Все новости от 25 июля 2001 г. Центр киберзащиты ФБР не устоял против вируса SirCam
ВАШИНГТОН — Сотрудник подразделения киберзащиты Федерального бюро расследований обнаружил на своем компьютере интернет-вирус, рассылающий посторонним конфиденциальные документы. И это накануне сенатских слушаний, посвященных проблемам данного подразделения!
Хотя вирус SirCam не попал в другие компьютеры Центра защиты национальной инфраструктуры ФБР, он разослал по крайней мере восемь документов по нескольким внешним адресам. Один из них, посвященный исследованию другого вируса, помечен грифом «Для служебного пользования». Вирус SirCam, впервые обнаруженный на прошлой неделе, уже успел заразить тысячи компьютеров.
Представительница ФБР Дебора Вейерман (Deb Weierman) сообщила, что никакой секретной информации о ведущихся расследованиях раскрыто не было. Гриф «Для служебного пользования» защищает документы от разглашения в соответствии с американским законом о свободе информации.
В том, что специалист по антивирусной защите случайно заразил свой собственный компьютер, ничего особенного нет, однако эта ошибка оказалась особенно болезненной, так как случилась непосредственно перед слушаниями в комитете по вопросам судоустройства Сената США, посвященными эффективности работы подразделения киберзащиты ФБР. Законодатели планировали рассмотреть причины полного отказа других ведомств от кооперации с Центром защиты национальной инфраструктуры ФБР и отсутствия взаимного доверия между ФБР и частными фирмами.
Обычно центр получает высокие оценки за свои расследования уголовных дел, и даже критики признают, что он работает эффективнее, чем год назад. «Цель слушаний не наказать кого-то, а подчеркнуть, что впереди еще много работы», — сказал сенатор-республиканец от штата Аризона Джон Кил (Jon Kyl).
Тем временем Белый дом приступил к организации новой сети заблаговременного предупреждения об интернет-угрозах. Но эта сеть, в отличие от существующей системы, будет координироваться не ФБР, а Пентагоном. Механизм предупреждения всех военных и гражданских ведомств США — а затем и корпораций — будет называться Cyber-Warning and Information Network, сокращенно c-win. Предполагается создать десятки компьютерных центров, которые, обнаружив угрозу, будут трубить тревогу.
Ожидается, что сеть начнет функционировать уже в октябре. Подразделение ФБР, которое сегодня рассылает такие предупреждения, подверглось резкой критике со стороны ревизоров Конгресса за медлительность. Г-жа Вейерман назвала новую сеть «полезным механизмом», который обеспечит правительство «отсутствующими в настоящее время техническими возможностями». По ее словам, ФБР не переживает из-за утраты ответственности за предупреждения об угрозе.
Во вторник по крайней мере три человека сообщили, что они получили из ФБР какие-то документы. Один из них — Нильс Хейен (Niels Heinen), 23-летний специалист по интернет-защите из Бельгии. Он поддерживает веб-сайт, публикующий отчеты о взломе сетей, и утверждает, что его посещал с зараженного компьютера аналитик Винс Роув (Vince Rowe). На просьбу прокомментировать это сообщение Роув не ответил.
|
|
| Сантехник 25 Jul 2001 9:11 PM |
Врачу: исцелися сам! |
|
| Виталий 26 Jul 2001 5:51 AM |
Минздрав неоднократно предупреждал - удаляйте не читая письма с неизвестными вложениями от неизвестных отправителей. |
|
| Антон Блинков - bavinfopac.ru 26 Jul 2001 6:11 AM |
2 Виталий что значит от неизвестных отправителей? если я попал в адресную книгу того человека значит он мне наверняка известен. и что такое неизвестное вложение? они все неизвестные пока я их не открою. или вам известна некая сокровенная тайна по разгадыванию вирусных аттачей? а вот говорят, были еще вирусы для активизации которых достаточно было просто просмотреть письмо или даже просто получить его. что в этом случае пользователь сделал не так? не надо с больной головы на здоровую. это просчет (а скорее всего даже специально задуманая фича), что Outlook может с такой легкостью открывать и выполнять windows executables (в том числе и скрипты и офисные файлы с макросами) присланые черт знает откуда, без соответствующих предосторожностей и ограничений на выполняемые ими действия. |
|
| eXOR 26 Jul 2001 7:59 AM |
А чего такого? Ну я когда с вирусами игрался часто сам заражался.. а в чем проблема - то? Он что сетку грохнул этот спец по безопасности? |
|
| vIv 26 Jul 2001 9:00 AM |
Такие вещи надо делать в "лягушатнике", где вирь может только "подёргаться в банке" под пристальным вниманием наблюдателя. Странно только то, что ФБР не используют наработки 20-летней давности своих же коллег из "более других" контор |
|
| Dmitry Grigorovich - odipconsultant.com 26 Jul 2001 9:04 AM |
To eXOR: Надо к вопросу подходить с другой стороны: Почему это специалист по антивирусной защите "случайно" заразил свой комп перед слушаниями в комитете ? Сдается мне, что сделано это специально, чтобы больше денег выбить на работу своей службы. Есть конечно другой вариант - это не специалист, а полный ламер :)
|
|
| Евгений 26 Jul 2001 11:58 AM |
2 Антон Блинков: "или вам известна некая сокровенная тайна по разгадыванию вирусных аттачей?" И тайны никакой тут нет. У приложенных файлов иконка исполняемого файла, а не Excel или Word. Двойное расширение тоже говорит о том, что фигня какая-то Вам пришла. Текст письма на английском от русскоязычного товарища.. Да много всяких примет. Защита - снести Мелкософтовские дырявые почтовые клиенты, установить хороший антивирь. И главное, не быть ламером. И вирусы с троянами будут не страшны. P.S. Сугубо личное мнение. P.P.S. Наша сеть от нашествия этого Сиркама, да и впрочем от всей другой фигни не пострадала. Чтоб все было путем, надо чтоб админ был с головой и прямыми руками. |
|
| Кирилл 26 Jul 2001 12:58 PM |
Вообще то Outlook из Office XP и Outlook 2000 с секурити патчами не позволяют открывать "опасные" атачи. |
|
| Александр - alhorteleserv.ru 26 Jul 2001 1:37 PM |
Компьюдемия, одним словом :) |
|
| Igor 26 Jul 2001 1:38 PM |
А было бы интересно почитать FBIшные документы. Может они опять какой-нибудь заговор готовят или провокацию? |
|
| Евгений 26 Jul 2001 2:56 PM |
Что-то я не заметил, чтобы он тырил документы. Просто приходит эттач с именем одного из документов на компе отправителя. |
|
| Антон Бликов - bavinfopac.ru 27 Jul 2001 2:59 AM |
2 Евгений 1) иконка у исполняемого файла может быть любая, в том числе экселевская или вордовская. 2) пользователь, воспитаный МС на опции эксплорера "Не показывать расширения файлов", просто не в курсе что такое "расширение" и скрыто оно или нет в данный момент. 3) большинство товарищей в мире англоязычны. а умный вирус и сабжект может подобрать из старых писем. так что это именно просчет МС, а не пользователей. и вы сами правильно указали правильный путь лечения - снесение оутглюка.
|
|
| Бобр - bobrchat.ru 27 Jul 2001 12:18 PM |
Ерунда эти почтовые вирусы. Достаточно анитивируса на почтовом сервере, который в реал-тайме почту проверяет. У меня Trend установлен, так он все вирусы отлавливает и все возможные исполняемые аттачменты (файлы и скрипты) убивает. Все привыкли, что .exe или .vbs по почте отправить и принять нельзя. Кому надо, тот заархивирует, а уж чтобы запакованный вирус запустить... Это уж надо бухгалтером быть :-). |
|
| Бобр - bobrchat.ru 27 Jul 2001 12:41 PM |
Еще случай: одному сотруднику в банке пришел по почте вирус (Love letter), у него 95 винда без скриптинг хоста. Он видит у себя в аутлуке текст вируса и делает следующее: пересылает письмо другому сотруднику, у котого винда 98, чтобы посмотреть на результат. Скриптинг хост успешно выполняет скрипт вируса и заражает весь банк. Как вам такое? |
|
| Dmitry Grigorovich - odipconsultant.com 28 Jul 2001 10:35 AM |
То Бобр: На самом деле ничего сложного - антивирусник на почтовом сервере зарежет этот Love letter и все. Пользователь его не получит. А вообще можно все файлы с расширениями .exe, .pif, .vbs и прочее просто сразу резать не разбираясь есть там вирус или нет.
|
|
| Бобр - bobrchat.ru 30 Jul 2001 11:23 AM |
Ту Григорович: Внимательно прочитайте мое сообщение от 27.07.2001 12:18 |
|
| Anatoli - netmantrie.spb.ru 23 Aug 2001 1:39 PM |
Могу помочь излечить эту гадость. Он поражает 3 вещи: 1. Садится в корзину, при чем с Window не увидите, только с NC, VC. 2. Подкрепляетя в autoexec отдельной строкой. 3. Суется в регистр Сделай так: 1. regedit - поиск "sirc32.exe" что найдешь delete. 2. убери с NC "sirc32.exe" с корзины. 3. убери c autoexec. 4. Запусти очистка диска. 5. Выключи комп. Только после выкл. он исчезнит. Успехов!!! из 16 компов только 4 пришлось перезаправлять. Удачи. Если у кого есть информ. какой anti его обезврежевает мыльте. |
|
| Nickolay - nickolaymail.lanck.net 27 Aug 2001 2:35 PM |
Somebody, HELP! Блин, у меня стоит Windows ME, после удаления ссылок в реестре, удаления всех файлов из _Restore, Temp, Windows\Temp, Recycled, востановления файла Rundll32.exe с не зараженной ME, этот вирус откуда-то востанавливается. Пробовал все програмки выложенные господином Касперским на его сайте, ничего не помогает, HELP!!! |
|
| Алексей 11 Sep 2001 9:19 AM |
Может уже и не актуально, но DrWeb лечит Win32.HLLW.SirCam с 22 июля 2001. |
|
|