Aktualności

W Internecie pojawiła się nowa odmiana programu trojańskiego noszącego nazwę Trojan.MulDrop.1287. Wielu użytkowników rosyjskiego Internetu wpadło w kolejną sprytną pułapkę, która została zastawiona na nich w sieci – możliwość załadowania na swoją maszynę programiku w postaci pliku wykonywalnego gsm-locator v1.05.exe. Program ten dawał jakoby możliwość określenia lokalizacji dzwoniącego z telefonu komórkowego w Rosji, a nawet lokalizację abonenta, w przypadku posiadania mapy miasta.

Taką opcje umożliwia, jeśliby wierzyć rozsyłanemu spamowi, wersja 1.05 „unikalnego” programu GSM-Locator. Wg jej twórców, miejsce pobytu można określić z dokładnością do 10- 20 metrów (!), w zależności od lokalizacji anten operatorów telekomunikacyjnych.

Fałszywa wiadomość zawiera informację o tym, że program funkcjonuje 24 godziny od momentu załadowania. W przypadku, kiedy użytkownik zainteresuje się podobną usługą i wykona zalecane czynności, program trojański Trojan.MulDrop.1287, który takim sposobem zostanie załadowany na komputerze, w ciągu kilku sekund przeniknie do systemu i zmieni komputer w zabawkę dla cyber-przestepcy.

Ukrywając się pod postacią nieszkodliwego i nawet „potrzebnego” narzędzia, ten klasyczny program trojański może wyrządzić duże szkody nieostrożnemu użytkownikowi, przy czym jest duże prawdopodobieństwo, że sam użytkownik przez dłuższy czas tej szkody nie zauważy. Po przedostaniu się do niezabezpieczonego przez żaden program antywirusowy systemu, trojan kopiuje na dysku pięć plików, które uruchamiają się jeden po drugim i instalują na porażonym komputerze proxy-serwer, który albo umożliwi rozsyłkę spamu, albo zostanie wykorzystany w innym celu. Tylko wyobraźnia autora wirusa może ograniczyć zakres jego wykorzystania.

Dodatkowo, nowy trojan usuwa wszystkie pliki z folderu Temporary Internet Files oraz Cookies. Pojawienie się podobnych programów, skierowanych przede wszystkim do niedoświadczonych użytkowników domowych, których komputery łatwo są zmieniane w zombi i tworzą światową sieć serwerów, służących do wysyłki spamu, po raz kolejny potwierdzają fakt, iż inwestycje związane z zabezpieczeniem danych, w postaci pewnej ochrony antywirusowej są o wiele tańsze niż proponowana niebezpieczna zabawka. Pobieranie z Internetu wszystkiego co wydaje się bardzo atrakcyjne, a do tego jest jeszcze darmowe, prawie zawsze skutkuje zainfekowaniem maszyny.

Źródło: Dr WEB

Microsoft udostępnił poprawkę dla przeglądarki Internet Explorer, na krytyczną lukę wykrytą w ubiegłym miesiącu. Przypomnijmy iż luka umożliwia zdalne przejęcie kontroli nad komputerem użytkownika.

W IE występuję błąd przepełnienia bufora podczas przetwarzania niektórych atrybutów tagu HTML <IFRAME>. Odpowiednio spreparowany dokument z atrybutami „SRC” i „NAME” tagu <IFRAME> może pozwolić na zdalne wykonanie dowolnego kodu. Luka została zweryfikowana w IE 6.0 na Windows XP SP1 oraz Windows 2000.

Ze względu na krytyczność luki, Microsoft opublikował nową poprawkę przed co miesięcznym wydaniem nowych uaktualnień zaplanowanych na 7 grudnia.

Stephen Toulouse odpowiedzialny za program bezpieczeństwa produktów Microsoft poinformował o otrzymaniu wielu informacji od użytkowników o atakach na ich systemy przy użyciu błędu w IE.

W listopadzie po opublikowaniu informacji o krytycznym błędzie pojawiły się nowe wirusy wykorzystujące lukę. Wirusy zostały nazwane Bofra.A i Bofra.B.

Należy wspomnieć o incydencie jaki miał miejsce w ubiegłym tygodniu, gdy co najmniej jeden z serwerów Falk AG w wyniku ataku hackerskiego został użyty do rozpowszechniania wirusa Bofra. Serwis The Register umieścił na swojej stronie banner reklamowy Falk AG, który mógł uruchomić procedurę ataku skierowaną przeciwko czytelnikom serwisu używającym podatnej wersji oprogramowania.

Zalecamy natychmiastową aktualizację Internet Explorer można ją pobrać stąd lub skorzystać z WindowsUpdate.

Źródło informacji: CNET News

W trzecim kwartale 2004 roku zostało zarejestrowanych pięć milionów nowych domen internetowych, podała firma VeriSign. Oznacza to, że pod względem tempa rejestrowania nowych domen został ustanowiony kolejny rekord.

Analitycy podkreślają, że w czwartym kwartale 2004 roku bardzo prawdopodobne jest dalsze poprawienie tego wyniku. Tak więc wygląda na to, że sektor internetowy – po okresie niewielkiej recesji – kontynuuje równomierny wzrost. Aktualnie na całym świecie zarejestrowanych jest 66,3 mln domen internetowych.

Najpopularniejszą domeną, jak nietrudno się domyśleć, jest .com, która stanowi prawie 47% wszystkich rejestracji. Na drugim miejscu znajdują się domeny charakterystyczne dla poszczególnych krajów, np.: .pl. Coraz popularniejsza staje się także nazwa .net, która została zarezerwowana dla organizacji zajmujących się sieciami komputerowymi. Choć w globalnym rozliczeniu domena ta stanowi zaledwie 8%, to w ostatnim okresie zanotowała ona przyrost rejestracji na poziomie 30%. Domeny .net generują ok. 155 mld listów elektronicznych dziennie.

Źródło informacji: Vnunet

Ogólnoświatowa plaga programów typu spyware przybiera rozmiary istniej klęski, a koszty użytkowników komputerów związane z działaniem tego szkodliwego oprogramowania w ciągu następnych czterech lat wzrosną aż o 2400%.

Jak wyliczyło IDC, konieczność zdiagnozowania problemu i zapobiegania tej pladze sprawi, że dochody z oprogramowania anty-spyware’owego wzrosną z 12 mln USD w 2003r. do 305 mln USD w 2008r. Aktualna sytuacja wygląda w ten sposób, że miliony komputerów są w niewidoczny dla użytkownika sposób infekowane oprogramowaniem szpiegującym, którego celem jest przechwycenie danych o użytkowniku – np. jego poufnych haseł czy szlaków jakimi porusza się po internecie. Następnie informacje te są odsprzedawane każdemu, kto zgodzi się za nie zapłacić.

Choć oprogramowanie spyware nie zawsze jest z natury szkodliwe, IDC podkreśla że jego działalność wywołuje szkody pośrednie, m.in. ograniczając wydajność pracowników czy spowalniając Internet. Bardziej niebezpieczne odmiany spyware umożliwiają zapamiętywanie kolejności klawiszy naciskanych przez użytkownika, skanowanie dysków twardych oraz zmiany w rejestrach systemowych. Niesie to ze sobą ogromne zagrożenie wykradzenia poufnych informacji użytkownika. Niestety, zablokowanie działania „szpiegów” nie jest zadaniem prostym i tanim. Obecnie duża liczba programów typu spyware bez problemu przechodzi przez korporacyjne „zapory ogniowe” i panoszy się w firmowych sieciach komputerowych. O zgrozo, bardzo często wynika to z faktu, że spyware jest dołączane do oprogramowania użytkowego, które w legalny sposób trafia na firmowe komputery. Według szacunków IDC, aż 67% wszystkich komputerów na świecie (w większości użytkowników indywidualnych) jest zainfekowana przynajmniej jednym programem szpiegującym. Należy się więc mieć na baczności!

Źródło informacji: Vnunet

Nieoficjalne źródła podały, że fiński gigant branży komórkowej – Nokia – ma w planach wypuszczenie na rynek co najmniej dwóch modeli nowych telefonów, wyposażonych w oprogramowanie antywirusowe.

Taki ruch może wskazywać, że groźba infekcji wirusowej systemu telefonii komórkowej staje się coraz bardziej realna. Wcześniej podobną zapowiedz ogłosił japoński operator, firma DoCoMo, który będzie wykorzystywał oprogramowanie McAfee.

„Wydaje się, że większość zachodnich firm nasłuchuje z niepokojem doniesień, o wybuchu pierwszej „komórkowej” epidemii wirusów” – to słowa nieoficjalnego źródła. Zważywszy na fakt, że w każdej plotce jest ziarenko prawdy, wygląda na to że nadszedł najwyższy czas, aby zacząć szukać skutecznej szczepionki dla naszych „komórek”.

Źródło informacji: The Inquirer

Oficjalna strona najlepszego strongmena na świecie Mariusza Pudzianowskiego – www.pudzian.pl – została podmieniona. Od około godziny 12:30 zamiast oryginalnej strony z Mariuszem pojawiła się inna, autorstwa muerte & longina z [S.S.D.D team]. Panowie widocznie nie boją się konfrontacji z mistrzem. Mirror w dziale hacked.

Internet Security Systems (ISS) poinformował o wykryciu luki w systemie Microsoft Windows Internet Naming Service (WINS).

Serwer WINS eliminuje potrzebę wysyłania pakietów typu broadcast dla rozwiązania nazwy komputera do jego adresu IP. Luka została odkryta na poziomie funkcji replikacji serwera WINS. Funkcja ta pozwala serwerom WINS wymieniać się między sobą informacjami na temat komputerów w poszczególnych sieciach. Domyślnie, serwery WINS są instalowane i uruchamiane w systemie Microsoft Small Business Server 2000 i Microsoft Windows Small Business Server 2003. WINS nie jest uruchamiany domyślnie na innych systemach operacyjnych Microsoft takich, jak: Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server oraz Windows Server 2003.

Równocześnie ISS poinformował, że organizacje, które stosują rozwiązania ISS są zabezpieczone przed zagrożeniami wynikającymi z wykrytej nieszczelności. Producent dostarcza bowiem z wyprzedzeniem tzw. virtual patch (wirtualne łatki – poprawki w oprogramowaniu), zanim jeszcze słabe punkty zostaną publicznie wskazane.

Przedstawiciele ISS ostrzegają, że napastnik, który wykorzysta wykrytą lukę do przeprowadzenia ataku może całkowicie przejąć kontrolę nad systemem. Będzie mógł zainstalować programy szpiegujące, będzie także miał możliwość przeglądania, modyfikowania lub kasowania poufnych informacji przechowywanych w systemie.

We wszystkich wersjach Microsoft Small Business Server, komponenty portów komunikacyjnych WINS są zablokowane od strony internetu i dostępne wyłącznie z poziomu sieci lokalnej.

Microsoft aktualnie pracuje nad zapewnieniem łatki na zidentyfikowaną lukę. Aby złagodzić podatność systemu na atak, przedstawiciele Microsoftu zalecają zablokowanie portu TCP 42 i UDP 42 na poziomie zapory ogniowej. Organizacje, które nie wykorzystują funkcjonalności WINS powinny je usunąć.

Kompletna lista zalecanych przez Microsoft działań znajduje się tutaj, natomiast pełna treść ostrzeżenia ISS X-Force jest udostępniona na tej stronie.

Wczoraj została wydana wersja Pythona oznaczona numerkiem 2.4. Jest ona wynikiem ciężkiej, bo 18-miesięcznej pracy nad wersją 2.3. Listę wszystkich zmian i dodatków można znaleźć tutaj. Ponadto w dokumencie Andrew Kuchling’a znajdującym się tutaj można przeczytać bardziej szczegółowe omówienie niektórych z dodatków. Osoby zainteresowane najnowszą wersją mogą pobrać ją stąd.

MailMan to system obsługi kont pocztowych umożliwiający w łatwy i wygodny sposób zarządzanie kontem poprzez stronę internetową. Jak się okazuje wszystkie wersje posiadają błąd który umożliwia bez znajomości odpowiedniego użytkownika i hasła wysłać pocztę.

MailMan został w całości napisany w CGI i jak informują autorzy od 1997 roku został pobrany 35 tysięcy razy. Ów system nie jest darmowy – osoby zainteresowane mogą go zakupić wersję standardową za 250 dolarów i wersje profesjonalną za 400 dolarów.

Niestety poprzez niedopatrzenie autorów w bardzo łatwy sposób można bez znajomości odpowiedniej nazwy użytkownika i hasła wysłać pocztę. Wystarczy, że znajdziemy serwer, na którym działa system MailMan, po czym wywołamy następujący adres: /mmstdo.cgi?NEW=true a wówczas zostaniemy przekierowani do formularza umożliwiającego wysyłanie poczty.

Aby przyjrzeć się dokładne powyższemu problemowi, przedstawimy to na przykładzie serwisu www.konto.pl gdzie mamy możliwość rejestracji darmowej skrzynki pocztowej o pojemności 300 MB. Oczywiście zgodnie z informacjami znajdującymi się na tej stronie, należy uprzednio zarejestrować się by móc korzystać z darmowej poczty.

Nie tracąc czasu na zapoznanie się z regulaminem i przechodzenie przez procedurę zakładania darmowego konta, niezwłocznie wywołujemy w przeglądarce następujący adres: http://www.konto.pl/cgi-bin/mmstdo.cgi?NEW=true i w ten oto szybki sposób możemy wysyłać „za darmo” pocztę.

Jak już wcześniej zostało wspomniane, program pobrało 35 tysięcy osób, a dzięki wyszukiwarkom większość z nich możemy bez problemu znaleźć. Na dziesięć przypadkowo wybranych stron wyżej opisany błąd działa na wszystkich. Dodam jeszcze, że w większości przypadków korzystanie z konta pocztowego było możliwe wówczas po jego uprzednim wykupieniu.

Wykryto nową lukę w niektórych wersjach Windows. Możliwe jest wykorzystanie jej w celu przejęcia zdalnej kontroli nad serwerem WINS.

Luka występuje w systemach Windows NT 4.0 Server, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server i Windows Server 2003. Obecnie nie są jeszcze do końca poznane jej mechanizmy, możliwości wykorzystania i załatania. Firma Microsoft zaleca jak najszybsze zablokowanie na firewallach portu 42 (zarówno TCP jak i UDP), albo wręcz wyłączenie serwisu WINS, jeśli jego działanie nie jest naprawdę konieczne.

Więcej o luce można przeczytać na stronie http://support.microsoft.com/kb/890710.

Źródło informacji: CERT Polska