Rosszindulatú kód:

A rosszindulatú kód minden olyan programot (beleértve a makrókat és a szkripteket is) tartalmaz, amelyeket szándékosan kódolnak, hogy váratlan (és általában nem kívánt) eseményeket okozzanak a felhasználó számítógépén.

Ez 10 százalékos növekedést jelent a 2002. első félévében felfedezett sebezhetőségekhez képest.

Symantec Internet Security Threat Report, 2003. január - június

NIMDA KÓD VÖRÖS CSATLAKOZÁS

2001 szeptemberében Nimda új riasztásokat vetett fel, ötféle módszerrel, hogy az első 12 órán belül 450 000 gazdára terjedjen.

Úgy tűnt, hogy Nimda a férgek kifinomultságának új szintjét jelzi.

E-mail címeket talált a számítógép webes gyorsítótárából és alapértelmezettként
Messaging Application Programming Interface (MAPI) postafiók.

Maga véletlenszerű tárgyakat tartalmazó e-mailben és egy megnevezett melléklettel
readme.exe. Ha a célrendszer támogatta az automatikus végrehajtást
a beágyazott MIME típusok közül a csatolt féreg automatikusan
kivégezni és megfertőzni a célt.

Megfertőzte a véletlenszerűen kiválasztott Microsoft IIS webszervereket a
puffertúlcsordulási támadás, amelyet unicode webes bejárási kihasználásnak hívnak.
Másolta magát nyílt hálózati megosztásokon. A fertőzött kiszolgálón a
féreg többcélú internetes levélkiterjesztéseket (MIME) kódolt
másolja magát minden könyvtárba, beleértve a hálózati megosztásokat is.

Javascriptet adott a weboldalakhoz, hogy megfertőzhesse az összes böngészőt
arra a weboldalra.

Olyan hátsó ajtókat keresett, amelyeket a korábbi Code Red II és a Sadmind férgek hagytak.

Megjelent ugyanazon a napon

A lépfenével terhelt leveleket 2001. szeptember 18-án és október 9-én bélyegezték.

Ezek pontosan ugyanazok a dátumok, mint a pusztító Nimda féreg és ennek a féregnek egy új változata, Nimda. B-t az interneten tették közzé.

Szeptember 18-án jelentették meg a Nimda férget az interneten, október 9-én pedig a Nimdát. B variáns megjelent.

Ugyanaz a módszer
Mindkettő postai úton (akár a postai szolgálat, akár e-mail útján) romboló hasznos terhet jelent a gyanútlan személyek számára. Bár a két támadás (lépfene és Nimda) első pillantásra úgy tűnik, hogy nagyon különbözik egymástól, úgy tűnik, hasonló gondolkodásmód áll mindkettő mögött. "

A Nimda.B a Nimda.A vírus egyik kisebb változata, amely PUTA-t használ. SCR és PUTA. EML fájlnevek.

Az F-Secure Anti-Virus ezt a változatot a 2001. október 9-én, GMT 5:28 óra alatt kiadott frissítésekkel érzékeli. Ekkor az F-Secure nem kapott jelentést az érintett felhasználóktól.

További információk a Nimdáról. Kérjük, olvassa el a leírást:

[F-Secure Corp .; 2001. október 9.]

A szerverekre és a Microsoft szoftvert futtató számítógépekre egyaránt terjedő számítógépes féreg kedden elárasztotta az internetet az adatokkal, ami az FBI-t arra késztette, hogy hozzon létre munkacsoportot a támadás kivizsgálására - közölték források.

A "Nimda" vagy "readme.exe" néven ismert féreg fertőzött e-mail üzenetek küldésével, önmagának másolásával ugyanazon a hálózaton lévő számítógépekre és a webkiszolgálók veszélyeztetésére terjed a Microsoft Internet Information Server (IIS) szoftverével.

"Rendkívüli, hogy ez a dolog pár óra alatt mekkora forgalmat hozott létre" - mondta Graham Cluley, a Sophos víruskereső cég vezető biztonsági tanácsadója. "Amennyire láthatjuk, úgy tűnik, nem használ semmilyen pszichológiai trükköt, mert mindez automatizált."

08:58, 2003. augusztus 12., PT

A Windows-felhasználókat megcélzó féreg kedden rohamosan terjedt az egész világon, ami számítógépes összeomlást és lelassult internetkapcsolatot váltott ki.

A Blaster névre keresztelt, de LoveSan vagy MSBlaster néven is ismert féreg üzenetet küldött a Microsoft elnökének:

"Billy Gates miért teszi ezt lehetővé? Hagyja abba a pénzt és javítsa ki a szoftverét !"

A Blaster, amely nullázza a Windows 2000 és a Windows XP operációs rendszereket, időzítve támadta meg a Microsoft biztonsági webhelyét, amely terjesztette a féreg leállításához szükséges javítást, mielőtt a felhasználók millióit elérné.

Kifejezetten a Windows szoftver legújabb verzióit célozza meg, és a szakértők azt jósolják, hogy az otthoni felhasználókat érinti a leginkább. A világ számítógépeinek túlnyomó része rendelkezik a Windows szoftver egyik vagy másik formájával.

"Arra számítok, hogy a Blaster a legnagyobb hatással lesz az otthoni felhasználók közösségére, mivel jobban hajlandóak vírusirtóik és javításaik naprakészen tartására, és elégtelen tűzfalak lehetnek a helyükön" - mondta Graham Cluley, a technológiai tanácsadó a Sophos Anti Virus, brit cég.

A Blaster meglehetősen szokatlan, mivel nem terjed el kifejezetten e-mailben.

Normál internetkapcsolaton keresztül utazhat ...

A legújabb féreg, amely az internethasználókat gyötri, aláhúzza a javítások korlátozását.

Mindössze 24 óra alatt az "MSBlast" világszerte mintegy 120 000 számítógépre robbant, annak ellenére, hogy egyes szakértők szerint ez kevésbé látványos programozási munka volt. A probléma nagy része az volt, hogy a figyelmetlen otthoni felhasználók és a túlköltekezett informatikai munkatársak nem tudtak javítást elhelyezni, pedig a Microsoft júliusban elérhetővé tette. Az internet a hétvégén figyelni fogja, hogy a Microsoft képes-e kikerülni egy olyan szolgáltatásmegtagadási támadást, amelyet a féreg várhatóan elindít.

VÍRUS INFORMÁCIÓ
Információ a Blaster Wormról

08/11/2003 - A Blaster féreg más néven mblast, lovesan, W32.Blaster.Worm, Worm_mblast.a és Win32.Posa.worm. A robbanó féreg egy szoftveres féreg, amelyet a Microsoft Windows NT, Windows 2000, Windows XP és Windows Server 2003 felkutatására és kihasználására terveztek a nyitott RPC portokon keresztül, a TCP 135. porton keresztül. .

WINDOWS BIZTONSÁG

ELLENTMONDÁSOS

"A szövetségi kormány szerint új bizonyítékok vannak arra, hogy a Microsoft Windows rendszerét használó számítógépekre támadást terveznek."

"A puffer túllépése kapcsán nem lehet csodálkozni azon, hogy a Microsoft számára kódot író gubancok közül hányan kapták meg programozási diplomájukat postai megrendeléssel Nigériából vagy a Kajmán-szigetekről."

TÚL KICSI, TÚL KÉSŐ?

A Microsoft bejelentette az Anti-Virus Reward programot

Világméretű bűnüldözéssel rendelkező Microsoft-csapatok 5 millió dolláros jutalom-alapjal, a szélesebb körű biztonsági kezdeményezés részeként kiszűrik a rosszindulatú kód-forgalmazókat

A Jutalmazási Program részeként a Microsoft bejelentette az első, negyedmillió dolláros jutalmat az MSBlast.A féreg elszabadításáért felelős személyek letartóztatásához és meggyőződéséhez vezető információkért. Bár az MSBlast féreg B és C változatával kapcsolatban két letartóztatást hajtottak végre, az eredeti féreg ezen a nyáron történő felszabadításáért felelősök továbbra is szabadon maradnak. A férget a Microsoft www.windowsupdate.com webhelyének megtámadására tervezték, amely javításokat nyújt a sérülékenységek számára, és segít megvédeni a felhasználókat a rosszindulatú támadásoktól.

2003. október 9-én fedezték fel

és egy kisebb változata a Swen.A-nak, a tömeges levelező féregnek, amely a múlt hónapban kezdett terjedni az e-mailek útján, hamisan állítva, hogy a Microsoft-tól származik.

A Swen.B az eredeti féreg tömörített változata, és arra törekszik, hogy a férget néhány vírusirtó program számára észrevehetetlenné tegye. Emellett az e-mailben szereplő hivatkozások többsége a Microsoftról az olasz ISP Tiscali-ra változott. Egyébként az eredeti féreg és ez a változat nagyon hasonló.

2001. október 9 .: A Trenton Feldolgozó és Elosztó Központ feldolgozza a lépfene levelet Daschle szenátorhoz.

Egyes féreg- és vírusírók nyomot hagynak identitásukról a kódolásukban vagy a Modus Operandi valamilyen aspektusában.

Az I-Worm.Swen (Kaspersky Lab) más néven:

A féreg megszámolja a fertőzött számítógépek számát.

Saját találatszámlálóját használta:

1. táblázat: A Cisco IOS 12.3 (8) T kiadásában támogatott Cisco IOS IPS aláírások T

Aktiválódik, amikor a "/bin/counter.gif/ link = bacillus" URL elérési kísérletet észlelik. A rendszert megfertőzheti a Swen féreg, amely megpróbálja a számlálót frissíteni a "ww2.fce.vutbr.cz" szerveren található weboldalon.

A Bacillus anthracis az aerob spóraképző baktériumok fajai, amelyek lépfene-betegséget okoznak emberekben és állatokban.

"Íme, egy tipikus forgatókönyvű gyerek. Haha! Bár úgy tűnik, hogy sok hír szerint elkapták az MSBlast féreg szerzőjét, ez a gyerek csak annyit tett, hogy kissé módosította és visszaengedte a vadonba. Elég béna módosítások ... átnevezték az AOL képernyőnevére, és átirányította, hogy elérje saját webhelyét. bwahaha De ez a kép klasszikus. " juju.org

vagy a rendszergazdák a számítástechnikai iparban. "

"az idősebb írók többsége nem megfelelő etikai fejlődést szenved"

A géntechnológia és más molekuláris biológiai technikák növekvő használata polgári területen azt jelenti, hogy az ilyen fegyverek kifejlesztéséhez szükséges készségek egyre szélesebb körben elterjednek.

Larry Harris, amerikai neonáci,
megrendelt három ampullát a bubonos pestis baktériumokról az American Type Culture Collection (ATCC) -től, amelyeket a Federal Express szállított

Megírta a „Bakteriológiai hadviselés” című kézikönyvet is:
Nagy veszély Észak-Amerikára ”, ami
állítólag 28,50 dollárért elérhető az interneten, és nemcsak a biológiai fegyverek elleni védelmet írja le, hanem a valószínű organizmusjelölteket és az organizmusok termesztésének módját is.

A BugBear.b világszerte a bankokat célozza meg

Frissítés: Ha egy nemzeti bank úgy gondolja, hogy a BugBear.B áldozata, akkor azonnal kapcsolatba kell lépnie OCC portfóliókezelőjével, jelentenie kell a problémát a bűnüldöző szerveknek és be kell nyújtania a SAR-t.

A Bugbear.b féreg az elmúlt hétvégén gyorsan elterjedt az egész világon, és az antivírus-listák élén áll a leggyakoribb vírus azóta, hogy a Klez vírus októberben elszabadult. Ez a legújabb változat, a W32/Bugbear.B@mm, különösen csúnya falatot jelent a bankok számára.

Számos víruscég és független biztonsági cég megerősítette, hogy a féreg mélyén eltemetve a bankok domainneveinek listája (xls formátum - szöveges formátum) szerte a világon. Több jelentés szerint, amikor egy rendszert e-mailben fertőznek meg, a féreg ellenőrzi, hogy a felhasználói domain megfelel-e a rejtett banki domainek listájának. Ha a Bugbear.B vírus talál egyezést, a fertőzött bankok munkaállomásait mindig online állapotban tartja, azáltal, hogy a fertőzött számítógépen engedélyezi az AutoDial funkciót a következő beállításkulcs módosításával:

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings] "EnableAutodial" = dword: 00000001

Ez biztosítja, hogy a hátsó ajtó összetevője mindig hozzáférhető legyen, ami megkönnyíti a féreg számára a billentyűzár program aktiválását, amelyet aztán érzékeny információk ellopására használnak.

Befolyásolja a banki számítógépeket

A féregnek nagy a listája a legtöbb bankhoz tartozó domainről.

Indításkor a féreg ellenőrzi a fertőzött számítógép domain nevét, majd összehasonlítja azt a belső listájával. Ha a domain név egyezik, a féreg felsorolja a gyorsítótárban tárolt jelszavakat, és egy véletlenszerűen kiválasztott e-mail címre küldi azokat a címek listájából, a féreg testében lévő megfelelő SMTP szerver nevekkel együtt. Az e-mail címeket és az SMTP szerver neveket titkosított formában tároljuk. Ez a lista különbözik attól a listától, ahová a féreg elküldi a keylogger által generált fájlt.

A féreg ideiglenesen letiltja az AutoDial funkciót egy fertőzött számítógépen a következő beállításkulcs módosításával:

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings]
"EnableAutodial" = dword: 00000000

A fájlok elküldése után a féreg visszaállítja a kulcs eredeti értékét. A fent leírt műveletek a bankok számítógépeit sebezhetőbbé teszik, mint a többi fertőzött számítógépet, mivel az ellopott jelszavakat egy hacker használhatja a fertőzött bankok hálózataihoz távoli számítógépekről.

A féregben lévő banki domainek listája számos különböző ország bankjait tartalmazza:

Franciaország, Egyesült Királyság, Németország, Ausztrália, Olaszország, Görögország, Dánia, Új-Zéland, Spanyolország, Brazília, Románia, Lengyelország, Argentína, Svájc, Finnország, Tajvan, Törökország, Izland, Szlovákia, Korea, USA, Dél-Afrika, Balti Köztársaságok, Ausztria, Magyarország, Norvégia, Csehország és néhány más ország.

Anthrax-cselekmény a liberálisok ellen?

Írta: Reed Irvine és Cliff Kincaid | 2001. november 8

"A CNBC Hardball című műsorában Chris Mathews azt javasolta, hogy a forrás valaki, aki utálja a liberálisokat ."

”. a terrorizmusellenes szakember ... azt gyanította, hogy a lépfene terrorizmus belföldi volt, mert az egyik levél Daschle-hez került," aki a baloldalon van ".

Úgy tűnik, hogy a szövetségi kormány kezelte a lépfene-vitát a Keystone Cops-nak. A legsúlyosabb szempont a postai dolgozók azonnali tesztelésének elmulasztása volt, akik közül kettő lépfene-expozícióban halt meg.

A média tudósításai zavaros kormányzati nyilatkozatokat követtek. Először Tom Daschle szenátor irodájában lévő lépfene állítólag "fegyverminőségű". Aztán egy kormányzati tudós azt mondta, hogy "közös fajtájú" lépfene. Aztán azt mondták nekünk, hogy valójában fegyverminőségű.

A leveleket a szeptember 11-i terrortámadások után fedezték fel. Néhány levél azt mondja: "Halál Amerikába", és dicséretet mondanak Allahért. Egyesek számára nyilvánvalónak tűnik, hogy a radikális muszlimok írták a méregleveleit. A leveleket úgy írják vagy nyomtatják, hogy azok arra utaljanak, hogy azok valakinek a munkája, aki éppen megtanulta betűit és nyelvét. Ez is utal egy külföldire, aki nem nagyon tartózkodott az Egyesült Államokban.

De ami egyesek számára nyilvánvalónak tűnik, mások számára nincs értelme. Gary Brown, akit nyugdíjas légierő terrorizmusellenes szakembereként írtak le, a Washington Postnak elmondta, hogy gyanúja szerint a lépfene terrorizmus belföldi volt, mert szerinte az egyik levél Daschle-hez került, "aki a baloldalon van. Ha ez egy saját termesztésű milícia erőfeszítése,

Daschle valószínűleg célpontja. "De Daschle még soha nem volt a szélsőjobboldali fő célpont. Soha nem tekintették főbb baloldali alaknak. Lehet, hogy a milícia levelet küld az Alkoholügyi Iroda tisztviselőjének, Dohány és lőfegyverek.

Irakot javasolták lehetséges forrásként, és ennek sok értelme van. Irak elrejtette kezét a korábbi terrorista eseményekben, például a Világkereskedelmi Központ 1993-as robbantásában. De Irak külügyminisztere és csúcstudósa 60 percben biztosította Lesley Stahlt, hogy soha nem fognak ilyet tenni.

A Postban idézett úgynevezett szakértő vezetését követően a médiában beszélő fejek egy része azt javasolta, hogy a jobboldaliak a lépfene forrása.

A CNBC Hardball című műsorában Chris Mathews azt javasolta, hogy a forrás valaki, aki gyűlöli a liberálisokat, akik egy hónalj dezodort gyártó üzemben dolgoznak.

"Napok óta ez a sejtésem" - mondta -, hogy [a forrás] valami dühös ember, aki valószínűleg New Jersey területén él, aki egy olyan nagy gyógyszergyártó cég alkalmazottja volt, amely aeroszolos spray-kkel dolgozhat hónalj dezodorok vagy tök mindegy.

Vajon ez a fajta mérnök képes lenne - csak azért, mert nem szerette az országot, nem szerette a liberálisokat vagy a média embereit -, hogy ilyen lépfenét készítsen és borítékba tegye?

Vendége volt David Franz, a Déli Kutatóintézet kémiai és biológiai védelmi alelnöke, valamint a hadsereg csíravédelmi laborjának volt parancsnoka Ft-ban. Detrick, Maryland.

Franz udvariasan mondta, hogy Mathews nem tudja, miről beszél. Kifejtette: "Sokkal többet kellene megtanulnia, nemcsak azt, amit tudott a hónalj alatti aeroszolos spray-kkel. Ezek vegyi anyagok, itt élőlényekkel foglalkozunk. Olyan spórával van dolgunk, amelyet meg kell tartanod élő…

"Nem lehet tudni, nevetni vagy sírni-e Mathews szánalmas próbálkozása miatt, amely a konzervatívokat hibáztatja a lépfene terrorizmusáért.

Reed Irvine a Kiadó, Cliff Kincaid pedig az AIM jelentés szerkesztője.