hoaxer

Grupa hakerów zaatakowała stronę internetową brazylijskiej armii www.exercito.gov.br. Komputerowi piraci zostawili na stronie informację, że rząd brazylijski ma przeprowadzić rekrutację młodych mężczyzn (roczniki 1982 i 1983) i wysłać ich na wojnę w Afganistanie.

Otrzymaliśmy informację o włamaniu, nasi eksperci próbują ustalić, co się stało. Powoli wszystko wraca do normy – poinformował agencję EFE rzecznik brazylijskiej armii Santos.

Hakerzy, którym udało się dokonać ataku na stronę armii, należeli do grupy MiH (Men in Hack). Wg serwisu Folha OnLine grupie udało się już wcześniej podmieniać różne strony w Brazylii, m.in. Uniwersytetu w Minas Gerais.

Od czasu odkrycia robaka Nimda, 18 września 2001, wykryto 5 nowych modyfikacji tego robaka sieciowego. Niektóre z nich zostały wykryte „na wolności” lecz na szczęście żadne nie spowodowały epidemii na miarę tej rozpętanej przez pierwotną wersję robaka.

Nimda.a

Oryginalny robak odkryty został 18 września 2001 r. Nimda wnika do systemu na kilka różnych sposobów. Przede wszystkim poprzez pocztę elektroniczną – zainfekowana przesyłka w formacie HTML, zawierająca kilka osadzonych obiektów, przedostaje się do docelowego komputera. Podczas przeglądania tej przesyłki jeden z nich (plik README.EXE, ok. 57 KB) jest automatycznie uruchamiany bez wiedzy użytkownika. By tego dokonać robak wykorzystuje lukę w zabezpieczeniach programu Internet Explorer wykrytą w marcu tego roku.

Drugim sposobem na wtargnięcie „Nimdy” do systemu jest wykorzystanie wspomnianej wcześniej luki w zabezpieczeniach, podczas przeglądania zainfekowanych stron WWW. Jeżeli na takiej stronie znajduje się szkodliwy program Java, pobiera on i uruchamia „Nimdę” na odległym komputerze klienta.

Trzecim źródłem ataku „Nimdy” jest sieć lokalna. Robak skanuje wszystkie dostępne zasoby sieciowe i zostawia na nich tysiące swoich kopii. Celem tych działań jest nadzieja twórcy robaka, że użytkownik po znalezieniu takiego pliku sam zainfekuje swój komputer. Poza infekowaniem stacji roboczych „Nimda” posiada jeszcze jedną funkcję: atakuje serwery Microsoft Internet Information Server (IIS). Wykorzystuje w tym celu lukę w zabezpieczeniach IIS zwaną Web Server Folder Traversal (została ona opisana w biuletynie informacyjnym firmy Microsoft).

Nimda.b

Nieco zmodyfikowana wersja oryginalnego robaka, „spakowana” narzędziem PCShrink. Nazwy plików README.EXE oraz README.EML zostały zastąpione nazwami PUTA!!.SCR oraz PUTA!!.EML.

Nimda.c

Jest to dokładna kopia oryginalnego robaka „Nimda” lecz „spakowana” narzędziem UPX.

Nimda.d

Nieco zmodyfikowana wersja oryginalnego robaka, skompresowana narzędziem PECompact. Jedyna różnica w stosunku do oryginalnego robaka, to tekst o prawach autorskich. Oryginalny tekst zastąpiono łańcuchem znaków: HoloCaust Virus.! V.5.2 by Stephan Fernandez.Spain.

Nimda.e

Ta przekompilowana wersja „Nimdy” posiada kilka poprawionych i zoptymalizowanych procedur. Ten wariant został znaleziony „na wolności” pod koniec października 2001 r. Główne różnice w stosunku do oryginalnego robaka to:

Załączony plik ma nazwę : SAMPLE.EXE (zamiast README.EXE)
Pliki DLL : HTTPODBC.DLL i COOL.DLL (zamiast ADMIN.DLL)
Oryginalny tekst o „prawach autorskich” zastąpiono łańcuchem znaków:
Concept Virus(CV) V.6, Copyright(C)2001, (This’s CV, No Nimda.)

Nasi zachodni sąsiedzi przyłączają się do amerykańskiej elektronicznej wojny z terroryzmem i ograniczają prywatność i poufność kontaktów obywateli.

Rząd Niemiec zaaprobował właśnie przepisy umożliwiające podsłuchiwanie korespondencji elektronicznej do celów „walki z terroryzmem i innymi poważnymi przestępstwami”.

Dotyczą one tradycyjnych telefonów przewodowych, bezprzewodowych GSM, faksów, SMS-ów oraz e-maili. Rozporządzenie dotyczy także firm udostępniających stałe łącza internetowe DSL. Dostawcy tych usług będą musieli zainstalować i utrzymywać systemy umożliwiające odpowiednim służbom śledzenie korespondencji swych klientów.

Zmiana niemieckiej polityki spowodowana została atakami terrorystycznymi w USA 11. września i obawą, aby nic podobnego nie wydarzyło się w ich kraju. Większość Niemców podziela opinię swych władz, iż utrudni to życie przestępcom. Nie wszyscy jednak są zachwyceni. Niektórzy uważają, że może to posłużyć po prostu do kontrolowania swobody wypowiedzi, czego obywatele tego kraju już doświadczyli już w swej historii. Skupiająca niemieckie firmy telekomunikacyjne organizacja BITKOM w oficjalnym oświadczeniu stwierdziła, iż „jest to jednak jedyny akceptowalny kompromis pomiędzy bezpieczeństwem, a względami technicznymi i ekonomicznymi monitorowania sieci telekomunikacyjnych i Internetu”.

Podobne regulacje weszły już w ostatnim czasie w życie w Stanach Zjednoczonych, Wielkiej Brytanii i Francji. Zawsze tłumaczone są one względami „antyterrorystycznymi”.

I-Worm.Pila jest to robak internetowy mający postać skryptu napisanego w języku programowania VBS. Szkodnik rozsyła się przy użyciu programu MS Outlook w postaci zainfekowanych wiadomości e-mail oraz dodaje konia trojańskiego do plików klienta mIRC.

Po uruchomieniu skrypt robaka tworzy plik platonico.txt, zapisuje do niego poniższy tekst i otwiera plik przy użyciu notatnika (NOTEPAD.EXE):

Satânico é o meu pensamento ao teu respeito e ardente é o meu desejo de apertar-te em minhas mãos, uma sede de vingança incontestável pelo que me fizeste ontem.

A noite quente e calma chegara a ser angustiosa. Apareceste e nesta cama aconteceu…
Sorrateiramente te aproximaste…
Sem o mínimo pudor…
Encostaste o teu corpo sem roupa no meu corpo nú.
Percebendo a minha aparente indiferença, aconchegaste-te a mim, e mordeste-me sem escrúpulos até os mais íntimos lugares jamais tocados de meu casto corpo. E adormeci…
Hoje, quando acordei, procurei-te numa ânsia ardente, mas em vão…” Deixaste provas irrefutíveis do que ocorreu na noite que passou.
Grandes manchas no meu corpo e o alvo lençol salpicado de sangue. Esta noite recolho-me mais cedo para, na mesma cama te esperar.
Oh! Quando chegares, nem quero pensar com que perspicácia, avidez e força eu quero te pegar para que não escapes mais de mim.
Em minhas mãos quero apertar-te até o fim.
Não haverá parte do teu corpo que os meus dedos não passarão.
Não descansarei enquanto ver sair o sangue quente de teu corpo.
Só assim livrar-me-ei de ti PULGA MALDITA.
Następnie robak kopiuje się do pliku %WINDOWS%\explorer.dll.vbs i modyfikuje plik SYSTEM.INI dzięki czemu uruchamia się wraz z każdym startem programu EXPLORER.EXE.

Kolejnym krokiem robaka jest uruchomienie procedury rozprzestrzeniającej, która wysyła zainfekowane wiadomości do wszystkich użytkowników zapisanych w książce adresowej programu MS Outlook. Wiadomości te wyglądają następująco:

Temat wybierany jest z poniższej listy:
Texto imperdível!
Texto muito engraçado!
O melhor texto que li nos últimos tempos…
Treść wiadomości:

…………………………………………
OlĄ!!
NŁo posso falar muito sobre o texto porque se nŁo perde a gra§a, © uma histãria de mor platänico… Achei muito engra§ado vale a pena!!
…. …. . ….. ….. …. . … …..
….. …. …. . . …. ….. ….
Do każdej wiadomości załączona jest kopia robaka.

Po zakończeniu replikowania się robak tworzy swoją kopię (plik Pulga.txt.shs) w katalogu głównym każdego dostępnego dysku.

Następnie szkodnik zmienia kilka plików klienta mIRC dodając do nich konia trojańskiego, który umożliwia zdalnemu użytkownikowi przejęcie kontroli nad zainfekowanym komputerem.

W zwiazku z pracami renowacyjnymi na serwerze lista.hacking.pl lista hackpl i linuxpl bedzie niedostepna przez ok. 2-3 dni. Prosimy nie wysylac postow poniewaz beda przychodzily zwroty.

Dziś w godzinach porannych „nieznani” sprawcy podmienili stronę główną serwisu hacking.pl. To kolejny dowód na to, że nie istnieje pojęcie „bezpiecznego systemu”. Przekonało się o tym już wielu czynnie korzystających z internetu. My natomiast postaramy się aby podobnych niespodzianek już nie było 😉

Kilka dni temu jeden z naszych redaktorów zamieścił autorską informację z serwisu organizacji Computer Emergency Response Team – cert.pl bez podania źródła wiadomości. W imieniu całej redakcji przepraszam za zaistniałą sytuację.

Dziś debiutują dwa nowe produkty Sun Microsystems: serwer V880 oraz przystosowany do pracy w ciężkich warunkach system Netra 20.

V880 – nowy serwer wyposażony w procesory UltraSparc III, dotychczas znany pod nazwą kodową Daktari – w najtańszej wersji z dwoma procesorami kosztuje około 29 tys. dolarów. System wyposażony w cztery procesory to już wydatek rzędu 49 tys. „zielonych”. Ceny konfiguracji ośmioprocesorowej jeszcze nie podano. V880 ma przyczynić się do wzrostu udziału serwerów UltraSparc III w obrotach Suna – w tej chwili wciąż najwięcej sprzedaje się systemów z układami UltraSparc II. Proporcje w sprzedaży serwerów tych dwóch typów mają się odwrócić w połowie przyszłego roku. Analitycy przewidują, że w tym właśnie czasie nastąpi ogólne ożywienie na rynku serwerowym.

Równocześnie z V880 do oferty Suna trafił system Netra 20. To wyposażone w dwa procesory urządzenie może pracować w trudnych warunkach: jest odporne na wysokie i niskie temperatury, dym oraz wysokie napięcie. Przeznaczone jest na rynek telekomunikacyjny. Cena – w zależności od konfiguracji – wynosi od 11 do 20 tys. dolarów.

I-Worm.Nimda.d jest modyfikacją „popularnego” wirusa Nimda. Nowa wersja została wprowadzona do Internetu w ostatnich dniach października. Robak rozprzestrzenia się w formie skompresowanej (kompresor PECompact PE EXE), a jego rozmiar to około 27 KB.

Ze wstępnych badań wynika, że główną różnicą w porównaniu z oryginalnym robakiem jest zapisana w kodzie wirusa sygnatura autora, która w nowej wersji wygląda następująco:

HoloCaust Virus.! V.5.2 by Stephan Fernandez.Spain

W poniedziałek o 20.10 1TVP wyemituje dokument pt.: Hackers. Zazwyczaj tego typu programy traktują temat bardzo ogólnikowo… zobaczymy jak będzie tym razem 😉