Эпидемия Zotob: как защититься
Ведущие специалисты компаний, выпускающих антивирусное ПО, установили, что разные группы хакеров выпускают массу червей в битве за контроль над компьютерами наивных пользователей. Уже сообщалось, что прошедшей ночью были атакованы такие организации как CNN, ABC Television, The New York Times и Financial Times.
Черви W32/Zotob-F (известные также как Bozori) пытаются удалить с зараженных компьютеров червей Zotob и другие злонамеренные коды с тем, чтобы установить свой контроль над соответствующими ПК. Червь W32/Zotob-F похож на червя W32/Tpbot-A, который также распространяется через уязвимость Microsoft MS05-039 Plug and Play, которую хакеры используют в борьбе за плохо защищенные компьютеры.
"Как только один из этих червей захватывает контроль над вашим компьютером, он может использовать его для рассылки спама, запуска DDoS-атак против веб-сайтов с целью вымогательства денег, воровства конфиденциальной информации или заражения новыми версиями злонамеренных кодов других доверчивых компьютерных пользователей", - говорит Грэм Клули, старший консультант компании Sophos по технологиям. "За атаками, подобными рассматриваемой, стоят организованные криминальные группы и их мотив известен - делать деньги. Владение большими сетями зомбированных компьютеров - это ценный капитал для преступников, и каждая компания должна сделать надлежащие шаги, чтобы не стать их очередной жертвой".
Как сообщалось ранее, уязвимости подвержены компьютеры под управлением Windows 2000, кроме того, бюллетень компании Microsoft указывает на уязвимость Windows 98/Me/NT4/XP SP2/XP 64bit/2003 Server SP1. Таким образом, незащищенные межсетевыми экранами компьютеры, на которых установлены непропатченные операционные системы семейства Windows, при условии переполнения буфера в Plug-and-Play, рискуют быть атакованными извне и на них может быть запущен любой код в режиме удаленного доступа.
Для проникновения на компьютеры пользователей червь сканирует сеть по порту TCP 445 (как правило, блокируемому сетевыми экранами) в поисках уязвимого хоста. Поникнув в систему благодаря уязвимости в Plug-and-Play, червь самозапускается и создает в системной директории Windows файл (в разных вариантах наименования исполняемого файла червя pnpsrv.exe, winpnp.exe, csm.exe, wintbp.exe, windrg32.exe). При этом отдельные варианты червя уничтожают исходный исполняемый файл, из которого они были запущены.
Свой автоматический запуск при последующих рестартах системы червь обеспечивает путем внесения своих данных в ключи реестра:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun и
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices.
Найдя подходящий (уязвимый) компьютер и поселившись в нем, червь открывает "люк", который служит его средством общения с внешним миром, и устанавливает соединение с IRC-сервером. Соединившись со своим оператором, робот может принимать команды на закачку и запуск кода, его установку, получение обновлений своих версий или самоудаление. Проникнувший на компьютер шпион собирает различную системную информацию, включая данные об установленной операционной системе, логин пользователя, объем системной памяти и другую важную информацию.
Чтобы продлить как можно больше свое существование на зараженном компьютере, червь блокирует доступ к серверам обновлений антивирусных компаний, что делает пользователя беззащитным перед лицом новой угрозы. Для этого червь блокирует системный сервис SharedAccess путем внесения изменения в ветку реестра
HKLMSystemCurrentControlSetServicesSharedAccess.
Последняя версия червя содержит также и деструктивные функции удаления файлов, ключей реестра и остановки процессов.
Черви заражают те компьютеры, на которых нет обновлений ПО Microsoft, закрывающих обнаруженные уязвимости типа MS05-039.
В список злонамеренных программ, использующих эту брешь в системах безопасности Windows, входят:
W32/Tpbot-A (также называемый некоторыми антивирусными вендорами Zotob.E или Rbot.CBQ)
W32/Dogbot-A
W32/Zotob-A
W32/Zotob-B
W32/Zotob-C
W32/Zotob-F
Troj/ExpPNP-A
W32/Rbot-AKM
W32/Rbot-AKN
W32/Sdbot-ACG
W32/Tilebot-F
W32/Esbot-A
Как защитить ваши компьютеры??
Чтобы защитить ваш компьютер необходимо скачать патч для с сайта компании Microsoft. Для данной уязвимости патч находится по адресу. www.microsoft.com/technet/security/Bulletin/MS05-039.mspx.
Компаниям также рекомендуется убедиться, что они защищены и от других уязвимостей, обычно используемых червями и хакерами, таких как:
LSASS (MS04-011)
RPC-DCOM (MS04-012)
MSSQL (MS02-039)
UPNP (MS01-059)
WebDav (MS03-007)
Черви W32/Zotob-F (известные также как Bozori) пытаются удалить с зараженных компьютеров червей Zotob и другие злонамеренные коды с тем, чтобы установить свой контроль над соответствующими ПК. Червь W32/Zotob-F похож на червя W32/Tpbot-A, который также распространяется через уязвимость Microsoft MS05-039 Plug and Play, которую хакеры используют в борьбе за плохо защищенные компьютеры.
"Как только один из этих червей захватывает контроль над вашим компьютером, он может использовать его для рассылки спама, запуска DDoS-атак против веб-сайтов с целью вымогательства денег, воровства конфиденциальной информации или заражения новыми версиями злонамеренных кодов других доверчивых компьютерных пользователей", - говорит Грэм Клули, старший консультант компании Sophos по технологиям. "За атаками, подобными рассматриваемой, стоят организованные криминальные группы и их мотив известен - делать деньги. Владение большими сетями зомбированных компьютеров - это ценный капитал для преступников, и каждая компания должна сделать надлежащие шаги, чтобы не стать их очередной жертвой".
Как сообщалось ранее, уязвимости подвержены компьютеры под управлением Windows 2000, кроме того, бюллетень компании Microsoft указывает на уязвимость Windows 98/Me/NT4/XP SP2/XP 64bit/2003 Server SP1. Таким образом, незащищенные межсетевыми экранами компьютеры, на которых установлены непропатченные операционные системы семейства Windows, при условии переполнения буфера в Plug-and-Play, рискуют быть атакованными извне и на них может быть запущен любой код в режиме удаленного доступа.
Для проникновения на компьютеры пользователей червь сканирует сеть по порту TCP 445 (как правило, блокируемому сетевыми экранами) в поисках уязвимого хоста. Поникнув в систему благодаря уязвимости в Plug-and-Play, червь самозапускается и создает в системной директории Windows файл (в разных вариантах наименования исполняемого файла червя pnpsrv.exe, winpnp.exe, csm.exe, wintbp.exe, windrg32.exe). При этом отдельные варианты червя уничтожают исходный исполняемый файл, из которого они были запущены.
Свой автоматический запуск при последующих рестартах системы червь обеспечивает путем внесения своих данных в ключи реестра:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun и
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices.
Найдя подходящий (уязвимый) компьютер и поселившись в нем, червь открывает "люк", который служит его средством общения с внешним миром, и устанавливает соединение с IRC-сервером. Соединившись со своим оператором, робот может принимать команды на закачку и запуск кода, его установку, получение обновлений своих версий или самоудаление. Проникнувший на компьютер шпион собирает различную системную информацию, включая данные об установленной операционной системе, логин пользователя, объем системной памяти и другую важную информацию.
Чтобы продлить как можно больше свое существование на зараженном компьютере, червь блокирует доступ к серверам обновлений антивирусных компаний, что делает пользователя беззащитным перед лицом новой угрозы. Для этого червь блокирует системный сервис SharedAccess путем внесения изменения в ветку реестра
HKLMSystemCurrentControlSetServicesSharedAccess.
Последняя версия червя содержит также и деструктивные функции удаления файлов, ключей реестра и остановки процессов.
Черви заражают те компьютеры, на которых нет обновлений ПО Microsoft, закрывающих обнаруженные уязвимости типа MS05-039.
В список злонамеренных программ, использующих эту брешь в системах безопасности Windows, входят:
W32/Tpbot-A (также называемый некоторыми антивирусными вендорами Zotob.E или Rbot.CBQ)
W32/Dogbot-A
W32/Zotob-A
W32/Zotob-B
W32/Zotob-C
W32/Zotob-F
Troj/ExpPNP-A
W32/Rbot-AKM
W32/Rbot-AKN
W32/Sdbot-ACG
W32/Tilebot-F
W32/Esbot-A
Как защитить ваши компьютеры??
Чтобы защитить ваш компьютер необходимо скачать патч для с сайта компании Microsoft. Для данной уязвимости патч находится по адресу. www.microsoft.com/technet/security/Bulletin/MS05-039.mspx.
Компаниям также рекомендуется убедиться, что они защищены и от других уязвимостей, обычно используемых червями и хакерами, таких как:
LSASS (MS04-011)
RPC-DCOM (MS04-012)
MSSQL (MS02-039)
UPNP (MS01-059)
WebDav (MS03-007)
Ещё новости по теме:
18:20