Компания Microsoft опубликовала очередную информацию о выпуске обновлений для своих продуктов, куда входит семь обновлений для Windows, не считая очередной версии антивирусной утилиты Malicious Software Removal Tool.
Шесть обновлений связаны с безопасностью, причем некоторые из патчей имеют критический рейтинг. Размер заплатки составляет 416 кб, после инсталляции может потребоваться перезагрузка компьютера. Кроме того, корпорация Microsoft планирует включить данный патч в следующий пакет обновлений для операционной системы Windows ХР.
Одно из августовских обновлений не будет связано с безопасностью, но, вместе с тем, обозначено как высокоприоритетное. Все обновления будут распространяться через службу автоматических обновлений, сайты Windows Update и Microsoft Update, а также систему Software Update Services, с помощью которой системные администраторы могут централизованно устанавливать обновления на компьютеры пользователей.
Информация об очередной уязвимости ОС Windows 2000/XP/2003 была обнародована компанией Microsoft в бюллетене MS05-039. Как выяснилось, всего пять дней понадобилось вирусописателям для создания червя, эксплуатирующего данную уязвимость. Таким образом, незащищенные межсетевыми экранами компьютеры, на которых установлена “непропатченная” ОС, при условии переполнения буфера в Plug-and-Play рискуют быть атакованными извне и на них может быть запущен любой код в режиме удаленного доступа.
Как сообщается в официальном уведомлении, для проведения атаки необходимо получить доступ к реестру операционной системы. Сделать это можно через какую-либо другую уязвимость в Windows или же локально. Далее нужно ввести список исключений брандмауэра в соответствующий раздел реестра ОС.
Для проникновения на компьютеры пользователей новоявленный червь сканирует сеть по порту TCP 445 (как правило, блокируемому сетевыми экранами) в поисках уязвимого хоста. Поникнув в систему благодаря уязвимости в Plug-and-Play, червь самозапускается и создает в системной директории Windows файл под именем pnpsrv.exe, winpnp.exe, csm.exe, wintbp.exe, windrg32.exe или каким-нибудь иным. При этом отдельные варианты червя уничтожают исходный исполняемый файл, из которого они были запущены.
Свой автоматический запуск при последующих рестартах системы червь обеспечивает путем внесения своих данных в ключи реестра. Найдя подходящий (уязвимый) компьютер и “поселившись” в нем, червь открывает “люк”, который служит ему средством общения с внешним миром, и устанавливает соединение с IRC-сервером. Соединившись со своим оператором, робот может принимать команды на закачку и запуск кода, его установку, получение обновлений своих версий или самоудаление. Проникнувший на компьютер шпион собирает различную системную информацию, включая данные об установленной операционной системе, логин пользователя, объем системной памяти и другие важные сведения.
Чтобы продлить как можно больше свое существование на зараженном компьютере, червь блокирует доступ к серверам обновлений антивирусных компаний, что делает пользователя беззащитным перед лицом новой угрозы. Для этого червь блокирует системный сервис SharedAccess путем внесения изменения в ветку реестра HKLM\System\CurrentControlSet\Services\SharedAccess. Собщается, что последняя версия червя содержит также и деструктивные функции удаления файлов, ключей реестра и остановки процессов.
Зарубежные СМИ сообщают, что зафиксировано большое количество отказов в работе компьютеров телекомпании CNN, редакции газеты The New York Times и ряде других организаций. По данным “Лаборатории Касперского” (ЛК), в данном случае речь идет о черве, который у разных антивирусных компаний имеет следующие названия:
- Zotob.e (Symantec);
- WORM_RBOT.CBQ (Trend Micro);
- IRCBot.Worm (McAfee);
- Tpbot-A (Sophos);
- Zotob.d (F-Secure);
- Net-Worm.Win32.Bozori.a (Kaspersky).
Вместе с тем эксперты ЛК отмечают, что в настоящее время в Интернете не наблюдается заметной вирусной эпидемии. Если вспомнить ситуацию с эпидемией червя Sasser в мае 2004 г., то тогда сетевой трафик вырос примерно на 20-40%, чего в настоящее время не происходит.
По информации PCWeek и compulenta.ru
