На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
! Правила!
Пожалуйста, подумайте два! раза перед тем как нажать кнопку Отправить.
Убедительная просьба пользоваться поиском и ИНСТРУКЦИЕЙ, и только потом спрашивать!


  • Публикация вирусов/эксплоитов в бинарном виде запрещена!
  • Запрещается размещать прямые ссылки на зараженные сайты! (если хочется предупредить, то исправляйте HTTP://... на ХТТП://...)
  • Категорически запрещается поиск кряков/варезов/серийников, а также размещение ссылок на серийники/ключи/кряки и т.п.
  • Запрещается использование оскорбительных выражений в адрес участников коференции, в том числе и в личной переписке.


Модераторы: Rust
  
> Новости от 13.07.03
    Новый троян помогает распространять порнографию.
    В списке рассылки BUGTRAQ Richard M. Smith описал новый тип трояна, основной задачей которого является превращение заражённого компьютера в посредник (прокси) для осуществления связи с платными порносерверами. Самым интересным в механизме работы трояна является то, что IP-адрес прокси (заражённого компьютера) изменяется каждые 10 минут посредством переключения на другой заражённый компьютер. Подобный механизм возможен в случае доступа человека, организовавшего заражение к базе данных DNS-сервера, который тоже устанавливается на один из заражённых компьютеров. Указывается также, что большая часть этих заражённых машин была использована в осуществлённой в течение 4-дневного уикенда в честь Дня Независимости США атаки на систему платежей PayPal для похищения паролей и номеров кредитных карт этой системы. Об этом писал новостной сайт Silicon.com ( http://silicon.com/news/500013-500001/1/5061.html ). Причём в самой статье явно указывается на Российский след в этой афёре. Joe Stewart из LURHQ выловил одну из копий трояна и обследовал её код, анализ которого был выложен на сайте команды LURHQ. Троян получил имя Migmaf. 11 июля о трояне также написала New York Times ( http://www.nytimes.com/2003/07/11/technology/11HACK.html?hp ). Указывается, что в качестве доменов были использованы следующие: onlycoredomains.com, pizdatohosting.com (занятное название - тоже может указывать на наших соотечественников ;)), bigvolumesites.com и др. При обследовании этих доменов было обнаружено около 100 IP-адресов, принадлежащих различных провайдерам, обслуживающим пользователей персональных компьютеров. Наибольшее количество принадлежит AOL.COM. Также интересной особенностью трояна является выбор компьютера с более "толстым" каналом - предпочтение отдаётся компьютерам на DSL-линиях. Механизм заражения пока не выяснен, однако автор высказывает предположение, что это может быть результатом действия трояна Sobig.e.
    Подробности - http://archives.neohapsis.com/archives/bugtraq/2003-07/0132.html
    Анализ кода - http://www.lurhq.com/migmaf.html
      Уязвимость в Adobe Acrobat Reader.
      Paul Szabo с факультета математики и статистики университета Сиднея (Австралия) сообщает об обнаружении уязвимости в популярном PDF-вьювере, выпускаемом фирмой Adobe - Acrobat Reader. Уязвимость была обнаружена в версиях 5.0.5 и 5.0.7 операционной системы Linux (тестировалось в Debian (woody)), однако высказывается предположение о существовании уязвимости в других версиях Acroread (так он называется в *nix) и других типах UNIX-ОС. Уязвимость заключается в возможности выполнения переполнения буфера и последующего выполнения произвольного кода при включении в документ URL большой длины. При этом, естественно, необходимо, чтобы пользователь кликнул на эту ссылку. Примечательно то, что в вышедшей 17 июня версии 5.0.7 как раз устраняется эта уязвимость. Тем не менее, как показывают тесты уязвимость всё-таки осталась. Автором выпущен скрипт на Перле для демонстрации уязвимости. Код эксплоита послан CERT. В качестве времееной меры защиты предлагается удалить файл .../Reader/*/plug_ins/wwwlink.api.
      Источник - http://www.securitylab.ru
        Ещё один эксплоит уязвимости в SAMBA.
        Господин с интригующим ником Schizoprenic из турецкой Xnuxer-Research Laboratory опубликовал ещё один исходник эксплоита, использующего уязвимость в SAMBA версии ниже 2.2.8. Уязвимость была обнаружена в мае этого года Себастьяном Крамером из SuSE Security Audit Team и позволяла удалённо получить права суперпользователя. После опубликования сообщения об уязвимости были опубликованы эксплоиты такими командами, как: netric.org, 0x333.org, DigitalDefense. Как пишет сам автор, его больше всего заинтересовала программа под названием sambal.c, выпущенная Netric Security, поскольку использовала брутефорс метод, однако не обладала возможностью обратного соединения ( connectback mode ). Автор усовершенствовал эксплоит с введением этого метода, поскольку его использование позволяет обойти защиту файрволлов. Также введена возможность прослушивания произвольного порта для затруднения обнаружения эксплоита. Кроме того, автор ввёл возможность массового эксплоита, для чего в качестве IP-адреса жертв информация берётся из заранее сформированного файла.
        Эксплоит и описание - http://archives.neohapsis.com/archives/bugtraq/2003-07/0151.html
          Когда появится в продаже база данных абонентов "БИ ЛАЙН"?
          Как сообщает oxpaha.ru, по непроверенным данным в сотовой компании "Би лайн" произошла утечка абонентской базы. Как велика похищенная информация и когда торговцы пиратской продукцией начнут открыто предлагать "Полную базу данных столичных и федеральных абонентов "Би лайн", как это было с МТС, пока не известно. Напомним, что 22 января 2003 года в СМИ от секретаря крупнейшего сотового оператора России Евы Прокофьевой, поступила информация о том, что часть базы данных МТС похищена. База данных МТС, и по сей день свободно распространяющаяся пиратами, содержит такие персональные сведения об абонентах компании: ФИО, дата рождения, паспортные данные, адрес места жительства, ИНН, ОКОНХ, юридический адрес, контактный телефон (не мобильный), дата подписания контракта с МТС, прошедшие платежи. В базе реализован поиск по первым семи позициям. Ранее сообщалось, что по формату похищенной части базы данных невозможно было определить источник утечки. Сегодня торговцы рекламируют свой продукт как полную базу данных столичных и федеральных абонентов МТС т.е. речь идет примерно о 5,5 млн человек. По одной из версий база данных "утекла" через спецслужбы, так как во время октябрьской операции по освобождению заложников из театрального центра на Дубровке столичные сотовые операторы отключили на своих сетях функцию шифрования разговоров. Тем самым открыли спецслужбам доступ к своей базе данных. Что и могло произойти на днях после терракта в Тушине. Если информация о краже абонентской базы "Би лайн" в скором времени подтвердится, то у многих людей личная жизнь окажется "вывернутой" наружу для всеобщего обозрения.
          Источник - http://www.oxpaha.ru
            Подробности уязвимости в Microsoft Utility Manager.
            Стали известны подробности уязвимости в Microsoft Utility Manager, которая перекрывается патчем, описанном в MS03-025. Utility Manager –утилита достижимости (Accessibility), которая позволяет пользователям проверять состояние программ достижимости (Microsoft Magnifier, Narrator, On–Screen Keyboard), запускать и останавливать их. Нажимая комбинацию клавиш '+U', пользователь может запустить Windows Utility Manager. Процесс “utility manager”, запущенный процессом Winlogon, запускается с 'system' привилегиями в рабочем столе пользователя. Utility manager может быть также запущен перед входом в систему, нажимая +U. Главное окно Utility Manager управление ListView, которое отображает доступные средства достижимости (accessibility). Windows сообщения, посланные этому управлению, должным образом не проверяются, что позволяет атакующему выполнять множество опасных взаимодействий с процессом Utility Manager. Несколько интересных сообщений в этом контексте LVM_SORTITEMS и LVM_SORTITEMSEX сообщения, которые инструктируют управление “сортировать” содержание, основываясь на функции обратного вызова (callback function), адрес которой определен в сообщении. Изменяя текст окна, и затем посылая LVM_SORTITEMS сообщение в список управления, возможно заставить процесс Utility Manager выполнить код, представленный низко привилегированным пользователем. Этот код будет выполнен с привилегиями local 'system' учетной записи. Необходимый код эксплоита функционально эквивалентен предыдущему 'shatter' коду, с единственным существенным различием, являющимся в использовании 'LVM_SORTITEMS' сообщения, вместо 'WM_TIMER' сообщения. Уязвимость обнаружена в Windows 2000 SP3.
            Подробности - http://securitylab.ru/default.asp?ID=38807
              Вышел июльский номер журнала "Системный администратор".
              Сообщается о выходе июльского номера журнала "Системный администратор". В номере:
              1. Мониторинг Windows-серверов с помощью Nagios. Часть 1.
              2. Стартовые скрипты FreeBSD.
              3. Настройка сервера SSH.
              4. IRC-сервер.
              5. Три составных части защиты и др...
              Тем временем на сайте появились в онлайне статьи мартовского номера журнала.
              Подробности - http://www.samag.ru/
                IE 6 вышел в Рунете на первое место.
                В июне произошла рокировка лидеров в состязании самых популярных браузеров аудитории российского Интернета. Как показывают статистические данные SpyLOG, в июне 2003 г. шестая версия Internet Explorer стала наиболее распространенной в Рунете: ею пользуется 46,3\% пользователей Рунета против 45,3\% у IE5.xx. Месяцем ранее, в июне, соотношение было иным: 46,6\% у IE5.xx и 45,0\% у IE6.xx. Аналогичные результаты выдает глобальная статистика HotLog. По ее данным, на сегодняшний день браузерами IE6.xx пользуется 57,66\% аудитории Рунета, в то время как у IE5.xx 32,19\% популярности. Пятая версия Internet Explorer доминировала в Рунете более 3,5 лет.
                Источник - http://www.runet.ru
                  Недельный отчет о вирусах Panda Software.
                  Следуя своим старым традициям, компания Panda Software выпустила очередной еженедельный отчёт о вирсуной активности прошедшей недели. Отчет этой недели посвящен трояну IRC.Sx2 и двум червям, Graps и Ronoper.B. Более подробно о черве и двух вирусах можно прочитать по ссылке, приведённой ниже.
                  Отчёт - http://www.viruslab.ru/press/index.php?go=show&num=177
                  0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
                  0 пользователей:


                  Рейтинг@Mail.ru
                  [ Script execution time: 0,0297 ]   [ 15 queries used ]   [ Generated: 29.03.24, 05:45 GMT ]