Бойтесь трояна, в порносайт зовущего…

Автор: manager Суббота, Март 15th, 2008 Нет комментариев

Рубрика: Безопасность

Дыры
Продукт: Internet Explorer 5.0
Опасность: низкая
При обращении к поврежденному графическому файлу (jpeg,GIF) происходит сбой Internet Explorer с последующим полным зависанием всей системы в целом.

Продукт:Windows Media Player 7 + Internet Explorer
Опасность: высокая.
Очередная дыра в MP7 и IE с 1 января. Позволяет читать файлы на компьютере пользователя и запускать любые программы, что дает возможность взять компьютер под полный контроль. Проблема состоит в WMP ActiveX Control, который позволяет запускать скрипт для активации произвольного URL в уже открытом окне или фрейме.

Продукт: TheBat!
Опасность: Высокая
Описание: Ну что, вот мы и добрались до TheBat! Это ответ тем, кто кричит, что “Outlook глючная программа, а вот TheBat….”. Вот вам ваш TheBat.
Обычно, TheBat! Не позволяет, чтобы в имени прикрепленного к письму файла содержался символ “\”, если формат имени файла определен как clear text. Однако это проверка не срабатывает, когда имя файла определено по стандарту RFC’s 2047 ‘encoded-word’. Таким образом, атакующий сможет послать файл, который будет при получении записан в определенную директорию. Например, заменить какую-либо программу в директории Windows и засадить к вам трояна. Однако, это сработает только в том случае, когда в настройках TheBat! «extract files to» включена опция «overwrite file», которая позволяет перезаписывать уже существующий файл. В противном случае, к имени записываемого файла, если уже существует файл с таким именем, добавляется цифра – номер копии, и атака не срабатывает.

Электронные паразиты

Название: PIF_IBLIS.A
Класс: интернет-червь
Платформа: Win32(NT)+mIRC
Опасность: низкая
Червь распространяется по IRC каналам, использует IRC клиент mIRC. Для тех, кто не в курсе: IRC (Internet Relay Chat) – это специализированный чат со своим протоколом, программой-клиентом и сервером. Червь попадает на машину в виде pif-файла или ярлыка к программе. Если в настойках системы стоит “Не показывать расширения для зарегистрированных файлов”, то троян выглядит как простой текстовый файл, якобы содержащий пароль для бесплатного доступа на некоторый порносайт.
После запуска троян переписывает свою копию в корневую директорию Windows под именем WINSTART.BAT, который запускается при рестарте системы. Этот файл содержит код, который записывает еще одну копию червя в виде файла C0MMAND.COM в корень C:\. Имя этого файла отличается от оригинального C:\COMMAND.COM тем, что в нем вместо букв «О» записаны нули «0″.
Также, при старте троян берет контроль над mIRC. Он перехватывает все mIRC-функции отправки сообщений в чат и отсылки файлов приложений, html, текстовых и архивных. Перехватив функцию, червь отсылает адресату свою копию, в виде файла X_PASS.TXT.PIF, с комментарием, что это – файл со списком паролей к порночатам.
Так что, поберегитесь любители посмотреть веселые картинки, да еще на халяву…

Название: W97M/Digma
Класс: макро-вирус
Платформа: Win32(NT)+Word97/2000
Опасность: высокая
Макро-вирус, инфицирующий документы Microsoft Word97/2000 при их открытии.
Вирус начинает работать, как только запускается зараженный документ. При открытии вирус отключает защиту от макро-вирусов, отключает вывод окна запроса на сохранения шаблона документа, устанавливает показ в меню File только 4 последних документа. Далее: вирус заражает шаблон Normal.dot, инфицирует все активные документы. 13 числа каждого месяца вирус изменяет содержимое зараженных документов: все буквы “а” и “о” в заменяются на “F##K”, а в начало зараженного документа вставляется текст “Digital Madman”.

Copyright © Россия-Он-Лайн (тм)

Оставить комментарий

Чтобы оставлять комментарии Вы должны быть авторизованы.

Похожие посты