Aby rozładować napiętą atmosferę powstałą w wyniku ostatnich włamów na liczne serwery zapraszamy do działu galeria gdzie można znaleźć kilka nowych obrazków 😉
Kolejny robak rozprzestrzeniający się za pośrednictwem poczty elektronicznej. Atakuje pliki Windows EXE. Robak obarczony jest błędami i w niektórych przypadkach zawiesza komputer lub niszczy zarażane pliki.
Kod robaka zawiera podpis jego autora:
(c)Vecna
Vecna is a punk rocker now…
Robak może dostać się do komputera z sieci lokalnej lub poprzez uruchomienie zainfekowanego pliku.
Gdy program zostanie uruchomiony, wybiera z pliku – nosiciela swój „czysty” kod (jego zasadnicza część to plik Win32 PE EXE o rozmiarze 9.5 KB), zapisuje go w katalogu TEMP systemu Windows z losowo wybraną nazwą (na przykład LNBAMKON.EXE, MMCAAHAN.EXE) i uruchamia ten plik.
Gdy kod wirusa przejmie kontrolę nad komputerem, kopiuje swój plik (pierwsza kopia) do katalogu Windows i tworzy w nim odpowiadający mu klucz rejestru:
HKLM\SOFTWARE\Microsoft\ WindowsCurrentVersion\ Explorer\Shell Folders Common Startup = %startup%
Gdzie %startup% to nazwa w/w katalogu.
Następnie „mikrob” kopiuje swój kod (druga kopia) do pliku w katalogu %startup%, o nazwie złożonej z 9 losowo wybranych cyfr i z rozszerzeniem EXE, na przykład 00544102.EXE
Następnie robak uruchamia tę kopię w katalogu startowym i usuwa pierwszą wersję z katalogu tymczasowego.
Z powodu błędów zdarza się, że powyższy proces ulega przerwaniu i pierwsza kopia pozostaje w katalogu TEMP.
Gdy proces „wędrówki” plików jest zakończony, robak instaluje mechanizm ukrywania i rozpoczyna ataki na inne systemy, wysyłając wiadomości e-mail.
Mechanizm infekowania polega na wyszukiwaniu wykonywalnych plików Windows EXE i SCR, umieszczonych na lokalnych oraz sieciowych dyskach, a następnie infekowaniu ich. Proces ten polega na pobieraniu blok kodu z zarażanego pliku, kompresji jego fragmentu, dołączeniu kodu wirusa wstawieniu na powrót do „ciała” ofiary. W ten sposób wielkość infekowanego pliku przed i po zarażeniu nie wzrasta.
Robak wykorzystuje mechanizm mutacji polimorficznych, co sprawia, że jest on trudniejszy do wykrycia i wyleczenia.
Aby się rozprzestrzeniać robak łączy się z serwerem poczty SMTP i wysyła zarażone wiadomości wykorzystując adresy z książki adresowej Windows. Zarażona wiadomość ma format HTML o następujących parametrach:
Od: „Mondo bizarro”
Temat: Joey is dead, man… 🙁
Treść: A tribute to Joey Ramone (1951-2001)
Załącznik: ramones.mp3.exe
Robak wykorzystuje jedną z luk w zabezpieczeniach systemu MS Windows, odnalezioną w roku 2001. W rezultacie możliwe jest uruchamianie załącznika EXE bez wiedzy użytkownika. Gdy zarażona wiadomość e-mail jest otwierana do czytania lub przeglądania, robak automatycznie uruchamia plik EXE. Naprawiającą ten błąd „łatę” można pobrać z witryny Microsoftu.
Aby się ukryć, robak przejmuje wywołania systemu Windows FindFile i FindProcess (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Dzięki temu „zabiegowi” jego pliki nie są widoczne na liście procesów działających w systemie
Na mocy porozumienia z firmą Symantec trenerzy firm Centrum Edukacyjne EduSoft i Symantec przedstawią produkty i technologie wykorzystywane przy zabezpieczaniu dostępu i filtracji danych w sieciach komputerowych organizując cykl bezpłatnych seminariów zatytułowanych „Proaktywne i reaktywne mechanizmy zabezpieczeń w sieciach komputerowych”.
Głównymi tematami będą:
1. Bezpieczeństwo transmisji w sieci MS Windows 2000
2. Profilaktyka bezpieczeństwa i analiza ryzyka w sieci komputerowej
3. Wykrywanie agresji i kontrola dostępu do zasobów internetowych
Bezpłatne seminaria odbędą się na spotkaniach w pięciu miastach Polski: w Warszawie (28 maja), Wrocławiu (29 maja), Poznaniu (30 maja), Gdańsku (31 maja) i Katowicach (20 czerwca).
Szczegółowe informacje na ten temat można znaleźć pod adresem www.edusoft.pl
Informatycy z UOP’u opracowali nowe zabezpieczenia pozwalające na swobodną wymianę informacji. Prawdopodobnie właśnie ten system szyfrowania danych przesyłanych pocztą elektroniczną zostanie zaaprobowany przez wszystkie kraje członkowskie NATO. Jest to ogromne wyróżnienie dla Polski gdyż obecne rozwiązanie jest znacznie bardziej zaawansowane od podobnych stosowanych w USA czy Niemczech.
Firma Microsoft, w ramach intensywnych prac prowadzonych nad udoskonaleniem Internet Explorer 6, którego premiera ma nastąpić razem z nowym systemem operacyjnym Windows XP, udostępnił testerom kolejną wersję beta przeglądarki, oznaczoną symbolem build 2463.52.
Najistotniejsze zmiany dotyczą funkcji ochrony prywatności internauty oraz krytykowanego paska Personal Bar, który nie spełnił oczekiwań użytkowników poprzedniej wersji beta. Personal Bar miał zapewniać dostęp do różnego rodzaju serwisów internetowych (aktualności, prognozy pogody). Zawierał zintegrowany z przeglądarką odtwarzacz multimedialny. Użytkownicy uznali jednak, że dodawanie tego rodzaju funkcji jest jedynie komplikowaniem programu. Dla nich ważniejsza jest prostota obsługi. W efekcie pasek Personal Bar został zastąpiony Media Bar. Prawdopodobnie z ostatecznej wersji przeglądarki zostanie usunięta również funkcja Contacts, która umożliwiała szybkie przejście do książki adresowej Outlook Express (uznano ją za mało przydatną).
Niejasny jest również przyszły sposób dystrybucji Internet Explorer 6. Nie wiadomo, czy będzie to samodzielny produkt, czy zostanie udostępniony jedynie z systemem operacyjnym Windows.
Firma BlueSocket opublikowała specyfikację urządzenia, które stanowi koncentrator dla sieci bezprzewodowych działających w standardach Bluetooth oraz IEEE 802.11b, włączający je do sieci Ethernet.
Koncentrator WB-1000 posiada kilka interesujących funkcji, m.in. posiada obsługę szeregu standardów uwierzytelnienia użytkowników jak hasła, karty mikroprocesorowe itp. oraz szyfrowania połączeń PPTP, L2TP oraz IPSec.
Cena tego urządzenie szacowana jest na ok. 5000 USD i jest prawdopodobnie pierwszym produktem na rynku, który w wyraźny sposób adresuje problemy z bezpieczeństwem wynikające ze stosowania sieci bezprzewodowych.
Już od dłuższego czasu trwa cyber-konflikt pomiędzy hackerami z Chin i Stanów Zjednoczonych. Jak się okazuje, Chińczycy deklarują chęć zawieszenia broni. Odpowiedź drugiej strony na tę deklarację nie jest znana.
Aktualnie ocenia się, że w trakcie konfliktu, który wybuchł po katastrofie chińskiego samolot i śmierci chińskiego pilota, chińscy hakerzy skutecznie zaatakowali około tysiąca amerykańskich serwerów internetowych. Druga strona konfliktu takżę z podobną liczbą wiąże swoje ataki na chińskie serwery.
Praktycznie trudno jest powiedzieć jaki był cel tego cyber-konfliktu. Krążął opinie, że cała ta sytuacja spowodował większą koncentrację na sprawach bezpieczeństwa teleinformatycznego w obydwu krajach, co w szczególności dotyczy Chin, gdzie poziom ten z pewnością jest znacznie niższy. Niektóre firmy aby nie podejmować ryzyka zdecydowały się na całkowite wyłączenie swoich serwerów na czas konfliktu. Jednak eksponowanie pozytywnych aspektów konfliktu, z których niewątpliwie należy skorzystać, nie powinno wpływać na ogólną negatywną ocenę tego przyadku.
Wirus Homepage zaatakował sieć komputerową Disneya w Orlando. Przedstawiciele firmy informują, że przed wirusem nie uchronił się praktycznie żaden komputer, a infekcja spowodowała wyłączenie komputerów w oddziale w Orlando na okres dwóch dni. Wirus zaatakował parki rozrywki, hotel a nawet systemy statku wycieczkowego.
Homepage, to kolejny wirus rozprzestrzeniający się przy wykorzystaniu poczty elektronicznej. Wirus ten opiera się na kodzie wirusu Kournikova, który pojawił się kilka miesięcy temu. Wraz z wirusem otrzymujemy wiadomość która ma następujący temat:
Hi! You’ve got to see this page. It’s really cool ;o).
W załączniku zawiera się plik „homepage.html.vbs” który powoduje rozesłanie kodu wirusa do wszystkich osób znajdujących się w książce adresowej ofiary. Jednocześnie otwarte zostają cztery witryny o treści pornograficznej co może zdecydowanie zakłopotać użytkownika otwierającego taki załącznik w miejscu pracy.
Wczoraj Sejm uchwalił obniżkę stawki VAT z 22% do 7% za dostęp do Internetu. Należy jednak jeszcze poczekać na decyzję senatu oraz prezydenta. Jeżeli zmiana wejdzie w życie, obniżone zostaną opłaty za połączenia z Internetem w sieciach stacjonarnych i komórkowych (również połączenia WAP). Obniżce powinny również ulec inne sposoby korzystania z Sieci (DSL, SDI, łącza dzerżawione, Neostrada…).
Przed kilkoma minutami zostaliśmy poinformowani o kolejnym włamie na jeden z serwerów tpsa, tym razem ofiarą padł oddział w Suwałkach – www.suwalki.tpsa.pl. Mirror jak zwykle w dziale hacked.