,5 млн.

Microsoft кровно заинтересована в том, чтобы эти вирусописатели сели за решётку, поскольку оба вируса использовали бреши в безопасности Windows, а MSBlast ещё и устроил DoS-атаку на сервер Microsoft.com.

А семейство вирусов SoBig представляло собой явное орудие спамеров, поскольку заражённые этим вирусом компьютеры очень скоро превращались в источник массовых несанкционированных рассылок.

Затею Microsoft полностью поддерживают правоохранительные органы США, в частности ФБР, которое вот уже несколько месяцев пытается вычислить непосредственного автора MSBlast. Пока удалось взять лишь двух создателей модификаций этого червя.

Между тем, специалисты по компьютерной безопасности сомневаются, что даже такая крупная награда позволит отловить сетевых негодяев. Сообщает  News.com.

Справка:

I-Worm.Sobig


Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Также скачивает и устанавливает Backdoor программу на компьютере пользователя.

Червь является приложением Windows (PE EXE-файл), имеет размер около 64Kб (упакован TeLock), написан на Microsoft Visual C++.

Зараженные письма содержат:

От:

big@boss.com
Заголовок письма выбирается из четырех вариантов:

Re: Movies
Re: Sample
Re: Document
Re: Here is that sample
Имя вложения, один из вариантов:

Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif
Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Инсталляция

При инсталляции червь копирует себя с именем WINMGM32.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsMGM" = (windir)\winmgm32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run "WindowsMGM" = (windir)\winmgm32.exe

Рассылка писем

При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу ищет файлы *.WAB, *.DBX, *.HTM, *.HTML, *.EML, *.TXT, сканирует их и выделяет строки, являющиеся электронными адресами.

Рассылка по сети

Для рассылке по сети червь перебирает сетевые ресурсы и копирует себя в один из каталогов с именем WINMGM32.EXE.

Windows\All Users\Start Menu\Programs\StartUp\
Documents and Settings\All Users\Start Menu\Programs\Startup\
Установка Backdoor программы

Червь скачивает из интернет текстовый файл в котором содержится ссылка на выполняемый PE файл. Червь скачивает этот PE файл в каталог Windows с именем DWN.DAT и запускает его.

Worm.Win32.Lovesan

Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026.

Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем "msblast.exe".

Содержит текстовые строки:


I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
Признаками заражения компьютера являются:

Наличие файла "msblast.exe" в системном (system32) каталоге Windows.
Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.

 

Размножение

При запуске червь регистрирует себя в ключе автозапуска:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
windows auto update="msblast.exe"
Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров.
После этого червь "спит" в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если "base address" является 20.40.50.0, червь будет сканировать следующие адреса:


20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1.8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1.8 секунды
...
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и так далее.
Червь выбирает один из двух методов сканирования IP-адресов:

В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0.


В 2 случаях из 5 червь сканирует подсеть.

Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его.

Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0.
Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 4444.
После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение.

 


Прочее

После заражения инфицированная машина выводит сообщение об ошибке RPC service failing, после чего может попытаться перезагрузиться.

C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер windowsupdate.com, пытаясь таким образом затруднить или прервать его работу. Источник: www.viruslist.com .

 

 


06.11.2003 08:01 Мск | Москва | информационная служба Накануне.RU
10:01 Екб



Если Вы заметили ошибку, выделите текст, ее содержащий, и нажмите Ctrl + Enter







Добавить комментарий:

Microsoft объявила крупную награду за головы вирусописателей: призовой фонд $0,5 млн
Уважаемые читатели Накануне.RU! Комментарии проходят премодерацию. Просьба уважать других участников форума и чтить УК РФ! Комментарии, оскорбляющие других людей, имеющие признаки экстремизма, нарушающие многочисленные требования законодательства, публиковаться не будут. Форум наш становится более громоздким, но проявляющий крайне пристальную требовательность к нашей редакции Роскомнадзор диктует условия. Заранее приносим извинения, надеемся на понимание и конструктивную дискуссию.

Текст комментария *

Жирный Подчеркнутый

Ваше имя *





Новости Екатеринбурга и Свердловской области       
вверх
Рейтинг@Mail.ru
Наш проект  Наша команда 

Информационное агентство "Накануне.RU"
Свидетельство о регистрации СМИ ИА№ФС77-56094 от 15 ноября 2013 года, выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Сетевое издание "Накануне.RU"
Свидетельство о регистрации СМИ Эл№ФС77-56357 от 02 декабря 2013 года, выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Учредитель ООО "Институт информационных технологий"
620142, г. Екатеринбург, ул. Степана Разина, д. 16 (3 этаж)
Телефоны редакции: (343) 295–15–36, 295–15–94, 295–14–38.
E-mail редакции: news@nakanune.ru
Главный редактор: Хурбатов С.В.
Использование материалов агентства допускается только с согласия редакции.
Редакция не несет ответственности за содержание комментариев к материалам сайта. Комментарии к материалам сайта - это личное мнение посетителей сайта.
18+