Недельный отчет о вирусах
В данном отчете будут рассмотрены четыре уязвимости и червь под названием Mydoom.AK.
Вначале мы рассмотрим основные характеристики четырех брешей безопасности, для которых Microsoft выпустила заплатки. Пользователям рекомендуется установить эти заплатки.
- Проблема протокола – SMB (Server Message Block). Влияет на Windows 2000, Windows XP и Windows Server 2003 и позволяет удаленное выполнение кода. Способы использования этой уязвимости включают создание определенных сетевых пакетов и отсылки их на уязвимый компьютер, создание почтового сообщения со ссылкой на веб-страницу и использование программы, которая передает параметры на уязвимый SMB-компонент.
- Уязвимость в службе License Logging. Влияет на Windows NT Server 4.0 (SP6a и Terminal Server Edition SP6), Windows 2000 Server SP4 и SP3 и Windows Server 2003. Эта брешь может позволить удаленное выполнение кода и может быть эксплуатирована с помощью специально созданного сетевого пакета, отправленного на уязвимый компьютер.
Если хакер успешно использовал эту брешь, он может получить контроль над компьютером с теми же привилегиями, как пользователь, начавший сеанс. Если пользователь обладает правами администратора, хакер может получить контроль над всей системой (и в результате создавать, изменять или удалять файлы; устанавливать программы, создавать новые аккаунты пользователей и т.д.). На компьютерах с Windows 2003 Server уязвимость позволяет выполнять атаку отказа сервиса (DoS).
- Проблема безопасности при обработке PNG (Portable Network Graphic) файлов. Эта проблема безопасности затрагивает приложения, такие как Windows Media Player 9.0 (при работе в Windows 2000, Windows XP Service Pack 1 и Windows Server 2003), Microsoft Windows Messenger версии 5.0, Microsoft MSN Messenger 6.1 и Microsoft MSN Messenger 6.2. Она может быть использована вирусами чтобы быстро заражать компьютеры через искаженные PNG-изображения, которые, когда обработаны одним из уязвимых продуктов, могут привести к сбою компьютера.
- Уязвимость в Microsoft Office XP. Влияет на Office XP, Word 2002, PowerPoint 2002, Project 2002, Visio 2002, Works 2002, Works 2003 и Works 2004. Позволяет производить переполнение буфера, которое, будучи применено хакером, может дать ему контроль над компьютером с теми же привилегиями что и пользователь, который начал сеанс.
Mydoom.AK - это червь с изменяющимися характеристиками, который распространяется по электронной почте. Заголовок сообщения иногда содержит фразы, относящиеся ко дню святого Валентина, например "Happy Valentine´s day”.
Mydoom.AK завершает активные процессы, относящиеся к определенным антивирусным продуктам, межсетевым экранам и прочим программам безопасности. В результате червь может оставлять компьютеры уязвимыми к атакам прочих вредоносных программ.
Mydoom.AK ищет адреса электронной почты на зараженном компьютере в файлах со следующими расширениями: ADB, ASP, DBX, DOC, EML, FPT, HTM, HTML, INB, MBX, OFT, PAB, PHP, PL, PMR, SHT, TBB, TXT, UIN и XLS-. Затем он рассылает себя на эти адреса – кроме тех, которые содержат определенные текстовые строки – используя собственный SMTP-механизм.
