ОПИСАНИЕ:
Уязвимость позволяет удаленному злоумышленнику выполнить DoS атаку на целевую систему.

Уязвимость существует из-за ошибки в проверке входных данных при обработке большого числа наследуемых элементов (более 7400) в XML данных.

Атакующий может обманным образом заманить пользователя на специально составленный сайт, что приведет к отказу системы в обслуживании.

В связи с большим количеством вопросов пользователей «Лаборатория Касперского» подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации зловредной программы Kido, известной также как Conficker и Downadup. Комментирует Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского».

»» Что такое Kido?
»» В чем опасность Kido?
»» Как избежать заражения вредоносной программой Kido?
»» Как понять, что произошло заражение сети или компьютера?
»» Я – администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему?
»» Как бороться с Kido обычному пользователю домашнего компьютера?
»» Скачать KKiller.exe: бесплатная утилита для сканирования и удаления сетевого червя Kido

Компания Eset сообщила о том, что с 1 апреля возможно резкое увеличение DDoS- и спам-атак с использованием крупнейшей в истории Интернета ботсети, состоящей из компьютеров, инфицированных семейством червей Conficker.

По данным Eset, новая версия сетевого червя – Сonficker.X – взаимодействует с управляющим пулом из 50 тыс. доменов. Это существенно усложняет борьбу с угрозой, поскольку при таком количестве постоянно обновляемых url-адресов отследить и блокировать команды от владельцев бот-сети компьютерам-зомби будет практически невозможно. Эксперты предполагают, что 1 апреля станет датой начала широкомасштабных атак на ПК пользователей. Это могут быть DDoS-атаки, рассылка спама, действия, направленные на заражение новых компьютеров и увеличение бот-нета.

Компания «Доктор Веб» сообщила о появлении новой модификации полиморфного сетевого червя Win32.HLLW.Shadow.based (также известного под именами Kido/Conficker), обеспечивающего основной функционал бот-сети Shadow. По прогнозам «Доктор Веб», с 1 апреля бот-сеть перейдет на новый режим работы.

Как пояснили в антивирусной компании, на компьютерах, инфицированных прежде различными модификациями полиморфного сетевого червя Win32.HLLW.Shadow.based, появившимися в феврале и марте этого года, будет произведено обновление вредоносного Программного Обеспечения, в результате чего будет запущен генератор адресов к заранее подготовленным сайтам для получения с них инструкций по дальнейшей работе. Каждые сутки будет генерироваться 50 000 адресов, среди которых будет выбираться 500 адресов, через которые будут происходить попытки обновления вредоносного Программного Обеспечения . При этом процесс обновления будет тщательно регулироваться таким образом, чтобы не создавать значительную нагрузку на хостинг-серверы, на которых расположены данные вредоносные серверы. Такой работе бот-сети воспрепятствовать будет значительно сложнее, считают в «Доктор Веб».

Напомним, что Win32.HLLW.Shadow.based для своего распространения использует сразу несколько каналов, среди которых выделяются съёмные носители и сетевые диски. Сетевой червь также может распространяться с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067.

В среду, 1 апреля, может произойти атака вируса Kido, - предупреждает «Газета». По оценкам специалистов эта атака может стать самой опасной в истории глобальной сети.

Ведущий эксперт «Лаборатории Касперского» Виталий Камлюк сообщил изданию, что данный вирус представляет серьезную угрозу для всего Интернет-сообщества. По его словам, Kido распространяется через компьютерные сети и сменные носители информации.

Эксперты по безопасности и пользователи Интернета встревожены, - уточняет итальянская La Repubblica: в среду могут неожиданно начать действовать персональные компьютеры, инфицированные компьютерным червем Conficker. Речь идет о 9-15 млн. ПК. инфицированные персональные компьютеры не проявляют явных признаков инфекции, но становятся оружием в руках агрессоров, которые могут использовать их для незаконной деятельности.

Давно подмечено, что чем больше государство настаивает на обязанности граждан быть патриотами и почитать свою власть, тем сильнее процветает тоталитаризм.

И наоборот - в любой действительно свободной стране естественным является открыто декларируемое недоверие граждан к государственной власти, по самой природе своей склонной к злоупотреблениям.

Причем такая позиция отнюдь не является "непатриотичной", поскольку любовь к стране и обожание власти - это вещи, имеющие мало общего.

У одного талантливого русского поэта есть примерно такие строчки в тему:
Вероятно, после такой преамбулы яснее станет "антигосударственная" инициатива, предпринятая известной правозащитной организацией Electronic Frontier Foundation (EFF), которая сосредоточила свои усилия на защите приватности и "цифровых прав" граждан в эпоху высоких компьютерных технологий.

Хакеры имеют доступ к почти 1300 ПК в различных организациях 103 стран мира, говорится в отчете американских исследователей. Злоумышленники, которые зачастую базируются в Китае, могут красть документы, контролировать веб-камеры и получать полный доступ к инфицированным ПК...

В результате десятимесячного расследования группой SecDev Group из университета Торонто было обнаружено 1295 компьютеров в 103 странах мира, за которыми шпионят злоумышленники. Отчет опубликовал исследовательский проект Information Warfare Monitor, созданный SecDev Group.

В отчете предоставляются доказательства слежки за многими ПК, в том числе и в международных организациях, а также говорится, что за слежкой зачастую стоят китайские хакеры. Учёные описывают сеть, которую они называют GhostNet: в ней используется вредоносная программа gh0st RAT (Remote Access Tool), с помощью которой можно воровать различные документы, контролировать веб-камеры и получать полный доступ к инфицированным ПК.

«GhostNet представляет собой сеть инфицированных компьютеров в различных важных политических, экономических и медийных организациях во множестве стран по всему миру. На момент написания отчета, эти организации почти всегда ничего не подозревают о той ситуации, в которой находятся их системы», - сказано в исследовании.

Настоящий юбилей 26 марта отпраздновал вредоносный модуль, который считается первым вирусом, распространявшимся по почте. "Melissa" – так называется эта угроза, заразившая свыше миллиона компьютеров и причинившая ущерб на общую сумму в $80 млн.

"Мелисса" была не более чем детской игрушкой, хотя и очень действенной. Будучи запущенной в марте 1999 года, она начала засорять целые сети корпоративной почты письмами с заголовком "Вот тот документ, который ты у меня просил… только больше никому не показывай ;-)". Вирус распространялся через дыры в различных версиях Microsoft Word и Microsoft Excel, при этом рассылая собственные копии первым 50 контактам из адресной книги Microsoft Outlook.

Также к зараженным письмам прикреплялись файлы с паролями к 80 порно сайтам. Распространение получили четыре подвида вируса, некоторые из которых причиняли большой урон, стирая важные системные файлы Windows.

Специалистами DroneBL, выявлен беспрецедентный Зомби-сеть, атакующий исключительно маршрутизаторы и модемы DSL на базе Linux/MIPS и игнорирующий персональные компьютеры. Эксперты предупреждают, что прежде считавшиеся надежными операционными системы сегодня уже таковыми не являются.

Учёные из DroneBL заявили, что во время устранения направленной на их сервис DDoS -атаки обнаружили нетипичный Зомби-сеть. Его изучение показало, что известный на инфицированные персональные компьютеры сетевой червь под названием psyb0t захватывает маршрутизаторы и модемы DSL, не причиняя ущербы самими компьютерам. Угрозе уязвимы маршрутизаторы на базе Linux/MIPS.

Первые атаки сетевого червя были зарегистрированы еще в декабре прошлого года, но тогда он действовал более выборочно. Речь шла только об ADSL-модемах Netcomm NB5 и аналогичных аппаратах, а для захвата управления над ними сетевой червь применял значения логина и пароля по умолчанию. Уязвимость в этом оборудовании, которую применял psyb0t, в более поздних версиях прошивки устройств уже устранена.

Эксперты DroneBL пришли к выводу, что нынешняя версия сетевого червя более совершенна. Теперь он взламывает маршрутизаторы, подбирая пары логинов и паролей по списку. Более того, если раньше «зомбированные» маршрутизаторы не использовались координирующим центром для конкретных целей, то теперь с их помощью была инициирована DDoS атака (отказ в обслуживании).

После того, как описание сетевого червя появилось в блоге DroneBL, обнаружил себя и создатель вредоносной программы. Автор psyb0t написал, что создал сетевого червя «с исследовательскими целями и теперь прекращает дальнейшую работу над ним». Также он уверяет, что сумел захватить порядка 80 тыс. устройств, но никогда не применял этот Зомби-сеть для DDoS-атак, fishing'а (фишинг) или кражи конфиденциальных данных.

Вчера (24 марта 2009) "Dr Web" сообщил о появлении вируса, способного получать информацию о проведенных через банкомат транзакциях. Своей точкой зрения поделился Александр Гостев, руководитель центра глобальных исследований и анализа угроз "Лаборатории Касперского".

Данная вредоносная программа была обнаружена и добавлена в антивирусные базы "Лаборатории Касперского" 19 марта 2009 г. под именем Backdoor.Win32.Skimer.a. Это троянская программа, которая заражает банкоматы популярного американского производителя Diebold (по неподтвержденным данным, речь идет о банкоматах, расположенных на территории РФ и Украины). На сегодняшний день отсутствует информации о реально инфицированных машинах.

Однако мы предполагаем, что их количество, если таковые вообще существуют, минимально. инфицированные машины становятся уязвимыми для дальнейших действий злоумышленника, а именно: имея специальную карточку доступа, вирусописатель может снять всю наличность, имеющуюся в банкомате, а также получить доступ к информации о всех проведенных через этот банкомат транзакциях других пользователей.