Новости с "рынка" сетевой безопасности

[Evilcore]

кто знает когда в москве будет международная выставка по безопасности.. в январе или феврале?
заранее благодарю.

[Gr@nd@d]

PandaLabs зарегистрировала появление VideoCach - нового образца рекламного ПО. Данный вредоносный код предназначен для мошеннического продвижения определенных приложений безопасности. Особенностью этой программы является использование руткитовых технологий. Руткиты – это программы, предназначенные для сокрытия файлов или процессов, выполняемых на компьютере. За счет руткитовых технологий, вредоносный код сложнее отыскать и обезвредить.

VideoCach создает ярлыки на рабочем столе и показывает фальшивые предупреждения о заражении компьютера. Также эта программа открывает окна Internet Explorer и обманывает пользователей сообщая, что на их ПК установлен вредоносный код.

Кроме того, эта рекламная программа содержит ссылки на веб-страницы, на которых можно загрузить или купить приложения безопасности сомнительного происхождения. При запуске такие утилиты начинают сканировать компьютер и выдают совсем уж сомнительные результаты. Обычно они выдают обычные безобидные cookies за вредоносные коды или сообщают о незначительных ошибках, таких как ссылка записей реестра Windows на несуществующие файлы.

В любом случае, приложение выбрасывает сообщения, в которых предупреждает пользователя о наличии бреши безопасности, и требует денег в обмен на уничтожение якобы обнаруженных угроз.
...

источник

[Gr@nd@d]

LdPinch.ZO: опасный троян, который крадет данные

Антивирусная лаборатория PandaLabs предупредила пользователей о распространении нового трояна LdPinch.ZO. Эта вредоносная программа разработана для кражи персональных данных пользователей. После запуска он открывает Windows Explorer с картинками сексуального содержания. Эти картинки призваны отвлекать внимание жертвы, пока троян копирует в систему свой файл. Этот файл собирает пароли, детали логинов, телефонные номера, используемые для коммутируемого доступа в Интернет и т.п. Эта информация собирается из браузеров FireFox, Mozilla, Internet Explorer, FTP-клиентов ( CuteFTP, SmartFTP, …), программ для обмена мгновенными сообщениями и других источников. Все собранные данные отсылаются на определенный адрес электронной почты,

LdPinch.ZO также открывает порт, через который хакер может получить доступ командной строке, использовать ее для выполнения определенных действий на зараженном компьютере и даже для удаленного управления им. Если брандмауэр предупреждает пользователя о подозрительном интернет-подключении, Ldpinch.ZO может сымитировать нажатие "OK" для того, чтобы продолжить веб-соединение для кражи информации.

Источник

[Zorkiy]

" 28 марта, 2007

Уязвимость в системе управления критическими инфраструктурами США, SCADA, обнаруженная компанией Neutralbit, может привести к удалённой атаке отказа в обслуживании либо перехвату управления злоумышленниками. Это приведёт к сбоям в нефтяной, химической, атомной отраслях, может нарушить железнодорожное сообщение и оставить города без воды и электричества.
Это первая дыра в безопасности, обнаруженная за всю историю существования крупномасштабной распределенной системы управления и оценки данных.

Уязвимость кроется в сервере OLE for Process Control (OPC), работающих под Windows. Программное обеспечение неверно обрабатывает серверные управляющие указатели, что позволяет подвесить систему через сеть. Недавно Neutralbit обнаружила и опубликовала информацию о пяти уязвимостях в OPC.

Заявления о потенциальной уязвимости жизненно важных инфраструктур делались и ранее. Президент Errata Security Роберт Грэм (Robert Graham) в прошлом году выпускал доклад о возможных угрозах инфраструктуре из Сети, где назвал SCADA «полностью открытой для атак, в особенности OPC».

Грэм описал приложения OPC Windows как трансляторы между базовыми сервисами и вспомогательными протоколами, которые проводят мониторинг и управление коммутаторами, заглушками, термометрами, датчиками и регуляторами давления и другими физическими устройствами. «Эти вспомогательные протоколы зачастую написаны по стандартам, принятым до выхода Windows… Они ужасно ненадёжны, потому что в отрасли SCADA очень немногие имеют понятие о таких угрозах, как, например, переполнение буфера», - сказал он. В момент разработки стандартов этот распространённый ныне вид атак практически не применялся в Сети. Грэм утверждает, что уязвимость в SCADA можно найти за пять минут. "

Информация с сайта securitylab.ru .

[Zorkiy]

Цитата:

Уязвимость при обработке анимированного курсора в Microsoft Windows
30 марта, 2007

Программа:
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Storage Server 2003
Microsoft Windows Vista

Опасность: Критическая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за неизвестной ошибки при обработке анимированных курсоров (.ani файлов). Удаленный пользователь может с помощью специально сформированной Web страницы или email сообщения выполнить произвольный код на целевой системе.

URL производителя: www.microsoft.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Источник:

• Vulnerability in Windows Animated Cursor Handling (935423)

Ссылки:

• http://blogs.technet.com/msrc/archive/2007/03/29/microsoft-security-advisory-935423-posted.aspx

UPD: появился паблик сплойт (или уже несколько).

© securitylab.ru

Просто жесть.

[Zorkiy]

Майкрософтовцы вчера внепланово выпустили заплатку KB925902, закрывающую безобразие с анимированными курсорами - см. предыдущий пост. Также это обновление устраняет несколько других уязвимостей в GDI. Security Bulletin можно почитать здесь, на английском.

Дырка серьезная, и сплойты гуляют вовсю. Дружно обновляемся.

[Gr@nd@d]

Второй сервис пак для 2003-го сервера
Пропустив в марте очередной "день патчей", Microsoft, между тем, без
особого шума выпустила второй сервис пак для 2003-го сервера. Обновление включает в себя все последние исправления, плюс некоторые усовершенствования - улучшенную консоль управления, новый парсер XML, удучшенную поддержку IPSec, Wi-Fi Protected Access 2 (WPA2) и т.п.
источник

Похоже, систему активации Висты все-таки обошли.
Как обычно, подвело стремление угодить крупным вендорам. Как выяснилось, крупные поставщики железа (такие как Asus, HP, Dell и т.п., так называемые Royalty OEMs) получили возможность распространять свои компьютеры с предустановленной Вистой, не требующей активации. Механизм SLP 2.0 (System Locked Pre-installation 2.0) предполагает наличие в BIOS таблицы ACPI_SLIC, содержащей индивидуальный маркер, опознаваемый системой лицензирования Висты. Дальше нужен соответствующий OEM-сертификат и ключ продукта (опять-таки привязанный лишь к производителю). Разумеется, сразу после этого (примерно в середине февраля) появились и рецепты приведения биосов в вид, подходящий для такой регистрации, и все нужные сертификаты и ключи. Однако ручная правка своего биоса - довольно радикальный шаг, на который способны отважиться далеко не все. Впрочем, более человечное решение не заставило себя долго ждать - с конца прошлой
недели по сети стал расходиться Paradox OEM BIOS Emulation Toolkit,
основная идея которого - установка драйвера-эмулятора, обманывающего систему лицензирования путем подпихивания ей "правильной" ACPI-информации. Также доступно и второе решение, использующее ту же идею, но немного другую реализацию - встраивание в процедуру загрузки системы, правку нужной информации в памяти "на лету" и возобновление загрузки системы. Прелесть этого подхода в том, что он, видимо, спокойно пройдет Windows Genuine Advantage Validation Check - вряд ли MS будет блокировать сертификаты и ключи, розданные крупнякам. Возможно, через некоторое время MS начнет опрашивать ACPI-информацию не только в процессе регистрации, что потребует постоянного присутствия эмуляторов, потом MS научится опознавать
их присутствие, в ответ те возьмут на вооружение технологии руткитов, там появится еще что-нибудь, старая добрая борьба снаряда и брони. Впрочем, многих вполне устроит и простая установка системы без обновлений. Скорее всего, в ближайшее время появятся образы подправленных дистрибутивов, в которых процедура установки эмулятора вообще не потребует никаких усилий со стороны пользователя. Фактически вся новая система активации пошла коту под хвост только из-за того, что захотелось опять сделать кого-то чуть более равным, чем остальные.
источник

Новый класс атак на встраиваемые устройства
Исследователь из Juniper Networks Барнаби Джек (Barnaby Jack) рассказал о планах демонстрации атаки на встроенные устройства, использующие микропроцессоры ARM и XScale. По его словам, архитектура этих процессоров допускает гарантированно работающую возможность удаленного запуска произвольного кода. Проблема заключается в интерфейсе JTAG (Joint Test Action Group), который
обычно используется для отладки. Он оказался незаблокированным в 90%
рассмотренных систем - во-первых, для сохранения возможности диагностики, во-вторых, поскольку его блокировка зачастую оказывается слишком дорогой. Потенциальные последствия - утечка информации из мобильных телефонов, атаки на маршрутизаторы и прочие мелкие радости.
источник

[Gr@nd@d]

MS выпустила исправление ряда серьезных уязвимостей в GDI

Microsoft решила в очередной раз нарушить график выпуска ежемесячных обновлений и выпустила бюллетень, исправляющий ряд уязвимостей в GDI, приводящих к исполнению удаленного кода (основной виновник, конечно, недавно обнародованная уязвимость в модуле обработки анимированных курсоров, которую уже вовсю стали использовать). Подвержены все поддерживаемые операционные системы - от Windows 2000 SP4 до Висты. Обновление крайне рекомендуется. Правда, пользователи XP могут получить в результате проблему с вылетающей при старте Realtek HD Audio Control Panel. Патч этой ошибки уже выпущен, но для свободного скачивания пока недоступен, требуется обращение в поддержку MS.

Источник: MS Security Bulletin MS07-017

Алекс Ионеску выложил в открытый доступ утилиту,
позволяющую произвольно устанавливать флажок защищенности на любые процессы в Висте. Вообще, защищенные процессы - новый тип процессов, появившихся в Висте в первую очередь для расширенной поддержки DRM (Digital Rights Management). Обычный процесс не может проводить над защищенным такие операции как внедрение потоков, доступ к виртуальной памяти, отладку и т.п. Исполняемые файлы, загружаемые в исполняемый процесс, должны быть подписаны с помощью
сертификата, полученного от Microsoft. Идея заключается, видимо, в том,
чтобы помешать злобным хакерам раздраконивать плейеры/драйверы/кодеки DRM-контента, вытаскивая из них секретные ключи либо просто обходя защиту и вытаскивая искомое HD-видео, или что там еще проигрывается. Однако выяснилось, что не составляет особого труда выставлять/снимать заветный флажок для запущенных процессов. Побочный эффект - возможность создания всевозможных вирусов/троянов/руткитов, недоступных для анализа антивирусами, неспособными воспроизвести этот трюк.

Источник: Alex Ionescus Blog

[Gr@nd@d]

Апрельская серия патчей от Microsoft в деталях

Выпущена апрельская пачка обновлений от компании Microsoft. На этот раз выпущены 5 критических обновлений (MS07-017 - MS07-021) и одно - важное - MS07-22.

Обновления касаются исключительно всех операционных систем, в том числе и недавно вышедшей Vista, которая, напомним, позиционировалась Microsoft, как самая защищённая операционная система. Бюллетень MS07-017 описывает уязвимость в библиотеке обработки графических изображений GDI - cобственно, сам патч латает дыры в обработке множества форматов - WMF, EMF, те самые курсоры (.ANI). Использование уязвимости может позволить выполнить произвольный код в системе с наивысшими полномочиями.

Бюллетень MS07-018 описывает уязвимость в службе CMS - Microsoft Content Management Server. Уязвимость связана с некорректной обработкой определённого вида HTTP-запросов и позволяет выполнить произвольный код в системе. Уязвимы версии Microsoft Content Management Server 2001 Service Pack 1, 2002 Service Pack 2. Бюллетень MS07-019 описывает уязвимость в сервисе UPnP (Universal Plug and Play), возникающей при обработке определённого вида HTTP-запросов и позволяющей выполнить произвольный код в системе. Бюллетень MS07-020 описывает уязвимость в Microsoft Agent, которая возникает при обработке специальном образом сформированного URL браузером. Для временного отключения уязвимости через реестр приведён перечень рекомендаций, связанных с установкой определённых CLSID в ветке HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX. Бюллетень MS07-021 описывает уязвимость в службе Windows Client/Server Run-time Subsystem (CSRSS), которая связана с некорректной обработкой сообщений об ошибках. Все выше перечисленные уязвимости носят удалённый характер и могут привести к исполнению произвольного кода в системе. И, наконец, бюллетень MS07-022 описывает уязвимость в ядре Windows, наличие которой позволяет повысить привилегии в системе. Уязвимость связана с некорректными полномочиями, выставляемыми на сегменты разделяемой памяти ядра.

Источник

[Псих]

DoS-атаки теряют популярность
Согласно результатам исследования, проведенного специалистами компании Symantec, во второй половине прошлого года наблюдалось значительное снижение количества DoS-атак.

При традиционной DoS-атаке (denial of service) сеть компьютеров-зомби, контролируемых злоумышленниками, используется для генерации и отправки жертве многочисленных запросов. Как следствие, сервер-мишень, не справившись с огромным количеством данных, отказывается обслуживать пользователей. Киберпреступники под угрозой проведения длительных DoS-атак зачастую вымогают деньги у крупных компаний и организаций.

Однако, отмечают в Symantec, в последнее время потенциальная прибыль, которую злоумышленники могут получить за счет проведения DoS-атак, не оправдывает возможные риски. Дело в том, что длительные DoS-атаки облегчают процесс идентификации отдельных узлов бот-сети и центрального координационного сервера. В результате, киберпреступники могут лишиться либо части, либо всей своей сети зомбированных машин. К тому же многие потенциальные жертвы наотрез отказываются платить деньги хакерам и обращаются за помощью в службы безопасности.

Специалисты Symantec подчеркивают, что в последние месяцы прошлого года киберпреступники стали реже использовать бот-сети для проведения DoS-атак, переключившись на рассылку спама. Этот вид деятельности оказывается более прибыльным и менее рискованным. Кстати, согласно недавнему отчету Sophos, за прошедший год объем мусорной корреспонденции, пересылаемой в интернете, вырос на 4,2%. Эксперты Symantec также отмечают увеличение количества спама во второй половине 2006 года.

_http://www.securitylab.ru/news/295395.php

[Gr@nd@d]

Информацию о владельцах российских сайтов скоро засекретят.

Информация о владельцах российских сайтов может быть полностью засекречена уже в ближайшие месяцы. Сейчас на сайте РосНИИРОСа по базе WhoIs можно найти имя и контактный телефон владельца любого сайта в Рунете. Но так будет не всегда. Согласно закону "О персональных данных", вступившему в силу 30 января 2007 года, требуется письменное согласие каждого человека на включение его личных данных в общедоступные базы. Саму базу WhoIs РосНИИРОС должен привести в соответствие с законом лишь к 1 января 2010 года. Но российские регистраторы хотят дать владельцам сайтов возможность скрыть себя уже через несколько месяцев.

Источник

[Gr@nd@d]

Майские обновления от MS

На этот раз семь критических обновлений, включая долгожданное исправление уязвимости в DNS-сервере, плюс исправления уязвимостей в Office, Word, Excel, Exchange и Cryptographic API Component Object Model, а также кумулятивное обновление IE. Все исправленные уязвимости способны привести к удаленному исполнению кода.
Вместе с заплатками Microsoft планирует представить обновленную версию инструментария Windows Malicious Software Removal Tool, предназначенного для поиска наиболее распространенных вредоносных программ. Кроме того, Microsoft выпустит ряд обновлений, не связанных с безопасностью.

источник: Microsoft Security Bulletin Summary


Фонд защиты гласности опубликовал полученный ответ на свой запрос к Федеральной службы по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия.

В ответе указывается, что в случае отсутствия добровольной регистрации как СМИ интернет-сайты не могут рассматриваться как средства массовой информации: "Интернет-сайт приобретает статус средства массовой информации лишь в силу его добровольной регистрации в таком качестве, а не в силу его правовой природы ... Создание и ведение Интернет-сайта без его регистрации не содержит признаков административного правонарушения, предусмотренного
ст. 13.21 КоАП Российской Федерации".

источник

[Gr@nd@d]

Обнаружен вирус, использующий для распространения систему обновления Windows

Специалист по информационной безопасности Френк Болдевин обнаружил вирус, использующий службу обновления Windows для загрузки компонентов троянской программы, благодаря чему вирус обходит сетевые экраны.

Вирус распространяется по электронной почте. После запуска программы инфицируется служба Background Intelligent Transfer Service (BITS), отвечающая за установку обновлений операционной системы. С помощью этой службы в дальнейшем осуществляется скачивание остальных компонентов вредоносной программы со сторонних сайтов.

Интернет-соединения BITS пропускаются встроенным в Windows сетевым экраном и большинством подобных программ сторонних разработчиков, обеспечивая таким образом беспрепятственное заражение компьютера.

Это первый случай заражения службы обновлений Microsoft Windows. Однако, заражение компьютера вирусом напрямую зависит от действий пользователя - без запуска вируса вручную BITS не может быть инфицирована. Тем не менее, представители Microsoft сообщили, что уже работают над обновлением для системы безопасности операционной системы.

Источник

[Gr@nd@d]

Новый ANI-троян для Windows: полный «захват» ОС

Исследовательская лаборатория TrendLabs компании Trend Micro сообщает о появлении нового трояна, загружающегося из интернета вместе с анимированными курсорами.

Популярные сейчас анимированные курсоры можно бесплатно скачать в интернете, однако вместе с курсором на компьютер может быть установлено вредоносное ПО. В качестве примера можно привести недавно обнаруженный Trend Micro эксплойт нулевого дня TROJ_ANICMOO.AX, загружающийся вместе с анимированным курсором. Новая угроза представляет собой .ANI-файл, который попадает в систему из Сети.

Троян TROJ_ANICMOO.AX использует уязвимости, с которыми при использовании форматов анимированных курсоров и значков сталкиваются Windows 2000, XP, Server 2003 и Vista. Злоумышленники могут приводить в действие эту уязвимость, создавая курсоры или файлы значков, удаленно приводящие в действие вредоносный код после того, как пользователь посетил зловредный сайт или открыл специально созданное электронное письмо. Затем троян получает доступ к определенному сайту, чтобы запустить файл, определяемый TrendLabs как TROJ_SMSLL.DRF.

Злоумышленники, у которых получается использовать эту уязвимость ОС, получают полный контроль над пораженной системой. Код эксплойта для этой уязвимости публично доступен, и злоумышленники активно его используют. Уже обнаружено более 450 сайтов, на которых находятся эксплойты. Подробный список этих URL можно найти на сайте Trendmicro.com.

Чтобы избежать заражения, Trend Micro рекомендует как пользователям, так и системным администраторам скачать недавнее обновление Microsoft для этой уязвимости из Microsoft Security Bulletin MS07-017.

источник

[Псих]

Подарок от YouTube
На видеохостинге YouTube, щелкнув по привычному значку, обозначающему ролик, пользователь рискует запустить троян. В окне браузера по умолчанию откроется размещенный на YouTube видеоклип "After World Episode 6". Во время просмотра ролика программа в фоновом режиме подключается к серверу в Вашингтоне и подгружает дополнительные модули. По окончании загрузки происходит сбор и отправка конфиденциальных данных пользователя злоумышленникам. Сотрудники компании, обнаружевшей вирус, подготовили видеоролик, ярко демонстрирующий действие вируса, и выложили его на YouTube. Они предполагают, что вирус распространяется через электронную почту и ссылки в интернет-пейджерах. Сообщает "Вебпланета".

klerk.ru

[Gr@nd@d]

DoS-уязвимость в Cisco IOS позволяет отключать провайдеров от Сети

В операционной системе Cisco IOS, используемой в сетевом оборудовании Cisco, обнаружена уязвимость к отказу (DoS) в обслуживании, позволяющая перезагрузить маршрутизатор и при неоднократной атаке отключить сегмент сети от внешнего мира.

Уязвимость обнаружена в версиях ОС 12.x, включая различные модификации 12.4. Маршрутизатор перезагружается, если атакующий введёт с консоли команду «show ip bgp regexp» со специально сформированным регулярным выражением (regexp). Провайдеры предоставляют общедоступные серверы маршрутизации с интерфейсом доступа через telnet или веб-интерфейс Looking Glass, представляющий собой интерфейс к telnet. Там можно ввести команду, которая вызовет уязвимость.

Крупные провайдеры не используют серверы, предоставляющие информацию, для маршрутизации. Однако небольшие провайдеры уязвимы - они ради экономии средств используют одно устройство для маршрутизации и отображения информации.

Уязвимость пока не устранена. В качестве временного решения Cisco советует включить движок обработки регулярных выражений «Deterministic Regular Expression Engine», что исключит возникновение отказа в обслуживании.

источник

Свежая критическая уязвимость в Windows: выполнение кода

Критическая уязвимость, позволяющая злоумышленнику выполнить произвольный код при посещении пользователем веб-страницы с эксплоитом, обнаружена в ActiveX-компоненте Microsoft DirectX SDK 6. Уязвимость открыл польский исследователь Кристиан Клосковски (Krystian Kloskowski).

ActiveX-компонент Live Picture Corporation не проверяет длину свойства SourceUrl, переданного пользователем, перед тем как скопировать значение этого свойства в буфер фиксированного размера. В результате, данные накладываются на другие структуры в памяти, и соответствующий код, встроенный в значение, выполняется. Исследователи уже опубликовали эксплоит, который содержит машинный код, запускающий "Калькулятор" Windows при посещении пользователем вредоносной веб-страницы.

источник

[Gr@nd@d]

Спамеры и черви: Postfix под двойным «ударом»

Уязвимость высокой степени критичности обнаружена в модуле защиты почтового сервера от спама Postfix policyd. Она позволяет атакующему выполнить произвольный код в системе или вызвать отказ в обслуживании при помощи вредоносных команд, отправляемых на SMTP-сервер. Как сообщает Heise-security.co.uk, администраторы Postfix также жалуются на перегрузки, вызванные волной спама с захваченных компьютеров со скоростным доступом.

Одна из функций антиспамерского модуля содержит ошибку, приводящую к переполнению буфера. Функция не проверяет длину входного параметра перед копированием его в буфер фиксированного размера. В результате содержимое входного параметра перекрывает другие структуры данных, расположенные в памяти. При отправке злоумышленником очень длинных SMTP-команд происходит перезапись других областей памяти приложения. Это приводит или к аварийному завершению сервера, или к выполнению машинного кода, скрытого в длинной команде. Уязвимость может быть использована автоматически, например, червем. Разработчики исправили ее в версии 1.81.

Помимо уязвимости, серверы Postfix на прошлой неделе испытывали проблемы с производительностью из-за некорректных действий спамерских модулей, рассылающих корреспонденцию с захваченных компьютеров. По словам эксперта Postfix Ральфа Хильдебрандта (Ralf Hildebrandt), проблема может вызвать значительные перебои с доставкой почты. Спамерские модули, получив отказ от сервера, не завершив корректно соединение, отключаются и заставляют сервер ждать некоторое время. Впрочем, как утверждает разработчик Postfix Витсе Венема (Wietse Venema), проблема устраняется при помощи правки настройки, ускоряющей отключение.

Источник

[Gr@nd@d]

Microsoft активировала "черный экран"

Microsoft разослала письмо крупным дистрибьюторам Висты, в котором известила об активации с этой недели функции "усеченной функциональности" (Reduced Functionality). Отныне пиратские копии системы через час после начала работы будут являть пользователю черный экран без таскбара, стартового меню и десктопа.

источник

Пузырьковый червь атакует Skype

Очередной червяк (w32/Ramex.A по версии Skype, он же W32/Skipi.A по версии FSecure, он же W32.Pykspa.D) атакует пользователей Skype, отключая по пути защитные программы и пытаясь блокировать сайты их производителей, добавляя записи в hosts. Зараженная система начинает рассылать сообщения другим пользователям, предлагая им щелкнуть по линку, который выглядит как безобидный JPEG. Если после этого щелчка вы видите картинку с мыльными пузырями, есть неслабый шанс, что вы заразились. При рассылке текста червь проверяет языковые настройки и переводит свои сообщения на ряд языков, включая латышский, русский и английский. Отдельную головную боль для администраторов, пытающихся бороться с распространением червя, представляет сама p2p-шная идеология Skype, с помощью которой ему удается просачиваться через малейшие щели, постоянно меняя используемые порты и шифруя трафик. Это приводит к тому, что червь можно обнаружить только после его успешного проникновения. Skype пытается бороться с распространением червя...

источник

[Gr@nd@d]

Microsoft обновляет Windows без согласия пользователя

Компания Microsoft начала обновлять файлы на компьютерах под управлением Windows XP и Vista даже при выключенной функции автоматического обновления. Скотт Данн (Scott Dunn), редактор рассылки новостей «Windows Secrets», заявил, что «девять файлов в XP и Vista были изменены Windows Update без уведомления».
«Мы начали получать от читателей информацию, о том, что ночью Windows изменяет файлы, даже если Windows Update отключен», говорит Данн. На некоторых компьютерах журналы событий показали дату, когда начались эти обновления – 24 августа, на одном из личных компьютеров Скотта Данна журнал показал изменения происходившие на этой неделе.

Данн выявил изменения следующих файлов, в Vista: wuapi.dll, wuapp.exe, wuauclt.exe, wuaueng.dll, wucltux.dll, wudriver.dll, wups.dll, wups2.dll и wuwebv.dll, в XP SP2: cdm.dll, wuapi.dll, wuauclt.exe, wuaucpl.cpl, wuaueng.dll, wucltui.dll, wups.dll, wups2.dll и wuweb.dll.

Брайан Ливингстон (Brian Livingston), основатель и директор редакции рассылки новостей «Windows Secrets», отметил: «Многие компании весьма чувствительны к изменениям на их ПК, и хотя нет абсолютно никаких признаков какого-либо злого умысла со стороны Microsoft, люди могут иметь много проблем из-за этого».

источник

[Gr@nd@d]

Перехват почты в GMail

Неутомимый Петко Петков на этот раз добрался до GMail. Заманив жертву на свой сайт, атакующий может отправить специально сформированный POST-запрос к одному из интерфейсов GMail, что (если пользователь включил запоминание паролей либо в этот момент залогинен) приведет к установке в почтовом ящике жертвы произвольного фильтра, например, переправляющего всю входящую почту по указанному адресу. Разумеется, фильтр останется работать до тех пор, пока пользователь не соберется посмотреть список своих фильтров (что многие делают не слишком часто). Детали уязвимости пока не публикуются.