в этот день
25.03.17
00:45
В Екб.02:45
Разбор убийства Вороненкова от профессионального телохранителя
"Путинград" лишился RAE? Выставку вооружений из Нижнего Тагила перенесут в Подмосковье
Юрий Чайка заявил, что в Курганской области можно "пересадить всех чиновников"

Тема дня
Хаос на Украине – закон майдана На Украине снова происходят странные и трагические события. Очередной военный склад взорвался в Харьковской области, очередная "политическая жертва" найдена в столице. От эпицентра взрыва эвакуировано 20 тыс. человек, в радиусе 50 км закрыто небо, а у киллера Дениса Вороненкова якобы имелись документы Нацгвардии Украины. В чем причины этих событий и в какую сторону они повернут украинский кризис?
Аналитика

"Пономарев мог выполнять роль «приманки» для Вороненкова" В Киеве днем 23 марта убит Денис Вороненков, бывший депутат Госдумы. Он был застрелен в центре украинской столицы. Полиция рассматривает версию заказного убийства. То, что сбежавшие на Украину экс-депутаты Госдумы РФ Денис Вороненков и Мария Максакова могут попасть под прицел СБУ, еще в феврале предполагал военный эксперт Александр Жилин: "Супружескую пару сделают популярной в информполе, а затем жестоко с ней расправятся". Теперь в беседе с Накануне.RU Жилин заявил, что это не последняя жертва.


Патриоты и каратели в одной шкуре Семьдесят пять лет тому назад находящийся в Лондоне в составе польского правительства в изгнании верховный главнокомандующий Владислав Сикорский издал приказ о создании "Армии Крайовой" (АК). В нее вошли "Союз вооруженной борьбы" и еще ряд движений Сопротивления гитлеровцам. Польша стала одной из стран, в которой Сопротивление гитлеровскому режиму во время Второй Мировой войны было одним из самых мощных. Хотя оно не идет ни в какое сравнение с партизанским движением на оккупированных немцами территориях СССР, поляки немало попортили кровь гитлеровцам. Вот только далеко не все было так гладко и безукоризненно в истории АК, как сейчас пытаются представить в Варшаве и окрестностях.
Как Вы считаете, чем были события февраля 1917 г.?

Буржуазная революция

Дворцовый переворот

Народный бунт

"Цветная революция", инспирированная из-за рубежа

Все вместе взятое


Результаты 3232

Microsoft объявила крупную награду за головы вирусописателей: призовой фонд $0,5 млн
размер шрифта: A A A   в блог   версия для печати

Microsoft объявила крупную награду за головы вирусописателей: призовой фонд $0,5 млн

Корпорация Microsoft готова предложить $250 тысяч за информацию, способствующую  поимке авторов червей MSBlast и семейства SoBig. Таким образом "призовой фонд" составил $0,5 млн.

Microsoft кровно заинтересована в том, чтобы эти вирусописатели сели за решётку, поскольку оба вируса использовали бреши в безопасности Windows, а MSBlast ещё и устроил DoS-атаку на сервер Microsoft.com.

А семейство вирусов SoBig представляло собой явное орудие спамеров, поскольку заражённые этим вирусом компьютеры очень скоро превращались в источник массовых несанкционированных рассылок.

Затею Microsoft полностью поддерживают правоохранительные органы США, в частности ФБР, которое вот уже несколько месяцев пытается вычислить непосредственного автора MSBlast. Пока удалось взять лишь двух создателей модификаций этого червя.

Между тем, специалисты по компьютерной безопасности сомневаются, что даже такая крупная награда позволит отловить сетевых негодяев. Сообщает  News.com.

Справка:

I-Worm.Sobig


Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Также скачивает и устанавливает Backdoor программу на компьютере пользователя.

Червь является приложением Windows (PE EXE-файл), имеет размер около 64Kб (упакован TeLock), написан на Microsoft Visual C++.

Зараженные письма содержат:

От:

big@boss.com
Заголовок письма выбирается из четырех вариантов:

Re: Movies
Re: Sample
Re: Document
Re: Here is that sample
Имя вложения, один из вариантов:

Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif
Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Инсталляция

При инсталляции червь копирует себя с именем WINMGM32.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsMGM" = (windir)\winmgm32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run "WindowsMGM" = (windir)\winmgm32.exe

Рассылка писем

При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу ищет файлы *.WAB, *.DBX, *.HTM, *.HTML, *.EML, *.TXT, сканирует их и выделяет строки, являющиеся электронными адресами.

Рассылка по сети

Для рассылке по сети червь перебирает сетевые ресурсы и копирует себя в один из каталогов с именем WINMGM32.EXE.

Windows\All Users\Start Menu\Programs\StartUp\
Documents and Settings\All Users\Start Menu\Programs\Startup\
Установка Backdoor программы

Червь скачивает из интернет текстовый файл в котором содержится ссылка на выполняемый PE файл. Червь скачивает этот PE файл в каталог Windows с именем DWN.DAT и запускает его.

Worm.Win32.Lovesan

Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026.

Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем "msblast.exe".

Содержит текстовые строки:


I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
Признаками заражения компьютера являются:

Наличие файла "msblast.exe" в системном (system32) каталоге Windows.
Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.

 

Размножение

При запуске червь регистрирует себя в ключе автозапуска:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
windows auto update="msblast.exe"
Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров.
После этого червь "спит" в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если "base address" является 20.40.50.0, червь будет сканировать следующие адреса:


20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1.8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1.8 секунды
...
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и так далее.
Червь выбирает один из двух методов сканирования IP-адресов:

В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0.


В 2 случаях из 5 червь сканирует подсеть.

Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его.

Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0.
Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 4444.
После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение.

 


Прочее

После заражения инфицированная машина выводит сообщение об ошибке RPC service failing, после чего может попытаться перезагрузиться.

C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер windowsupdate.com, пытаясь таким образом затруднить или прервать его работу. Источник: www.viruslist.com .

 

 


06.11.2003 08:01 Мск | Москва | информационная служба Накануне.RU
10:01 Екб




Если Вы заметили ошибку, выделите текст, ее содержащий, и нажмите Ctrl + Enter







Добавить комментарий:

Microsoft объявила крупную награду за головы вирусописателей: призовой фонд $0,5 млн
Уважаемые читатели Накануне.RU! Комментарии проходят премодерацию. Просьба уважать других участников форума и чтить УК РФ! Комментарии, оскорбляющие других людей, имеющие признаки экстремизма, нарушающие многочисленные требования законодательства, публиковаться не будут. Форум наш становится более громоздким, но проявляющий крайне пристальную требовательность к нашей редакции Роскомнадзор диктует условия. Заранее приносим извинения, надеемся на понимание и конструктивную дискуссию.

Текст комментария *

Жирный Подчеркнутый

Ваше имя *








Новости партнеров




Новости Екатеринбурга и Свердловской области       
вверх
Рейтинг@Mail.ru
Наш проект  Наша команда 

РИА Накануне.RU
© Институт Информационных Технологий, 620142, г. Екатеринбург, ул. Степана Разина, д. 16
Свидетельство о регистрации СМИ ИА№ФС77-56094 от 15 ноября 2013 года, выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Свидетельство о регистрации СМИ Эл№ФС77-56357 от 02 декабря 2013 года, выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Телефоны: (343) 295–15–36, 295–15–94, 295–14–38. E-mail: news@nakanune.ru
Использование материалов агентства допускается только с согласия редакции.
Редакция не несет ответственности за содержание комментариев к материалам сайта. Комментарии к материалам сайта - это личное мнение посетителей сайта.
18+