в этот день
18.11.17
21:32
В Екб.23:32
Состоялся первый полет РЛС-самолета А-100
Госдума приняла проект федерального бюджета во втором чтении
Работники пермского изоляторного завода встретились с представителями Налоговой службы

Тема дня
Путин поднял ставки в Донбассе В украинском кризисе произошло знаменательное событие – президент России Владимир Путин впервые провел прямые телефонные переговоры с главами ДНР и ЛНР Александром Захарченко и Игорем Плотницким. Таким образом он поддержал инициативу лидера украинского общественного движения "Украинский выбор – право народа" Виктора Медведчука относительно обмена пленными между Украиной и республиками Донбасса. Уже через несколько часов после этого переговоры состоялись. Путин, как всегда, сделал неожиданный, но важный ход. Что он означает – в материале Накануне.RU.
Аналитика

О чем говорят оплошности, значение которых "не стоит преувеличивать"? Конечно, можно игнорировать, что сайт Минобороны на поверку мало отличается от твиттера депутата Ирины Родниной, и могущественное ведомство легко может подставить всего один сотрудник (у которого даже и погон нет). Немного сложнее игнорировать насмешки террористов, которые после объявления об их ранении или смерти неожиданно оказываются в добром здравии, но при определенной сноровке и этому можно научиться не придавать значения. По этой логике, случай с памятником легендарному Калашникову, на котором оказалась схема немецкого автомата, и вовсе выглядит как анекдот.


Валентин Катасонов: В споре о пенсиях Кудрина и Минтруда - лукавят оба Ранее Алексей Кудрин заявлял, что у Правительства не осталось никаких ресурсов изыскания средств для пенсионеров, кроме повышения пенсионного возраста. Сейчас Минтруд заявляет, что у них средства есть, и обязательства выполняются. Тут ведь каждый использует какую-то свою логику. Кудрин обходит стороной вопросы, связанные с возможными источниками пополнения российских пенсий. А у Пенсионного фонда, может, есть деньги, но эти деньги не совсем его – это заимствованные деньги. Поэтому ситуация в Пенсионном фонде не столь благостна. Соответственно, надо возвращаться к той модели, которая была в Советском Союзе.

Реклама от YouDo

РУСАДА не восстановили в правах. Бороться ли РФ за участие в Олимпиаде-2018?

Да, бороться до конца и участвовать при любых условиях

Отказаться от поездки на Олимпиаду всей сборной

Выступать под нейтральными флагами

Мне все равно


Результаты 291

Microsoft объявила крупную награду за головы вирусописателей: призовой фонд $0,5 млн
размер шрифта: A A A   в блог   версия для печати

 |

Корпорация Microsoft готова предложить $250 тысяч за информацию, способствующую  поимке авторов червей MSBlast и семейства SoBig. Таким образом "призовой фонд" составил $0,5 млн.

Microsoft кровно заинтересована в том, чтобы эти вирусописатели сели за решётку, поскольку оба вируса использовали бреши в безопасности Windows, а MSBlast ещё и устроил DoS-атаку на сервер Microsoft.com.

А семейство вирусов SoBig представляло собой явное орудие спамеров, поскольку заражённые этим вирусом компьютеры очень скоро превращались в источник массовых несанкционированных рассылок.

Затею Microsoft полностью поддерживают правоохранительные органы США, в частности ФБР, которое вот уже несколько месяцев пытается вычислить непосредственного автора MSBlast. Пока удалось взять лишь двух создателей модификаций этого червя.

Между тем, специалисты по компьютерной безопасности сомневаются, что даже такая крупная награда позволит отловить сетевых негодяев. Сообщает  News.com.

Справка:

I-Worm.Sobig


Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Также скачивает и устанавливает Backdoor программу на компьютере пользователя.

Червь является приложением Windows (PE EXE-файл), имеет размер около 64Kб (упакован TeLock), написан на Microsoft Visual C++.

Зараженные письма содержат:

От:

big@boss.com
Заголовок письма выбирается из четырех вариантов:

Re: Movies
Re: Sample
Re: Document
Re: Here is that sample
Имя вложения, один из вариантов:

Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif
Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Инсталляция

При инсталляции червь копирует себя с именем WINMGM32.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsMGM" = (windir)\winmgm32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run "WindowsMGM" = (windir)\winmgm32.exe

Рассылка писем

При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу ищет файлы *.WAB, *.DBX, *.HTM, *.HTML, *.EML, *.TXT, сканирует их и выделяет строки, являющиеся электронными адресами.

Рассылка по сети

Для рассылке по сети червь перебирает сетевые ресурсы и копирует себя в один из каталогов с именем WINMGM32.EXE.

Windows\All Users\Start Menu\Programs\StartUp\
Documents and Settings\All Users\Start Menu\Programs\Startup\
Установка Backdoor программы

Червь скачивает из интернет текстовый файл в котором содержится ссылка на выполняемый PE файл. Червь скачивает этот PE файл в каталог Windows с именем DWN.DAT и запускает его.

Worm.Win32.Lovesan

Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026.

Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем "msblast.exe".

Содержит текстовые строки:


I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
Признаками заражения компьютера являются:

Наличие файла "msblast.exe" в системном (system32) каталоге Windows.
Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.

 

Размножение

При запуске червь регистрирует себя в ключе автозапуска:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
windows auto update="msblast.exe"
Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров.
После этого червь "спит" в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если "base address" является 20.40.50.0, червь будет сканировать следующие адреса:


20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1.8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1.8 секунды
...
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и так далее.
Червь выбирает один из двух методов сканирования IP-адресов:

В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0.


В 2 случаях из 5 червь сканирует подсеть.

Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его.

Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0.
Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 4444.
После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение.

 


Прочее

После заражения инфицированная машина выводит сообщение об ошибке RPC service failing, после чего может попытаться перезагрузиться.

C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер windowsupdate.com, пытаясь таким образом затруднить или прервать его работу. Источник: www.viruslist.com .

 

 


06.11.2003 08:01 Мск | Москва | информационная служба Накануне.RU
10:01 Екб



Если Вы заметили ошибку, выделите текст, ее содержащий, и нажмите Ctrl + Enter







Добавить комментарий:

Microsoft объявила крупную награду за головы вирусописателей: призовой фонд $0,5 млн
Уважаемые читатели Накануне.RU! Комментарии проходят премодерацию. Просьба уважать других участников форума и чтить УК РФ! Комментарии, оскорбляющие других людей, имеющие признаки экстремизма, нарушающие многочисленные требования законодательства, публиковаться не будут. Форум наш становится более громоздким, но проявляющий крайне пристальную требовательность к нашей редакции Роскомнадзор диктует условия. Заранее приносим извинения, надеемся на понимание и конструктивную дискуссию.

Текст комментария *

Жирный Подчеркнутый

Ваше имя *





Новости партнеров




Новости Екатеринбурга и Свердловской области       
вверх
Рейтинг@Mail.ru
Наш проект  Наша команда 

РИА Накануне.RU
© Институт Информационных Технологий, 620142, г. Екатеринбург, ул. Степана Разина, д. 16
Свидетельство о регистрации СМИ ИА№ФС77-56094 от 15 ноября 2013 года, выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Свидетельство о регистрации СМИ Эл№ФС77-56357 от 02 декабря 2013 года, выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Телефоны: (343) 295–15–36, 295–15–94, 295–14–38. E-mail: news@nakanune.ru
Использование материалов агентства допускается только с согласия редакции.
Редакция не несет ответственности за содержание комментариев к материалам сайта. Комментарии к материалам сайта - это личное мнение посетителей сайта.
18+