На прошлой неделе в Сети была обнаружена новая версия интернет-червя I-Worm.Mimail. Вирус I-Worm.Mimail.I, а именно такое он получил название, распространяется в виде почтового вложения.

Для обеспечения запуска вложения с содержащим тело червя инфицированным файлом paypal.asp.scr используются обманные методы. Фальсифицированный адрес отправителя donotreply@paypal.com, тема сообщения "YOUR PAYPAL.COM ACCOUNT EXPIRES" и сам текст письма имитируют послание, отправленное от имени администратора компании платежной онлайновой системы PayPal.

Для получения управления сетевому червю необходимо, чтобы пользователь самостоятельно открыл вложенный файл. Будучи активирован, червь копирует себя в директорию Windows под названием svchost32.exe и обеспечивает путь к своей копии, внеся соответствующие изменения в ветку автозапуска в системном реестре. После этого вирус помещает в корневую директорию диска C файл pp.hta, представляющий из себя картинку с формой, которую и призывает заполнить послание. В случае, если пользователь заполняет эту форму, внесенные в нее данные, среди которых может быть указан номер кредитной карточки, сохраняются вирусом в файле ppinfo.sys. Впоследствие украденные таким образом данные отправляются на несколько почтовых адресов в Чехии, закодированных в теле программы.

*

11 ноября компания Microsoft выпустила несколько заплаток для программ, входящих в систему Microsoft Office: текстового процессора Word, электронной таблицы Excel и серверных расширений HTML-редактора Frontpage.

Бреши, присутствующие в версиях Word и Excel 97, 2000 и 2002, описаны в бюллетене безопасности как MS03-050 и имеют статус важных. Брешь, обнаруженная в Excel, связана с недоработкой в методе проверки электронной таблицы перед ее открытием. В результате злоумышленник может обойти встроенную в Excel проверку файлов на наличие макросов. При открытии такого файла предупреждение о наличии макроса выводиться не будет, и хакер может внедрить в таблицу макрос, выполняющий какие-либо вредные функции вплоть до удаления файлов и форматирования дисков. Причиной же уязвимости в программе Word является ошибка при проверке длины названия макроса. Если злоумышленник создаст файл, вызывающий переполнение буфера при такой проверке, он сможет выполнить в системе произвольный код с правами текущего пользователя.

Cразу двум опасным уязвимостям в компоненте FrontPage Server Extension (FPSE) посвящена публикация бюллетеня MS03-51. Обе бреши классифицируются по шкале угроз компании как критические. Дыры найдены в Microsoft FrontPage Server Extensions 2000, а также в Microsoft FrontPage Server Extensions 2002 и Microsoft SharePoint Team Services 2002. Первая из них связана с переполнением буфера при использовании функции удаленной отладки веб-страниц. Используя ошибку, злоумышленник может выполнять на атакуемом компьютере противоправные действия. Вторая ошибка имеется в интерпретаторе SmartHTML. С ее помощью хакер может провести DoS-атаку, что приведет к отказу серверных расширений FrontPage отвечать на запросы.

*

В тот же самый день корпорация Microsoft опубликовала бюллетень MS03-49, посвященный обнаружению серьезной уязвимости в системе безопасности операционных систем Windows 2000 и Windows XP. Дыра, описанная в новом бюллетене безопасности MS03-049, является критической и связана с ошибкой переполнения буфера в службе Workstation. Дыру можно использовать удаленно, направив запрос к службе по протоколам UDP или TCP через порты 138, 139 или 445. В случае успешной атаки хакер получает системные привилегии и может делать с компьютером все, что угодно. Для пользователей Windows XP, на компьютерах которых уже установлен патч из бюллетеня MS03-043, устанавливать новую заплатку не требуется, поскольку необходимые исправления содержатся в ранее выпущенном патче.

*

Был выпущен новый кумулятивный патч для браузера Internet Explorer версий 5.01, 5.5 и 6.0. Описание заплатки содержится в бюллетене безопасности MS03-048. При этом новая заплатка исправляет все ранее обнаруженные дыры в одноименной программе и заменяет собой более ранний кумулятивный патч, описанный в бюллетене MS03-040.

Новые уязвимости поделены Microsoft на три группы. В первую попадают сразу три независимых дыры, связанные с моделью междоменной безопасности Internet Explorer, которая призвана предотвратить обмен информацией между окнами, работающими с разными доменами. Все три дыры позволяют злоумышленнику выполнить произвольный скрипт в зоне безопасности "Мой компьютер". Для этого хакеру придется создать специальную веб-страницу и заманить на нее пользователя.

Ко второй группе относится уязвимость в способе передачи информации о текущей зоне безопасности xml-объектам в Internet Explorer. Эта дыра актуальна только для версий Internet Explorer 5.5 и 6.0 и позволяет злоумышленнику считывать файлы с локальных дисков. Данная дыра является умеренно опасной, так как злоумышленник должен знать, где находятся интересующие его файлы, а для успешной реализации атаки нужно, чтобы пользователь согласился на загрузку html-файла.

Последняя дыра может проявиться при работе с объектами на dhtml-страницах. Используя данную уязвимость, злоумышленник может без ведома пользователя сохранить на локальном диске любой файл, например, троянскую программу. Для этого пользователь должен нажать на ссылку на особым образом сформированной веб-странице.

Андрей АСФУРА