На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2001-10-2 на главную / новости от 2001-10-2
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 2 октября 2001 г.

Мерзкие черви просто достали...

В Сети появился новый очень опасный сетевой червь, которому дали имя Nimda. В первый же день эпидемии, по данным “ДиалогНауки” и “Лаборатории Касперского”, только в российском сегменте Всемирной паутины были поражены тысячи компьютеров (в том числе и в фирмах, чьи корпоративные почтовые серверы были защищены новейшими антивирусными фильтрами).

К чести отечественных антивирусников, соответствующие противоядия были разработаны менее чем за сутки и включены в фирменные базы данных.

Для защиты от Nimda настоятельно рекомендуется использовать не только новейшие версии антивирусных программ, но и последние обновления средств обеспечения безопасности для ОС Windows, Microsoft Outlook Express, Internet Explorer, Internet Information Services (IIS). Также рекомендуется назначать максимальный уровень безопасности при работе с Internet Explorer.

Для атаки на IIS-серверы новый вирус использует “дырки” Microsoft IIS CGI Filename Decode Error Vulnerability (дата обнаружения — май 2001 г.) и Microsoft IIS Unicode Bug (декабрь 2000 г.), а также пытается воспользоваться последствиями компрометации серверов червями CodeRedII и sadmind/IIS.

Червь открывает все диски, установленные на зараженных компьютерах для полного доступа. Таким образом, любой злоумышленник способен удалить, изменить, скопировать, просмотреть любые документы на данном компьютере. Это может привести к утечке, потере и несанкционированной модификации важной конфиденциальной информации.

Одна из неприятных особенностей вируса, затрудняющая ликвидацию последствий эпидемии, состоит в том, что он создает собственную копию с именем RICHED20.DLL.

Эта библиотека используется многими приложениями (в том числе Outlook и MS Office), при запуске электронной почты или попытке открытия любого файла вместо нее будет запущена копия вируса. Так как в процессе лечения библиотека RICHED20.DLL не восстанавливается, то ее рекомендуется переписать из дистрибутива или взять со “здоровой” машины.

Рассылаемые вирусом копии представляют собой специально подготовленное текстовое HTML-сообщение с прикрепленным файлом readme.exe. Обычно размер файла — 57 344 байта, однако в случае, если вирус стартовал из инфицированного файла и не смог очистить свою секцию ресурсов от оригинального содержимого инфицированной программы, размер файла может быть больше.

Данное сообщение составлено таким образом, чтобы при его просмотре средствами Internet Explorer, а также программами, использующими Internet Explorer для просмотра html-образов (MS Outlook, MS Outlook Express), прикрепленный файл запускался автоматически.

Nimda представляет большую опасность: он способен размножаться различными способами и повторно атаковать оставшиеся уязвимыми системы даже после их излечения. Поэтому настоятельно рекомендуется установить последние обновления средств защиты ОС Windows, которые можно найти на сайтах: www.microsoft.com/technet/security/bulletin/MS01-044.asp (кумулятивный патч для IIS-серверов) и www.microsoft.com/technet/security/bulletin/MS01-020.asp (патч от уязвимости почтовых клиентов Incorrect MIME header).
Обсуждение и комментарии

Sergio - eco97180uom.gr
3 Oct 2001 2:44 PM
Da yg to chto oni dostali eto tochno!
no rasve mognoiskliychat chto koekakie is etix chervei mogyt pisat tege samue firmu antivarysov tam za bygrom toest v usa,gia etogo ne iskliychaiy da i poniatno chto takoe moget but chtobu prodovat prodyktsiy antivarusov,razve slushali vu chtobu symantec zarazilas nimdoi ili maccafee xe,xe,xe gia net,stranno ne tak li vot i sdelaite svoi vuvodu?
 

 

← сентябрь 2001 1  2  3  4  5  7  8  9  10 ноябрь 2001 →
Реклама!
 

 

Место для Вашей рекламы!