Злонамереният код включва всички и всякакви програми (включително макроси и скриптове), които са нарочно кодирани, за да причинят неочаквано (и обикновено нежелано) събитие на компютъра на потребителя.

anthrax

Това представлява увеличение с 10% спрямо уязвимостите, открити през първата половина на 2002 г.

Доклад на Symantec Internet Security за заплахи, януари - юни 2003 г.

NIMDA CODE ЧЕРВЕНА ВРЪЗКА

През септември 2001 г. Нимда вдигна нови аларми, като използва пет различни начина за разпространение до 450 000 хоста през първите 12 часа.

Нимда като че ли сигнализира за ново ниво на изтънченост на червеите.

Той намери имейл адреси от уеб кеша на компютъра и по подразбиране
Пощенска кутия за интерфейс за програмиране на съобщения (MAPI).

Той се изпраща по имейл със случайни теми и прикачен файл с име
readme.exe. Ако целевата система поддържа автоматичното изпълнение
на вградени MIME типове, прикаченият червей ще бъде автоматично
изпълнени и заразяват целта.

Той зарази уеб сървъри на Microsoft IIS, избрани на случаен принцип, чрез
атака за преливане на буфер, наречена експлоит за обръщане на уеб в Unicode.
Той се копира в отворени мрежови споделяния. На заразен сървър,
червейът е кодирал многофункционални разширения за интернет поща (MIME)
копия от себе си във всяка директория, включително мрежови споделяния.

Той добави JavaScript към уеб страниците, за да зарази всички уеб браузъри
към този уебсайт.

Той потърси задни врати, оставени от предишните червеи на Code Red II и Sadmind.

Издаден на същите дати


Натоварените с антракс писма са пощенски на 18 септември и 9 октомври 2001 г.

Това са точно същите дати от деструктивния червей Nimda и нов вариант на този червей, наречен Nimda. B бяха пуснати в интернет.

18 септември беше датата, на която червеят Nimda беше пуснат в интернет, а 9 октомври беше датата, на която Nimda. Пуснат е вариант B.

Същият метод
И двете включват по пощата (или от пощенската служба, или по имейл) разрушителен полезен товар за нищо неподозиращите лица. Въпреки че двете атаки (антракс и Нимда) изглеждат на пръв поглед много различни една от друга, подобно мислене изглежда е в основата и на двете. "

Nimda.B е малък вариант на Nimda.A вирус, който използва PUTA. SCR и PUTA. Имена на EML файлове.

F-Secure Anti-Virus открива този вариант с актуализации, публикувани на 9 октомври 2001 г. 5:28 GMT. По това време F-secure не е получавал сигнал от засегнатите потребители.

За повече информация относно Nimda. Моля, прочетете описанието:

[F-Secure Corp .; 9 октомври 2001 г.]

Компютърен червей, който се разпространява както на сървъри, така и на компютри, работещи със софтуер на Microsoft, заля интернет с данни във вторник, което накара ФБР да създаде работна група за разследване на атаката, съобщиха източници.

Известен като "Nimda" или "readme.exe", червеят се разпространява чрез изпращане на заразени имейл съобщения, копиране на компютри в същата мрежа и компрометиране на уеб сървъри, използвайки софтуера на Internet Information Server (IIS) на Microsoft.

„Изключително много е трафика, който това нещо е създало за няколко часа“, каза Греъм Клули, старши консултант по сигурността на антивирусната компания Sophos. „Доколкото виждаме, изглежда не използва никакви психологически трикове, защото всичко е автоматизирано.“

08:58 AM, 12 август 2003 г. PT

Червей, насочен към потребители на Windows, се разпространява бързо по света във вторник, предизвиквайки сривове на компютрите и забавяйки интернет връзките.

Червеят, кръстен Blaster, но известен също като LoveSan или MSBlaster, носеше послание за председателя на Microsoft:

"Били Гейтс защо правиш това възможно? Спри да правиш пари и поправяй софтуера си !"

Blaster, който е нулиран в операционните системи Windows 2000 и Windows XP, е настроен да атакува уебсайт за защита на Microsoft, разпространяващ корекцията, необходима за спиране на червея в неговите песни, преди да удари милиони потребители.

Той е насочен специално към най-новите версии на софтуера на Windows и експертите прогнозират, че домашните потребители ще бъдат най-силно засегнати. По-голямата част от компютрите в света са оборудвани с една или друга форма на софтуер на Windows.

„Предполагам, че Blaster ще окаже най-голямо влияние върху общността на домашните потребители, тъй като те са по-спокойни да поддържат своите антивирусни програми и корекции актуални и може да имат недостатъчно защитни стени“, каза Греъм Клули, технологичен консултант в Sophos Anti Virus, британска фирма.

Blaster е доста необичаен, тъй като не се разпространява специално по имейл.

Той може да пътува през нормална интернет връзка ... ”

Най-новият червей, който измъчва потребителите на интернет, подчертава ограниченията за поставяне на корекции.

Само за 24 часа „MSBlast“ избухна върху около 120 000 компютъра по целия свят, въпреки че според някои експерти работата по програмиране не беше толкова зрелищна. Голяма част от проблема беше, че невнимателните домашни потребители и прекалено резервираните ИТ служители не бяха в състояние да поставят корекция на място, въпреки че Microsoft я беше предоставил през юли. Мрежата ще наблюдава през уикенда, за да види дали Microsoft може да избегне атака за отказ на услуга, която се очаква да бъде стартирана от червея.

ИНФОРМАЦИЯ ЗА ВИРУС
Информация за Blaster Worm

08/11/2003 - червеят Blaster, известен също като mblast, lovesan, W32.Blaster.Worm, Worm_mblast.a и Win32.Posa.worm. Червеят бластер е софтуерен червей, предназначен да намира и използва Microsoft Windows NT, Windows 2000, Windows XP и Windows Server 2003 чрез отворени RPC портове TCP порт 135 .

СИГУРНОСТ НА ПРОЗОРЦИТЕ

ОКСИМОТРОН

"Федералното правителство казва, че има нови доказателства, че се планира атака срещу компютри, използващи Windows на Microsoft."

"Що се отнася до превишаването на буфера, човек не може да не се запита колко от глупците, които пишат код за Microsoft, са получили своите програми по програми по пощата от Нигерия или Каймановите острови."

ТВЪРДЕ МАЛКО И ТВЪРДЕ КЪСНО?

Microsoft обявява антивирусна програма за награждаване

Екипите на Microsoft със световна правоприлагаща организация изкореняват разпространителите на зловреден код с фонд за награда от 5 милиона долара като част от по-широката инициатива за сигурност

Като част от Програмата за награди, Microsoft обяви първата награда в размер на четвърт милион долара (САЩ) за информация, водеща до ареста и осъждането на лицата, отговорни за отприщването на червея MSBlast.A. Въпреки че бяха извършени два ареста във връзка с B и C вариантите на червея MSBlast, отговорните за пускането на оригиналния червей това лято остават на свобода. Червеят е проектиран да атакува уеб сайта на Microsoft www.windowsupdate.com, който предоставя поправки за уязвимости и помага да се защитят потребителите от злонамерени атаки.

открит на 9 октомври 2003 г.

и е незначителен вариант на Swen.A, червеят за масово изпращане, който започна да се разпространява миналия месец чрез имейли, които твърдят, че са от Microsoft.

Swen.B е компресирана версия на оригиналния червей и е опит да направи червея неоткриваем за някои антивирусни програми. В допълнение към това, по-голямата част от препратките в електронната поща са променени от Microsoft на италианския ISP Tiscali. В противен случай оригиналният червей и този вариант са много сходни.

9 октомври 2001 г .: Центърът за обработка и разпространение в Трентън обработва антраксното писмо до сенатор Дашле.

Някои автори на червеи и вируси оставят улики за самоличността си в кодирането си или в някакъв аспект на своя Modus Operandi.

I-Worm.Swen (Kaspersky Lab) е известен още като:

Червеят отчита броя на заразените от него компютри.

Той използва свой собствен брояч на посещения при:

Таблица 1 Подписи на Cisco IOS IPS, поддържани в Cisco IOS версия 12.3 (8) T

Задейства се при опит за достъп до URL адреса „/bin/counter.gif/ link = bacillus“. Една система може да бъде заразена от червея Swen, който се опитва да актуализира брояч на уеб страница, намираща се на сървъра "ww2.fce.vutbr.cz."

Bacillus anthracis е вид аеробни спорообразуващи бактерии, които причиняват антраксна болест при хора и животни.

"Ето типичния скрипт kiddie. Ха-ха! Въпреки че много новини изглежда предполагат, че са хванали автора на червея MSBlast, всичко, което направи това дете, беше леко да го модифицира и пусна обратно в дивата природа. Доста куцо модификации ... преименувани го към неговото AOL екранно име и и го пренасочи към собствения си уебсайт. bwahaha Но тази картина е класическа. " juju.org

или системни администратори в компютърната индустрия. "

"повечето по-възрастни писатели страдат от неадекватно развитие на етиката"

Все по-широкото използване на генно инженерство и други молекулярно-биологични техники в гражданската област означава, че уменията, необходими за разработването на такива оръжия, стават все по-широко разпространени.

Лари Харис, американски неонацист,
поръча три флакона с бактерии от бубонна чума от Американската колекция за култури (ATCC), доставени от Federal Express

Той също е автор на ръководство „Бактериологична война:
Основна заплаха за Северна Америка “, която е
се казва, че е достъпен в Интернет за $ 28,50 и описва не само защита от биологични оръжия, но и вероятни организми-кандидати и как организмите могат да се отглеждат.

BugBear.b е насочен към банките в целия свят

Актуализация: В случай, че национална банка смята, че е жертва на BugBear.B, тя трябва незабавно да се свърже със своя мениджър на портфолио от OCC, да докладва за проблема на правоприлагащите органи и да подаде SAR.

Червеят Bugbear.b се разпространява бързо по целия свят през изминалия уикенд, оглавявайки антивирусните класации като най-разпространеният вирус от пускането на вируса Klez през октомври. Този последен вариант, W32/Bugbear.B@mm, съдържа особено неприятна хапка за банките.

Няколко вирусни компании и независими охранителни фирми потвърдиха, че дълбоко в червея е заровен списък с имена на домейни за банки (формат xls - текстов формат) по целия свят. Според няколко доклада, когато системата е заразена чрез имейл, червеят проверява дали домейнът на потребителите съответства на някой от списъка на скритите банкови домейни. Ако вирусът Bugbear.B намери съвпадение, той ще поддържа работните станции на заразените банки винаги онлайн, като активира функцията AutoDial на заразен компютър чрез модификация на следния ключ на системния регистър:

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings] "EnableAutodial" = dword: 00000001

Това гарантира, че компонентът на задната врата е достъпен по всяко време, което улеснява червея да активира програма за регистриране на клавиши, която след това се използва за кражба на чувствителна информация.


Засяга банкови компютри

Червеят има голям списък от домейни, принадлежащи предимно на банки.

При стартиране червеят проверява името на домейна на заразен компютър и след това го сравнява с вътрешния си списък. Ако името на домейна съвпада, червеят изброява кеширани пароли и ги изпраща на произволно избран имейл адрес от списъка с адреси, съхранявани заедно със съответните имена на SMTP сървър в тялото на червея. Имейл адресите и имената на SMTP сървърите се съхраняват в криптирана форма. Този списък е различен от този, на който червеят изпраща генерирания от keylogger файл.

Червеят временно деактивира функцията за автоматично набиране на заразен компютър, като модифицира следния ключ на системния регистър:


[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings]
"EnableAutodial" = dword: 00000000

След изпращане на файловете червеят възстановява ключа до първоначалната му стойност. Описаните по-горе действия правят компютрите на банките по-уязвими от другите заразени компютри, тъй като откраднатите пароли могат да бъдат използвани от хакер за достъп до мрежите на заразените банки от отдалечени компютри.

Списъкът с банкови домейни, които червеят има, включва банки от много различни страни:

Франция, Великобритания, Германия, Австралия, Италия, Гърция, Дания, Нова Зеландия, Испания, Бразилия, Румъния, Полша, Аржентина, Швейцария, Финландия, Тайван, Турция, Исландия, Словакия, Корея, САЩ, Южна Африка, Балтийски републики, Австрия, Унгария, Норвегия, Чехия и някои други страни.


Заговор срещу антракс срещу либералите?


От Рийд Ървайн и Клиф Кинкейд | 8 ноември 2001 г.

"В предаването Hardball на CNBC, Крис Матюс предположи, че източникът е някой, който мрази либералите ..."

”. специалист по борбата с тероризма ... подозира, че антраксният тероризъм е вътрешен, тъй като едно от писмата отиде до Дашле,„ който е вляво “.


Справянето на федералното правителство с противоречията по антракса изглежда като ключовите полицаи. Най-сериозният аспект беше невъзможността за незабавно тестване на пощенските служители, двама от които починаха от излагане на антракс.

Медийното отразяване последва объркващи правителствени изявления. Първо, за антракса в кабинета на сенатор Том Дашле се казваше, че е „оръжеен клас“. Тогава правителствен учен каза, че това е антракс с "обикновен сорт". Тогава ни казаха, че всъщност това е оръжие.

Писмата са открити след терористичните атаки от 11 септември. Някои от писмата казват „Смърт на Америка“ и хвалят Аллах. За някои изглежда очевидно, че радикалните мюсюлмани са писали отровните писма. Писмата са написани или отпечатани по такъв начин, че да предполагат, че са дело на човек, който току-що е научил своите букви и език. Това също предполага, че чужденец не е бил в САЩ много дълго.

Но това, което изглежда очевидно за някои, няма смисъл за други. Гари Браун, описан като пенсиониран специалист по борба с тероризма от ВВС, заяви пред Washington Post, че подозира, че тероризмът на антракс е вътрешен, тъй като, по думите му, едно от писмата е отишло до Дашле, "който е отляво. Ако е домашно отгледан усилие на милицията,

Daschle е вероятна цел. "Но Daschle никога не е бил основна цел на крайната десница. Той никога не е бил възприеман като основна лява фигура. Може да се очаква милицията да изпрати писмо до служител на Бюрото за алкохол, Тютюн и огнестрелни оръжия.

Ирак е предложен като възможен източник и това има много смисъл. Ирак скри своята ръка в минали терористични инциденти, като атентата от Световния търговски център през 1993 г. Но външният министър на Ирак и топ учен в 60 минути увери Лесли Щал, че никога няма да направят такова нещо.

Следвайки т. Нар. Експерт, цитиран в Post, някои от говорещите глави в медиите започнаха да предполагат, че десницата е източникът на антракса.

В предаването Hardball на CNBC Крис Матюс предположи, че източникът е някой, който мрази либералите, работещи в завод, произвеждащ дезодорант под мишниците.

„Предполагам от дни“, каза той, „че [източникът] е някой ядосан човек, може би живеещ в района на Ню Джърси, който е служител на голяма фармацевтична компания, която може да работи с аерозолни спрейове за дезодоранти под мишниците или както и да е.

Щеше ли такъв инженер да има способността - само защото не харесва страната, не харесва либерали или медии, да произведе такъв вид антракс и да го постави в плик? "

Негов гост беше Дейвид Франц, вицепрезидент по химическа и биологична защита в Южния изследователски институт и бивш командир в лабораторията за защита на микробите на армията във Форт. Детрик, Мериленд.

Франц учтиво каза, че Матюс не знае за какво говори. Той обясни: "Трябваше да научи много повече от това, което знаеше, работейки с аерозолни спрейове под мишниците. Това са химикали и тук имаме работа с живи същества. Имаме работа със спора, която трябва да пазите жив ...

„Човек не знае дали да се смее или да плаче на жалкия опит на Матюс да обвинява консерваторите за антраксния тероризъм.

Рийд Ървайн е издател, а Клиф Кинкейд е редактор на AIM Report.