22 декабря 1998, #55

Как вы, возможно, уже заметили, на главной странице сервера появилась кнопка со ссылкой на драйвер "Национальной службы имен". Скачав его, вы сможете использовать имена "hackzone", "хакзона", "хак" и что-то еще вместо www.hackzone.ru, а также постоянно любоваться логотипом hackzone в окне драйвера :)

Да, и на случай, если вы не обратили внимания, в конце этой страницы появилась ссылка на отдельную гостевую книгу, посвященную обсуждению обзора. Все прочие вопросы по-прежнему лучше обсуждать в Форуме.

Network Associates сообщает о свежем вирусе, ориентированном на NT. Вирус, получивший название Remote Explorer, был обнаружен 17 декабря во время атаки внутренней сети MCI/WorldCom. В настоящее время, по словам представителя NAI, известно по крайней мере 10 зараженных сайтов и несколько тысяч зараженных серверов и рабочих станций.

При заражении вирус копирует себя в system32\drivers и устанавливает себя как службу "Remote Explorer", после чего начинает копировать себя на другие машины (работает это только на NT с залогинившимся пользователем, имеющим права администратора домена ). В процессе работы он помимо заражения исполняемых файлов шифрует случайным образом выбранные текстовые файлы, причем в период с 15:00 субботы до 6:00 воскресенья эта деятельность ускоряется. Хорошее у кого-то будет рождество.

NAI распространяет обновления для своих антивирусов, позволяющие обнаружить вирус и вылечить систему, загружающуюся с FAT-раздела, в случае же загрузки с NTFS рекомендуется изолировать систему до тех пор, пока не будет готова NT-версия, а если очень приспичило поработать - переформатировать диск и восстановиться с бэкапа :) Добрые...

Ключевой момент во всей этой истории - для распространения вируса по сети на машину с запущенной службой "Remote Explorer" должен зайти администратор домена, да и для установки службы требуются администраторские права. Выводы делайте сами.

Одно из первых известий об этом пришло по листу рассылки NTools (и практически синхронно было переправлено мне Дмитрием Скляровым), NTBugTraq спохватился сильно позже, но к этому времени уже появилась и дополнительная информация, полученная модератором NTBugTraq из источника внутри MCI/WorldCom. Согласно этим сведениям, Remote Explorer скорее попадает в категорию троянцев, поскольку исчезает после перезагрузки, и для заражения необходимо запустить его вручную. Реально было обнаружено около 20 зараженных систем из примерно 7000 машин MCI/WorldCom (вот кстати и корни сообщения о нескольких тысячах зараженных систем). В общем, сведения противоречивые, но пока похоже на то, что тревога была не то, чтобы ложной, но, как бы это помягче сказать, чрезмерно раздутой производителями антивирусного ПО, которые на этом, по традиции, выиграли больше всего :)

Круглый стол на тему "Компьютерные сети. Шаг в новое информационное общество или угроза личной и общественной безопасности?" состоится 24 декабря в мраморном зале ЦДЖ. Начало - в 1030, регистрация - с 1000.

Продолжая вирусную тему. По неподтвержденным сведениям (неподтвержденность вызвана не недоверием к сообщившему эту новость Олегу Дейкину, а исключительно леностью и нежеланием скачивать 23-мегабайтный файл), по крайней мере один файл, содержащийся в ftp://ftp.microsoft.com/services/whql/Tools/75beta.exe, оказался зараженным вирусом WM.Wazzu.A.

И заканчивая с Microsoft на сегодня - на днях был выпущен очередной патч для IIS, исправляющий ошибку, приводящую к зависанию сервера при получении специально подобранного GET-запроса.

И в качестве подходящего завершения вирусной темы - списочек, присланный d1. Я встречал много его вариантов, но здесь есть и кое-что свежее.

New "Viruses" LEWINSKY VIRUS: Sucks all the memory out of your computer then e-mails everyone on your distribution list about it. RONALD REGAN VIRUS: Saves your data but forgets where it is stored. MIKE TYSON VIRUS: Quits after one byte. OPRAH WINFREY VIRUS: Your 200MB hard drive suddenly shrinks to 80MB and then slowly expands to 300MB. LORENA BOBBIT VIRUS: Turns your hard disk into a 3.5 floppy. JACK KEVORKIAN VIRUS: Searches your hard drive for old files then deletes them. ELLEN DEGENERES VIRUS: Your IBM suddenly claims it's a MAC. DISNEY VIRUS: Everything in your computer goes Goofy. PROZAC VIRUS: Screws up your RAM but your processor doesn't care. SHARON STONE VIRUS: Makes a huge initial impact then you forget it's there. WOODY ALLEN VIRUS: Bypasses the mother board and turns on the daughter card. SADDAM HUSSEIN VIRUS: Won't let you into any of your programs. TONYA HARDING VIRUS: Turns your .BAT files into lethal weapons. GEORGE MICHALES VIRUS: Runs its course, occasionally releasing excess data buildup. X-FILES VIRUS: All your icons start shape shifting. ARNOLD SCHWARTZENEGGER VIRUS: Terminates and stays resident. It'll be back. AT&T VIRUS: Every three minutes it tells you what great service you're getting.

Новые вести с троянских полей. Alex S. Eagle переслал мне программку antiupf.exe, присланную ему якобы с freeware.ru. Небольшая цитата:

Файл: antiupf.exe Цена: $0 (бесплатная) Размер: 150K Описание: Эта программа помогает избавиться от атак типа UPF на ваш компьютер, совершаеммыми по Интернет злоумышленниками. При ее запуске происходит проверка на возможность случаев несанкционированного доступа к вашему компьютеру и пресечение попыток такого доступа. Впредь никто не сможет залезть на компьютер методом UPF и украсть ценную информацию. Программа работает только на платформах Windows 95/98.

Кто такие "атаки типа UPF" я не в курсе, web-мастер freeware.ru подтвердил отсутствие на сервере этого файла, в Return-Path: письмо содержит адрес freeware@tomcat.ru ...

Trojan Games - довольно аккуратная страничка, на которой честно собрано 28 всевозможных троянцев и их модификаций. Давно я порывался собрать подобный зверинец, да все руки не доходили, ну а сейчас уже точно не дойдут - разве что авторы изъявят желание поселиться на hackzone :)

Для каждого (ну почти для каждого, некоторые еще в процессе тестирования) экземпляра приводятся скриншот и краткое описание (как зовут исполняемый файл, на какой порт садится, куда прописывается).

Для полноты ощущений не хватает ссылок на серверы авторов и собственно исполняемых файлов. В общем, можно смело вешать вывеску о том, что сайт преследует исключительно образовательные цели :)

Страница с длинным названием Open up! It is your friends Back Orifice and Nuke! позиционируется автором как направленная на неискушенного пользователя, и вполне справляется с этой задачей, честно рассказывая об основных трудностях, встречающихся в бурном океане троянцев, спаммеров и нюкеров. Новости за декабрь хорошо бы смотрелись на чем-нибудь типа Unofficial AVP Fan Club Homepage :) Хотя это я придираюсь - и правда хороший антивирус.

Ну и раз уж столько сегодня говорим о троянцах - Дмитрий Морозов обратил мое внимание на вышедший 26 ноября Linux RootKit IV by Lord Somer. RootKit включает в себя два с лишним десятка линуксовых троянцев, представляющих собой чуть подправленные версии стандартных утилит и демонов.

Fidel Ink сообщает, что примерно через час после запуска программки Xyprog, описанной в 53-м номере обзора, доступа к icq.mirabilis.com для его адреса был заблокирован...

В процессе написания обзора пришла ссылка на страницу, где собраны исходники и некоторые логи Камчатки, полученные с помощью дырки ::$DATA (обнаруженной в IIS еще в июле) - судя по датам в логах, ровно в том же июле, по горячим следам. Между прочим, среди логов можно найти и пароли пользователей weekend'а, некоторые из которых до сих пор актуальны...

11 декабря очередной раз был арестован Джастин Петерсен, известный под именем Agent Steal, а также как "человек, подставивший Митника". В последний раз его арестовывали этим летом - за то, что он не удосужился найти себе работу за время, прошедшее с момента выхода из тюрьмы в апреле прошлого года, а заодно за неуплату налогов и за неявку на два последних свидания с надзирающим офицером. Тогда он был отпущен под более строгий надзор, из-под которого, по некоторым сведениям, улизнул в сентябре. В ноябре официальные лица признали, что разыскивают Петерсена, но заявили, что его поимка - вопрос нескольких недель, что в итоге и произошло. Теперь ему светит от 5 до 11 месяцев за решеткой, и в дальнейшем - двухлетний испытательный срок.

Петр Федоров прислал ссылку на Watch-Tower.com. Большая-большая свалка всевозможных текстов на тему hacking, phreaking, anarchy, свалка соответствующих программ, гостевые книги с записями типа "классно, ребята, я тоже крутой хакер, как определить адрес человека, зашедшего ко мне на страницу ?". Подборка электронных журналов, кстати, очень неплохая.

У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

«		»