Предновогодняя эйфория стала причиной нешуточной активности вредоносных программ на прошедшей неделе. Авторам нескольких особо не выдающихся вирусов удалось напугать компьютерную общественность не новыми методами проникновения на машину или механизмами размножения, а грамотной маскировкой и весьма удачным вхождением в доверие. И хоть нашествие вирусов ближе к Рождеству - это уже, скорее, закономерность, а не что-то из ряда вон выходящее, шумиха вокруг возможных эпидемий с лихвой превзошла реальное положение дел.

К примеру, почтовый червь Zafi.d, о котором электронные средства массовой информации говорят как о новой сетевой угрозе, на самом деле огромной опасности не представляет. Распространяется он посредством электронной почты, файлообменных сетей, а также путем копирования себя по открытым на запись локальным сетевым папкам. Тема и текст зараженных писем представляют собой поздравление с наступающим Рождеством. После активации червь копирует себя в системный каталог Windows с именем "Norton Update.exe" и регистрирует этот файл в ключе автозагрузки системного реестра. Затем Zafi.d пытается вмешаться в работу некоторых антивирусных программ и межсетевых экранов. Помимо этого, вирус устанавливает на зараженную машину бэкдор, благодаря которому на компьютер могут загружаться и запускаться произвольные файлы.

Эксплуатирует праздничную тему и червь Atak.h. Распространяется вирус в виде файлов с расширением .zip, прикрепленных к зараженным письмам с темой "Happy New Year!" или "Merry X-Mas!". При инсталляции червь копирует себя с именем "dec25.exe" в системный каталог Windows и модифицирует файл "win.ini" для своего последующего автозапуска. В дальнейшем он сканирует файлы в поисках электронных адресов, по которым производится рассылка зараженных писем.

Следующая вредоносная программа получила название Conycspa. После активации троян создает на компьютере несколько файлов и регистрируется в ключе автоматического запуска реестра Windows. Затем он рассылает по найденным на машине адресам сообщения рекламного характера, в заголовках которых указывается строка "Re: hot pics". Опасность Conycspa заключается в том, что он эксплуатирует ряд уязвимостей в программном обеспечении Microsoft с целью загрузки и инсталляции на машине дополнительных компонентов.

Одним из заметных событий стало появление двух модификаций "мобильного" червя Cabir. Новоиспеченные Cabir.C и Cabir.D мало чем отличаются от своего предшественника. Они тоже инфицируют портативные устройства, работающие под управлением операционной системы Symbian, распространяются посредством беспроводной связи Bluetooth и не отличаются наличием каких-либо деструктивных функций. Единственное, что отличает их от оригинала, так это названия файлов и тексты, выводимые на монитор телефона в процессе инсталляции.

* * *

Очередная серия бюллетеней безопасности от компании Microsoft описывает несколько важных уязвимостей, благодаря которым злоумышленник может получить доступ к удаленному компьютеру.

Первая проблема возникла с компонентом DHCP (Dynamic Host Configuration Protocol) операционной системы Windows NT. Так, с помощью сформированного специальным образом DHCP-запроса хакер может произвести DoS-атаку на компьютер жертвы. К тому же специально спровоцированная ошибка переполнения буфера даст возможность выполнить произвольный вредоносный код. Такой же вариант исхода событий возможен и в приложении HyperTerminal, входящем в операционные системы Windows NT/2000/ХР/Server 2003. Атака может происходить через сформированный особым образом файл сессии HyperTerminal или ссылку Telnet.

Следующие уязвимости были найдены в ядре Windows и локальной подсистеме аутентификации пользователей (LSASS). Первая проблема связана с особенностями реализации схемы запуска приложений операционной системой, вторая - с обработкой идентификационных меток зарегистрированных пользователей. Две эти бреши могут быть использованы с целью повышения уровня собственных привилегий в системе.

Дыры также найдены в службе WINS (Microsoft Windows Internet Naming Service). Ошибки связаны с некорректной проверкой определенных параметров запросов, в результате чего может произойти выполнение произвольного вредоносного кода на удаленной машине.

Последний бюллетень безопасности посвящен дыре в компоненте Microsoft Word for Windows 6.0 Converter, который используется текстовым редактором WordPad. Уязвимость дает возможность выполнить произвольные операции на удаленном компьютере через сформированный особым образом файл форматов WRI, RTF или DOC.

Вслед за бюллетенем безопасности софтверный гигант выпустил критическое обновление для операционной системы Windows ХР с установленным на ней вторым сервисным пакетом. Проблема связана с некорректной настройкой брандмауэра, который входит в комплект второго сервис-пака. Из-за ошибки межсетевой экран может открывать доступ к компьютеру для всех желающих.

Ошибка дает о себе знать, когда активирована опция "My network (subnet) only". При выборе данного режима работы операционная система автоматически открывает доступ к файлам и принтерам для других пользователей локальной сети. Если же владелец машины подключается к Всемирной паутине с помощью коммутированного доступа, встроенный в Windows брандмауэр может интерпретировать интернет как локальную подсеть. Таким образом, средство защиты от проникновения извне выполняет совершенно противоположную функцию - открывает доступ к компьютеру для любого желающего.

Андрей АСФУРА