Stegdetect, bo tak nazywa się nowe narzędzie do automatycznego wykrywania i dekodowania danych, potrafi wykryć dane ukryte za pomocą innych popularnych narzędzi steganograficznych, takich jak JSteg, JPHide oraz wcześniejszej wersji samego OutGuess. Nie trzeba chyba dodawać, że możliwość wykrycia takich danych jest dość sporą wadą dla programów, których zadaniem jest ukrywanie informacji. Jednak według Provosa ostatnia wersja OutGuess nie poddaje się żadnej z przetestowanych przez niego analiz statystycznych.
Pojawił się nowy moduł, implementujący szyfrowanie urządzeń blokowych, na przykład dysku twardego lub CD-ROM przeznaczony dla Linuxa. Według autora Jari Ruusu, nowy moduł posiada kilka zalet w stosunku do stosowanej dotychczas łaty international kernel patch.
Moduł szyfruje urządzenia blokowe podmontowane za pomocą loop device, będącego standardowym elementem kernela Linuxa. Do szyfrowania używany jest algorytm AES-128, AES-192 lub AES-256, dla którego kluczem jest skrót SHA obliczony na pod�tawie podanego przez użytkownika hasła. Szyfrowanie kolejnych bloków danych na nośniku jest realizowane w trybie CBC (Cipher Block Chaining).
To rozwiązanie jest bezpieczne i wydajne, a jego największą przewagą nad innymi metodami szyfrowania całych systemów plików dostępnymi dla systemów unixowych jest prawdopodobnie wydajność – wykorzystanie loop device zmniejsza do minimum narzut czasowy w porównaniu do operacji na niezaszyfrowanym systemie. Najlepszą wydajność można osiągnąć konfigurując szyfrowane loop device na fizycznej partycji dysku, na którym następnie można założyć dowolny system plików. Wszystkie zapisywane bloki danych będą szyfrowane w sposób przezroczysty dla systemu plików, analogicznie ma się sprawa z odczytem.
Na stronie można znalezć wiele ciekawych informacji, w tym również nagrania części wystąpień w formacie RealAudio.
BSDi ogarnęła fala czarnych kłopotów. Ostatnio trzech głównych developerów Slackware zostali zwolnieni z pracy, a tym razem został wyłączony serwer ftp.freesoftware.com, przy okazji, na jego obsłudze nie działa również serwer ftp.slackware.com.
Panowie ze Slackware szukają teraz wolnego miejsca gdzie mogliby postawić swój serwer FTP. Sama dystrubucja również ucierpi na tym. Ukazanie się Slackware 7.2 prawdopodobnie jeszcze bardziej się opóźni.
Temat oraz treść wiadomości napisane są w języku rosyjskim. Nazwa załączonego pliku (PE EXE) to photo1.jpg.pif.
Przetłumaczona treść wiadomości wygląda następująco:
Witaj!
Otrzymałam Twój adres od naszego wspólnego znajomego. Od niedawna używam Internetu i jest to mój pierwszy list elektroniczny!!! Nasz wspólny przyjaciel powiedział mi, że jeśli będę miała jakieś pytania, mogę zwrócić się do Ciebie…
Jestem ładna i towarzyska. (Zobacz załączone zdjęcie) Czekam na Twoją odpowiedź!!! Napisz coś o sobie i co chciałbyś wiedzieć o mnie. Pa pa! :)))))))))
Sveta Kovaleva
Dodatkowo robak instaluje się w systemie i infekuje klika plików systemowych, jak również wysyła hasła i inne poufne informacje o zaatakowanym komputerze.
Aby ukryć swoje działanie, robak wyświetla obrazek przedstawiający dziewczynę.
Po uruchomieniu robak instaluje się w systemie na kilka sposobów. Po pierwsze, infekuje pliki MPLAYER.EXE, WINHLP32.EXE, NOTEPAD.EXE, CONTROL.EXE oraz SCANREGW.EXE zapisane w katalogu Windows.
Wirus zmienia rozszerzenia tych plików na .VXD, po czym kopiuje się na miejsce oryginalnych plików z rozszerzeniem .EXE.
Następnie umieszcza kilka swoich dodatkowych kopii: SCANREGW_EXE oraz LOADPE.COM do katalogu systemowego Windows oraz IFNHLP.SYS katalogu Windows. Plik LOADPE.COM jest umieszczany w sekcji auto-run rejestru systemowego:
HKCR\exefile\shell\open\command = LOADPE.COM
Podczas uruchamiania dowolnego pliku Win32 EXE jest on infekowany przez kopię wirusa.
Następnie plik SCANREGW.EXE jest umieszczany w sekcji auto-run rejestru systemowego:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices ScanRegistry = %SystemDir%\scanregw.exe
Robak wysyła z zainfekowanego komputera następujące informacje:
hasła i loginy umożliwiające zdalny dostęp do zaatakowanej maszyny;
hasła i loginy lokalnej sieci;
informacje o programach BCSoft NetLaunch, PySoft AutoConnect oraz CureFtp (jeśli są zainstalowane);
parametry systemowe programów Netscape i TheBat! (jeśli są zainstalowane);
listę serwerów ftp FAR (jeśli istnieje);
hasła FIDO ftp (jeśli istnieją);
konfigurację systemu i inne informacje systemowe.
Kolejny groźny, pasożytniczy wirus Win32, infekujący wykonywalne pliki PE EXE Win32. Podczas zarażania wirus dopisuje swój kod na końcu plików, w punkcie wejścia do programu umieszcza procedurę, która przekazuje mu kontrolę nad systemem. Ponieważ bakcyl posiada wiele błędów, zdarza się, że infekowane pliki ulegają zniszczeniu.
Gdy zarażony plik zostanie uruchomiony wirus wyszukuje pliki EXE w bieżącym katalogu i infekuje je. Następnie zaraża pliki NOTEPAD.EXE i CALC.EXE w katalogu Windows.
Wirus przejmuje funkcję Windows API CreateFileA i instaluje się w pamięci jako podproces zarażonej aplikacji. W wyniku tego wirus działa tylko wtedy, gdy zainfekowana aplikacja jest aktywna. Podczas otwierania zarażonej aplikacji aktywowany jest wirus, który wyszukuje wszystkie pliki .EXE w katalogu bieżącym i infekuje je.
Gdy zarażony program uruchomiony zostanie o 10:00 (według czasu systemowego), wirus umieszcza na dysku plik C:\NEO.BMP i rejestruje go w systemie jako tapetę pulpitu.
Pierwsza generacja wirusa wyświetla następującą wiadomość:
Win32.Neo Virus by [TiPiaX/VDS]
Miam ! I love PE files 😉
Niebawem powstanie nowa dystrybucja Linuksa Maximum Linux. Dystrybucja ta będzie pisana kompletnie od zera i nie będzie opierać się na istniejącej dotychczas. Czas pokaże jak zaprezentuje się ta dystrybucja w ogólnym zastosowaniu.
Bill Gates, założyciel Microsoftu nie zajmuje już pierwszego miejsca jako najbogatszy człowiek świata. Bowiem został on zdetronizowany przez S. Robson Waltona, którego majątek jest obliczany na 11 miliardów dolarów więcej. Na czas dzisiejszy Walton posiada 65 mld $
Tym razem jednak dotyczy ona Internet Explorera w wersji 5 i wyższych a także Outlook Express.
Wykryta usterka pozwala, nawet przy wyłączonym Active Scripting, wykorzystywać specjalnie stworzone wiadomości w formacie HTML do przeglądania plików na maszynie użytkownika. Jak podaje Georgi Guninski w swojej informacji, możliwe jest uruchomienie Active Scripting przy pomocy XML lub XSL nawet w przypadku gdy Active Scripting jest wyłączony. Georgi Guninski poinformował jednocześnie, że zawiadomił o problemie także firmę Microsoft. Jej przedstawiciele nie udzielali żadnych dodatkowych komentarzy
Georgi Guninski security advisory #43, 2001
XML scripting in IE, Outlook Express
Systems affected:
Internet Explorer 5.x – including full patched up to now though Microsoft cannot reproduce the problem on fully patched IE 5.x ,Outlook Express (probably Outlook have not tested)
Risk: High
Date: 20 April 2001
Legal Notice:
This Advisory is Copyright (c) 2001 Georgi Guninski. You may distribute it unmodified. You may not modify it and distribute it or distribute parts of it without the author’s written permission.
Disclaimer:
The information in this advisory is believed to be true based on experiments though it may be false. The opinions expressed in this advisory and program are my own and not of any company. The usual standard disclaimer applies, especially the fact that Georgi Guninski is not liable for any damages caused by direct or indirect use of the information or functionality provided by this advisory or program. Georgi Guninski bears no responsibility for content or misuse of this advisory or program or any derivatives thereof.
Background:
We have some disagreement with Microsoft whether this works on fully patched IE 5.x. I believe I am running fully patched IE according to the rules for patching in Microsoft’s security bulletins. The problem seems to be the version of WSH which is described in MS-01-015 at:
http://www.microsoft.com/technet/security/bulletin/ms01-015.asp
To check whether you are vulnerable check DEMONSTRATION.
Description:
It is possible to execute Active Scripting with the help of XML and XSL even if Active Scripting is disabled in all security zones. This is especially dangerous in email messages. Though this is not typical exploit itself, it may be used in other exploits especially in email.
Vendor status:
Microsoft was informed on 18 April 2001
Regards,
Georgi Guninski
Na stronach firmy Symantec pojawiło się kolejne uaktualnienie bazy wirusów dla Norton AntiVirus. Baza danych datowana jest na 18 kwietnia 2001 roku i chroni komputer użytkownika przed 49137 wirusami. Plik dostępny na stronach producenta.