На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2004-2-17 на главную / новости от 2004-2-17
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 17 февраля 2004 г.

MSBlast-подобный эксплойт на свободе

Код, использующий критическую уязвимость, для которой Microsoft выпустила пач на прошлой неделе, вырвался на волю, угрожая владельцам компьютеров атакой в стиле MSBlast.

10 февраля Microsoft выпустила поправку, устраняющую ошибку сетевого ПО, которая делает уязвимыми все системы Windows XP, NT, 2000 и Windows Server 2003. Компания предупредила владельцев ПК, что эта уязвимость может быть использована писателями вирусов и червей. И вот, спустя всего четыре дня после выхода обновления, на французском веб-сайте появился код, позволяющий любому воспользоваться ошибкой. Это означает, что не обновившие свои системы пользователи могут подвергнуться новой атаке червя, подобного MSBlast.

Ричард Штернз, директор по экстренному реагированию компании Cable & Wireless, подтвердил ZDNet UK, что код, похоже, работает. «Мы исполнили скомпилированный код на необновленных системах ХР и Windows 2000 SP3, и обе они вышли из строя. Код вызывает переполнение буфера и немедленно переводит ПК в состояние перезагрузки, из которого невозможно выйти».

По словам Штернза, опубликованный эксплойт легко превратить еще в одну «смешанную атаку» вроде MSBlast или Code Red, когда червь состоит из двух разных модулей, один из которых отвечает за распространение, а другой содержит разрушительный заряд. «Наступила эпоха двухфазных, или двухуровневых, червей. Подавляющее большинство червей, которые мы наблюдали раньше, заботились только о собственном размножении. Теперь же они несут вторую нагрузку, направленную на организацию атаки DDoS».

Джей Хейзер, главный аналитик компании TruSecure, специализирующейся на управлении рисками, сказал ZDNet, что собственно код представляет собой инструмент атаки DDoS и способен нанести ограниченный ущерб, но, ввиду того что он использует переполнение буфера, его применение грозит хаосом: «Атака denial-of-service эквивалентна выпуску воздуха из шины автомобиля. Она раздосадует водителя и может пару раз доставить удовольствие атакующему, тем не менее это не то же самое, что позволить кому-то без спроса кататься на вашем автомобиле. Тот факт, что DoS-атака использует переполнение буфера, значительно повышает вероятность гораздо более изощренной атаки», — говорит Хейзер. Пользователи, по его словам, могут чувствовать себя в безопасности, только если немедленно установят пач.

Однако Штернз говорит, что этот код, если он будет использован для организации атаки, непременно вызовет разрушения, так как и компании, и индивидуальные пользователи, пока эксплойт не грянет, чрезвычайно неохотно обновляют свои системы. «Взять хотя бы Code Red — пач для него вышел за шесть месяцев до появления червя. А что он натворил? Когда дело касается обновления систем, хуже компаний могут быть только индивидуальные пользователи». 

 Предыдущие публикации:
2004-02-11   Microsoft предупреждает о широко распространенном дефекте Windows
 В продолжение темы:
2004-02-20   Тройка вынесла приговор Linux-серверам
2004-04-05   Эпидемия MSBlast оказалась гораздо обширнее, чем предполагалось
2004-04-09   От секьюрити-инструмента больше вреда, чем пользы?
Обсуждение и комментарии
Троль
17 Feb 2004 5:10 PM
Так занимаем метса в кресле и запасаемся пивом и чипсами. Шоу началось!
 

Andy
17 Feb 2004 6:02 PM
Что характерно, мне, например, намного проще и дешевле купить пачку болванок и время от времени бэкапить свои не Бог весть какие ценные данные на домашней машине + раз в полгода переставлянь винду, чем с той же машины по диалапу регулярно тянуть мегабайты апдейтов :)
 

Black Sh.*
17 Feb 2004 6:38 PM
2 Andy дома то понятно. дома даже болванку можно не писать. у меня винды рушлся кажыд полгода просто плапогопучно переставляю. а данных вообще никаих ценных данных нет.( даже что то нашел хорошое в этом. не надо запускать дефраг.или заниматься чистокйо диска. :)
а вот Корпративных я думаю не трудно скачать один патч на N компов..
 

smth
17 Feb 2004 7:07 PM
Black Sh.*
в корпоративных уже давно все скачано и поставленно. если конечно случай не совсем клинический. если клинический - менять команду ИТ.
 

/\_/\
17 Feb 2004 7:09 PM
Black Sh.* признался в использовании винды????
 

Винда
17 Feb 2004 7:28 PM
(Black Sh.*): у меня винды рушлся кажыд полгода
Не расстраивайся, это у всех линуксоидов так. На то они и линуксоиды.
 

Black Sh.*
17 Feb 2004 7:41 PM
2 /\_/\ я никогда не отрицал(и вроде уже говорил об этом) что дома винды стоят.
а линукс почти не стоит. т.е. дома почти не стоит.
 

Black Sh.*
17 Feb 2004 7:42 PM
причем даже две винды. 95 и 98.
 

vIv
17 Feb 2004 8:44 PM
у кого ценных данных нет, - может продать компьютер и идти покупать колбасу и тяпку.
 

vIv
17 Feb 2004 8:47 PM
/me покосилось на НТ4 1998 года инсталляции (с накатом СП потом)

А фря - не только СП не хочет, а и ребутов-то куда меньше... еслиб не цвсапился, - можно б и дольше жить...
 

Alexander S.
17 Feb 2004 9:18 PM
2 vIv,

А у вас в телевизоре много ценных данных? Если ваш телевизор упадёт, в буквальном смысле на пол, и вам придётся купить новый- испытаете ли вы проблему из-за отсутствия свежего бэкапа старого телевизора?
 

Anti-Ms
17 Feb 2004 11:45 PM
виндузятники опомнитесь и еще раз вгляните на топик. вам плакать надо ;)

новый червь опять винду в инете заимеет по полной программе ;)))
 

Эксплоит
17 Feb 2004 11:55 PM
2Anti-Ms
Точно! Страшный эксплолит вырвался на свободу! Миллиардные убытки! Мутант в огороде! В смысле - в городе! В вашем городе! Он уже стучится в дверь! Ааааа.... ...и тишина...
Читал бы ты поменьше газет, а особливо заголовков. Жертва СМИ ты наша...
 

ccv
18 Feb 2004 3:14 AM
Anti-Ms - придурок ты!!!
 

Wintermute - devnul.ru
18 Feb 2004 9:26 AM
Нет, ну какая все-таки у людей жизнь насыщенная! Вирусы ловят, винду переставляют, эксплойтов боятся!.. А я, бедный, скучно живу. Из вирусов только спам приходит, да и тот отфильтровывается, винда стоит, как влитая, с момента установки в 2000 году... Скукота...
 

Andy
18 Feb 2004 10:51 AM
2Wintermute:
 

Andy
18 Feb 2004 10:53 AM
2Wintermute:
"винда стоит, как влитая, с момента установки в 2000 году..."
компьютер не включаем - электричество экономим? ;)
 

Wintermute - devnul.ru
18 Feb 2004 11:30 AM
2 Andy: Наоборот, редко выключаю. А что?
 

Skull - sibskullmail.ru
18 Feb 2004 11:41 AM
2Wintermute: а из софта только офис и солитёр. И браузером никак не пользуетесь - только почтовым клиентом? Я чего-то подобного и ожидал... :)
 

Qrot
18 Feb 2004 12:02 PM
Wintermute: щастливый человек. мне даже спам не приходит :(
 

Black Sh.*
18 Feb 2004 12:08 PM
у кого ценных данных нет, .. и то правда насчт моего копьютера.
в основном для интернета комп. нет что бы сказать что если все данные пропадут я не растрою врядле.но два диска на одном 98 которые и валятся.. а второй 95.. на нем данные..
 

Black Sh.*
18 Feb 2004 12:12 PM
люди а как вам версия что mydoom был как раз и сделал для того что бы украсить сорсы windows. ведь вели вероятность что он попоал на комп разработсичка.. только правда пришлось бы какой анализатор делать.. потому как физически зайти через bakc door на все компы невозоможно.. кстати возможно джус. как раз и был для этого сделал.?
веь как все по времение совпадает.. кроме того трафик созадваемы вирусом как бы маскрирует предачу сорсов.
 

Wintermute - devnul.ru
18 Feb 2004 1:20 PM
2 Skull: Как хорошо ты меня знаешь, я польщен :)
Если серьезно - офис у меня, конечно, стоит. Лицензионный, кстати. И браузером ослик работает. И еще куча всякой другой ерунды - VS, там, IIS, WMP, RMP. Раньше еще игрушки стояли. И ничего.
2 Qrot: Да у меня ж куча халявных аккаунтов есть. Вот и шлют на них килограммами. marlin его честно убивает. А на работе Exchange режет, так что там я и спама не получаю.
 

NM
18 Feb 2004 1:22 PM
2Wintermute
С электро сетью разобрались.... хорошо :-)
А в компьютерную сеть пробовали включать ? :-)
 

Qrot
18 Feb 2004 1:34 PM
Wintermute: ты типа один такой с кучей халявных аккаунтов? :)) я их в большинсвте своем и заводил как спамопомойки... оставляю во всяких рассылких, регистрациях и прочая. а от центра американского английского ни одного письма не пришло :) и даже пенис енларгнуть никто не предложил - обидно, да? :))
 

NM
18 Feb 2004 1:38 PM
Людей защищающих как виндовс так и линукс можно понять потомучто и то и другое приносит им деньги только одно больше а другое меньше ... тутже главное что что бы у заказчика было больше проблем а значит и вам больше работы значит больше денег ... но здесь главное не перегнуть палку если будут одни проблемы ... и тех и других могут послать на...й по большому счету обывателю наплевать что за софт зарабатывает для него деньги ... если софт начинает жрать деньги тогда начинаются вопросы типа а нахрена нам это все если оно не работает ? ... и тут уже не важно популярное оно или престижное или открытое или еще богвесть какое ... всем нужно просто это понять раз и на всегда ... если для платформы виндовс будут выходить вирусы каждый день и в сетях корпораций не буду успевать побороть одну эпидемию как начинается другая ... все это конец микрософту ... я подчеркиваю в огромных сетях с тысячами , десятками тысячь компьютеров распальцовки типа "вот я чиста эксчендж настроил и у меня все круто" ... просто можно игнорировать ... в сети крупной компании практически немозможно избежать эпидемии какимбы крутым мега админом вы не были ...
 

Wintermute - devnul.ru
18 Feb 2004 1:40 PM
2 NM: Угадай с трех раз!
 

Wintermute - devnul.ru
18 Feb 2004 1:41 PM
2 Qrot: Щисливчик! Как это тебе удалось ни одного письма вообще от ЦАА получить?
 

Qrot
18 Feb 2004 4:54 PM
Wintermute: есть подозрение, что некоторый особо крупный спам на халявных почтовиках режут во избежание.
 

Skull - sibskullmail.ru
19 Feb 2004 9:55 AM
2Wintermute: "И браузером ослик работает": народ, объясните мне наконец, что означает "ослик"? eDonkey или IE? А то господин Qrot тоже это слово любит употреблять...
По поводу подколов с софтом - так, милые шутки. Давеча забегает к нам местный сисадмин (эх, меня жаль не было) и начинает мою машину проверять на MyDoom. Типа, с этой розетки идёт. Ну не нашёл ничего, потому как я Mozilla под Виндами на работе пользуюсь. Так что знаю, что на Виндах в сети можно работать. :)
 

Wintermute - devnul.ru
19 Feb 2004 10:07 AM
2 Skull: Книжку про Винни-Пуха читал? Там ослика звали Иа-Иа. А сокращение от Internet Explorer - IE. Так и хочется повторить :) Отсюда и ослик.
По поводу админа - как я понимаю, он рабочую машину проверял, так? У вас что, на работе разрешают левый софт ставить?
 

SlvUn - slvunmail.ru
19 Feb 2004 11:32 AM
2ALL: Не пойму, что за дурная привычка, при обнаружение дырок в э-э-э так скажем, конкурирующих продуктах, срать другим в ладоши, и радостно аплодировать своими. В результате - все в ошметках разлетающейся массы. И некоторым, похоже, это нравится.
2Anti-MS,Skull:Я сам, в основном, на Линуксе сижу, но дырки и там есть, в частности, рекомендую почитать Changelog к недавнему 2.4.25, там в частности исправленo root priviledge gain локальным пользователем посредством do_mremap.
Вот, на двух серверах пришлось обновить.
Рабочий процесс блин.
 

Alexander S.
19 Feb 2004 4:50 PM
> Давеча забегает к нам местный сисадмин (эх, меня жаль не было) и начинает мою машину проверять на MyDoom. Типа, с этой розетки идёт. Ну не нашёл ничего, потому как я Mozilla под Виндами на работе пользуюсь.

MyDoom распространяется как приложение к письму, в виде исполняемого или сжатого файла. Чтобы этот вирус заразил компьютер, пользователь должен сохранить исполняемый файт на диск и запустить его на выполнение с диска. Либо, в случае архива, распаковать архив с помощью WinZip и запустить исполняемый файл на выполнение или из-под WinZip (если тот позволяет), или сохранив на диск.

Outlook тут ни при чём, вирус одинаково работает в любом современном почтовом клиенте, включая Мозиллу.

Для рассылки своих копий вирус НЕ использует Outlook. Вирус соединяется с серверами через SMTP протокол, поэтому из конверта зараженного письма несложно определить маршрут вируса и IP адрес компьютера, откуда вирус был послан.
---

Выводы: очевидно, г-н Skull заразил свой компьютер полагаясь на "Мозилла рулез".

Ключевая фраза "эх, меня жаль не было" позволяет сделать следующий вывод: пришёл админ, почистил компьютер от реального вируса MyDoom, обновил/установил антивирус и ушел ничего не сказав- не желая разбираться с тупым юзером который будет визжать "у меня нет Оутлука и Эксплорера, вирусами не могу заразиться в принципе".
У админа наверное сотни таких тупых юзеров, проще им компы почистить и уйти не сказав ничего, чем от каждого глупости целый день выслушивать.

>Так что знаю, что на Виндах в сети можно работать. :)

Рад за вас. Продолжайте учить матчасть, когда-то научитесь не заражать свой компьютер.
 

Jameson - James99mail.ru
20 Feb 2004 6:07 AM
а я пользуюсь ie, НО тем не менее, mYdoom НЕ подхватил. Т.к. просто проверяю вложения, если они до меня доходят, а у провайдерастоит антивирус на почтовике.
 

Skull - sibskullmail.ru
20 Feb 2004 9:34 AM
2Wintermute: "По поводу админа - как я понимаю, он рабочую машину проверял, так? У вас что, на работе разрешают левый софт ставить?" мы арендуем помещение. Компьютеры наши, сеть - их. Сеть, Интернет входит в стоимость аренды. Им по барабану, что стоит на НАШИХ компах, лишь бы в сеть не гадило. :) Вот дадут комп помощнее, поставлю туда Linux и сразу буду их посылать :)

2Alexander S.: "Outlook тут ни при чём, вирус одинаково работает в любом современном почтовом клиенте, включая Мозиллу" - ну конечно. За достоверность не ручаюсь, но я слышал, что модификации самозапускаются в Outlook. Далее следует просто очевидный бред! Откуда выводы, что я заразил свой компьютер? Я что, больной, .scr файлы запускать их архива? И даже когда поставили программку для лечения именно MyDoom, она (разумеется!) ничего не нашла. Результат работы этой программы и сообщение о том, что всё чисто, я и видел. Связывался потом с админами, они извинились, что ничего не найдено. Пускай разбираются со своей сетью (иногда выдаёт конфликт IP, всё время ленивых админов пинать приходится). Так что, прежде, чем голословно обвинять, прошу вас разобраться в вопросе.
 

Злой MyDoom
20 Feb 2004 3:18 PM
2Skull:
Откуда выводы, что я заразил свой компьютер?
>>и начинает мою машину проверять на MyDoom. Типа, с этой розетки идёт.<<
Еще раз
>>... мою машину проверять ... с этой розетки идёт ...<<
А ты и не понял... :)))
>>И даже когда поставили программку для лечения именно MyDoom, она (разумеется!) ничего не нашла<<
Откуд ты знаешь, тебя же >>(эх, меня жаль не было)<<?
Слово не воробей. Хотя ниже плинтуса уже опускаться некуда просто, так что все номана, цирк уехал - клоуна забыли :)))
 

Skull - sibskullmail.ru
20 Feb 2004 5:08 PM
2Злой MyDoom: блин, ну какой вы невнимательный. Про конфликты IP я уже рассказывал. Если эти "админы" не могут с этим порядок навести, то куда им розетку определить?

"Откуд ты знаешь, тебя же..." специально для местных клоунов объясняю - передо мною эти самые админы потом и извинялись.

"цирк уехал - клоуна забыли :)))" - хороша у вас самокритика. Особенно интересен ньюанс в слове "забыли". Ибо никому такой тормоз как вы и не нужны... :)))
 

Злой MyDoom
20 Feb 2004 5:20 PM
2Skull:
>>Если эти "админы" не могут с этим порядок навести, то куда им розетку определить<< бедняги, они еще не знают, какого кульного хацкера выростила на ихню голову матушка-сибирь...
>>потом и извинялись<< ...но печенью уж кое-что чувствуют. Наличие у них опыта общения с пальцеватыми чайниками сразу видно - даже если трижды прав - лучше извинись, дешевше обойдется. Кстати, метод в семейной жизни тоже работает, как начинающий муж учти.
>>хороша у вас самокритика<< :)))
 

prodigy_ - prodigy_mail.ru
22 Feb 2004 7:15 AM
> а линукс почти не стоит. т.е. дома почти не стоит.

Неужели винда стоит, а линукс не стоит? :-) И даже дома? :-)) И даже после Виагры? :-)))

Н-да, совсем плохо дело... :-))
 

prodigy_ - prodigy_mail.ru
22 Feb 2004 7:33 AM
2 NM: в сети крупной компании практически немозможно избежать эпидемии какимбы крутым мега админом вы не были ...

С этим можно согласиться, но это не проблема платформы - форточек, линукса, бсди и т.п... И ваще не IT-проблема по самому большому счету. Это всеобщая проблема энтропии в крупных системах. :-)

90% эксплойтов и вирусни всегда будут писать под доминирующую mainstream-плаформу. Если завтра все начнут пингвинить, ниче не изменится. А корпоративно это ваще никак не решается (ну разве только если все юзеры крупной сетки являются админами :-) Потому что иначе все равно когда-нибудь настанет прекрасный день, когда патч еще не везде расставлен, а с полей притащило мобильного юзера с домашним ноутом и менеждер командует тебе "подключить его вот прямо здесь и через пять минут". Ты так и делаешь... :-) А через полчаса уже начинаешь вылавливать из сетки паразитов... :-)
 

prodigy_ - prodigy_mail.ru
22 Feb 2004 7:49 AM
2 SlvUn:

> Вот, на двух серверах пришлось обновить.

Ну то ли еще будет. :-) Все больше народу пересаживается на юниксовые системы, причем все меньше народу грамотного. Вопреки устоявшемуся мифу о повышенной грамотности пингвиноидных админов - щас можно поставить и юзать скажем suse или mandrake вовсе не так уж хорошо зная его подноготную. :-) Отсюда - больше кул хацкеров начинает обращать внимание в эту сторону.

Количество эксплойтов никогда не зависело от софта самого по себе - это бред, просто очень глубоко засевший в некоторых головах. :-) Все дело только в распространенности, то есть грубо говоря - в том пытаются софтину ли по-настоящему постоянно ломать. Класический пример - sendmail. Стандартный для многих дистрибов и самый распространенный mailserver под юникса = будешь патчить его каждый месяц. :-) В точности как тот самый ослик ie-ie, на который тут столько нападок... :-))
 

Maverik
1 Mar 2004 2:44 PM
Дык ведь, саму винду после 2k сейчас практически и не ругают. Ругают монокультуру, которую она образует
 

 

← январь 2004 12  13  15  16  17  18  19  20  24 март 2004 →
Реклама!
 

 

Место для Вашей рекламы!