Обнаружена очередная модификация червя Korgo

Компания Symantec зафиксировала появление в интернете очередной модификации червя Korgo. Как и предыдущие версии, вариант Korgo.АВ распространяется через дыру в локальной подсистеме аутентификации пользователей операционных систем Windows. В процессе размножения вредоносная программа сканирует произвольные IP-адреса и, в случае обнаружения уязвимой машины, отправляет на нее копию кода. Далее червь загружает из Сети дополнительный программный модуль, запускает его и забрасывает запросами ряд веб-сайтов. В список "жертв" Korgo.АВ входят такие ресурсы, как sophos.com, riaa.com, pandasoftware.com, kaspersky.com, citibank.com, roboxchange.com и др.

В антивирусе Sophos есть дыра

28 сентября 2004 года, 12:13  [прямая ссылка]
Текст: Владимир Головинов

Компания iDefense предупреждает о наличии опасной уязвимости в антивирусном пакете Sophos Anti-Virus. Проблема связана с тем, что Sophos Anti-Virus игнорирует файлы и директории, имена которых входят в список названий, зарезервированных за MS-DOS устройствами, например, AUX, CON, PRN, COM1 или LPT1. Это означает, что злоумышленник может создать вредоносный код, который не будет просканирован антивирусом.

Уязвимость обнаружена в программе Sophos Anti-Virus версий 3.х. Кроме того, аналогичная дыра обнаружена в пакете Sophos Small Business Suite версии 1.00. Устранить опасность можно путем инсталляции версии Sophos Anti-Virus с индексом 3.86. Более подробную информацию можно найти на этой странице.

Опасные уязвимости в программе Macromedia ColdFusion МХ

28 сентября 2004 года, 11:35  [прямая ссылка]
Текст: Владимир Головинов

В безопасности программного пакета Macromedia ColdFusion МХ обнаружены две весьма серьезные бреши. Как сообщается, дыры отыскались в Macromedia ColdFusion МХ шестой версии, а точнее, в сервере JRun, который входит в состав пакета.

Первая уязвимость теоретически может использоваться злоумышленниками для просмотра каких-либо файлов на удаленном компьютере. Для этого им достаточно отправить на машину-жертву сформированный особым образом запрос. Кроме того, переполнение буфера при включенном режиме отладки Verbose часто приводит к падению сервера JRun. Злоумышленники могут использовать этот недостаток для организации DoS-атак.

Дополнительную информацию и патчи можно найти на сайте производителя.

Троян Revcuss ворует конфиденциальную информацию

27 сентября 2004 года, 16:05  [прямая ссылка]
Текст: Владимир Головинов

Компания Symantec сообщает о появлении новой вредоносной программы Revcuss, инфицирующей компьютеры с операционными системами Microsoft Windows. После проникновения на машину троян Revcuss записывает на жесткий диск два файла с именами usersvc.exe и ntlogon.exe, ссылки на которые затем добавляются в ключ автозапуска реестра. Далее Revcuss начинает шпионскую деятельность, фиксируя вводимую при помощи клавиатуры информацию и отправляя ее автору. Кроме того, троян может соединяться с сайтами vivi.vibrahost.com, mig29here.com и addicted-to.druggs.info для получения управляющих команд. Вредоносная программа охарактеризована специалистами Symantec как малоопасная.

В операционной системе OpenBSD найдена дыра

27 сентября 2004 года, 16:01  [прямая ссылка]
Текст: Владимир Головинов

В открытой операционной системе OpenBSD обнаружена очередная уязвимость. Как сообщается на сайте датской компании Secunia, дыра может использоваться злоумышленниками с целью получения неавторизованного доступа к компьютеру-жертве. Проблема связана с недостаточно надежной проверкой ответов Radius-сервера и присутствует в операционной системе OpenBSD версии 3.5 и более ранних модификациях программы. Правда, нападение может быть осуществлено только в том случае, если на атакуемой машине применяется Radius-аутентификация (отключена по умолчанию), в связи с чем уязвимость была охарактеризована как малоопасная. К тому же, патч для дыры уже выпущен и доступен для загрузки.

Опасная дыра в веб-сервере Apache

27 сентября 2004 года, 15:11  [прямая ссылка]
Текст: Владимир Головинов

В распространенном веб-сервере Apache обнаружена очередная уязвимость. Дыра теоретически может использоваться злоумышленниками с целью получения неавторизованного доступа к определенным ресурсам компьютера-жертвы. Как сообщается, проблема связана с некорректной обработкой директивы "Satisfy" и присутствует в веб-сервере Apache версии 2.0.51. Нападение может быть осуществлено удаленно, в связи с чем уязвимость была охарактеризована как средне опасная. Впрочем, патч для дыры уже выпущен и доступен для загрузки. Дополнительную информацию можно найти на этой странице.

Червь Noomy удаляет системные файлы

27 сентября 2004 года, 14:02  [прямая ссылка]
Текст: Владимир Головинов

Компания Sophos предупреждает о появлении нового вируса, получившего название Noomy. Этот червь распространяется при помощи электронной почты, а также через IRC-каналы. После проникновения на компьютер с Windows вредоносная программа записывает в системную директорию свою копию с именем Sysconf32.exe, регистрируется в разделе автоматического запуска реестра и создает в корневом каталоге жесткого диска файлы с именами ReAd_ThiS_ShiT.txt, StpLogs.vbs. Далее червь удаляет из корневой директории все файлы с расширением SYS, делая дальнейшую загрузку машины невозможной. Широкого распространения вирус Noomy, подробное описание которого можно найти на этой странице, пока не получил.