червь — Сисадмин на отдыхе

Борьба с вирусами

Возвращаясь к заметке о вирусе Nyxem, он же MyWife и Kama-Sutra. А так ли уж всё страшно как нам преподносят это средства массовой информации (читать 1, 2, 3)? Ладно журналисты, чего с них взять, они на таких вот скандальных новостях зарабатывают деньги и популярность своего издания. Но вот больше всего раздражает, так это заявления таких, казалось бы, авторитетных и знающих в области защиты информации компаний, как "Лаборатория Касперского". Я уже давно обратил внимание, что периодически "Лаборатория Касперского" выступает вот с такими заявлениями. Последние пару-тройку лет "Лаборатория Касперского" любит пугать простых обывателей (пишут в газетах, выступают по телевизору) "очередной вирусной угрозой", которая полностью выведет из строя компьютер пользователя, если... А вот если пользователь купит у компании их супер-пупер продукт, то никакие вирусы будут ни почём. Ничем не прикрытая реклама , скажу больше, не очень хорошего товара. О работе антивируса Касперского (в народе – Каспер) уже ходят легенды. Я сам неоднократно становился свидетелем, как после установки это программы система начинала тормозить, а это современный компьютер с мощным процессором, большим жестким диском и большим объёмом памяти. В итоге пользователь просто удалял антивирус Касперского и просил установить какой-нибудь другой антивирус, который кроме нахождения, лечения и удаления вирусов ещё бы давал поработать за компьютером.

Хватит про Касперского, возвращаюсь к нашим баранам... э-э-э, к нашему вирусу. Более сдержано и не так эмоционально написали компании DrWeb и Panda Software. А ведь действительно ничего такого из ряда вон выходящего в этом вирусе нет. Банальный червь, рассчитанный на пользователей, которые на задумываясь открывают (запускают) вложения в письма, в надежде, что там действительно будут фотографии голой Анны Курниковой, например. Аналогичные вирусы уже не раз рассылались и удалялись установленной на компьютере пользователя антивирусной программой. Тут, конечно, ещё один факт, который ещё больше раздувают газетчики и "Лаборатория Касперского". Это уничтожение всех документов на пользовательском компьютере. Мне вот интересно, а разве другие вирусы не уничтожают (заражают) файлы или это у нас только один такой уникум?

Если у вас стоит антивирус, который ежедневно обновляет свои базы, если у вас есть голова на плечах и вы не открываете без разбора все вложения в письмах, вам бояться нечего.

Тут на работе в конце января случай произошёл. Как поднялась шумиха вокруг этого вируса, все вдруг начали интересоваться наличием в компьютере установленного антивируса. На несколько компьютерах антивирус действительно не был установлен. Послали студента установить антивирус и проверить компьютер на наличие вирусов. Установить-то он его установил и даже запустил проверку, но вот дальше... Антивирусная программа обнаружила в нескольких (75 штук) файлах вордовский макровирус WM97, который известен и лечиться достаточно давно любыми антивирусами. Так вот, когда программа обнаружила этот макровирус, то естественно задала вопрос "Что делать с заражённым файлом?": "лечить, удалить, переименовать, отправить в карантин". Наверное в этот самый момент в космосе произошли какие-то изменения, потому что студент ответил "Удалить всё", рассудив, что раз найдет вирус, то и нечего с ним церемониться.

Результат плачевен, нас лишили премии, а то подразделение потеряло достаточное количество очень важных документов. Поэтому прежде, прежде чем что-то сделать надо всегда думать о возможных последствиях и осознавать свои действия.

UPD: тем кто всё же подхватил эту гадость, вот инструкция как найти эту заразу и уничтожить.

А вы готовы к 3-му февраля?

Финская антивирусная компания F-Secure опубликовала предупреждение о том, что червь Nyxem, который в последнее время довольно быстро распространяется по электронной почте, запрограммирован на выполнение 3-го числа каждого месяца катастрофической для каждого зараженного компьютера операции. Ближайшая опасная дата — это 3 февраля. В этот день червь должен перезаписать все имеющиеся на компьютере файлы. При этом все файлы будут урезаны до размера 20 байт. Понятно, что после такой процедуры, запустить какую-либо программу будет невозможно.

В принципе почти все антивирусные компании уже обновили свои программы, чтобы пресечь распространение червя Nyxem. Но беспечные и недалекие пользователи в массовом порядке клюют на нехитрую приманку. В заголовке письма с вирусом фигурирует фраза типа "Miss Lebanon 2006" или "School girl fantasies gone bad", а к письму прикреплен файл с "картинкой". Поэтому червь Nyxem получил еще и другое название — Kama Sutra. Число любителей порнографии, щелкнувших по "картинке" и подсадивших на свой компьютер червя Nyxem, уже перевалило за полмиллиона.

Как и всякий червь, Nyxem рассылает свои копии по всем адресам электронной почты, найденным на зараженном компьютере. По данным F-Secure по состоянию на утро понедельника около 35% трафика зараженных писем приходились именно на письма с червем Nyxem. Теперь перед обладателями зараженных ПК маячит перспектива лишения всех файлов.

Червь Linux/Lupper.worm или luppi

Этот червь, также известен под названием Linux/Lupper.worm или luppi представляет собой смешанную угрозу. Он использует три различные "дыры" в безопасности, после чего пытается инфицировать Linux систему, на которой запущены уязвимые сервисы.

Итак, это удаленный ввод кода в XML-RPC для PHP, контроль входных параметров в журнал AWStats Rawlog Plugin и удаленное выполнение кода в Darryl Burgdorf Webhints.

Проблема с XML-RPC скорее всего присутствует в Wiki и программах для администрирования блогов. AWStats – популярный анализ журналов безопасности. Под угрозой нападения AWStats могут быть только версии от 5.0 до 6.3, начиная с версии 6.4 и выше — проблем быть не должно. Ну и WebHints – старая программа-скрипт для того чтобы выводить "подсказки/цитаты/шутки/анекдоты/что угодно дня". Атакам подвержена версия 1.3, и пока, к сожалению, исправления для этой проблемы не существует. Сейчас, для большинства систем, уже доступны исправления для всех этих проблем (за исключением последней).

После того, как вирус заражает систему, он генерирует множество URL, после чего их использует (через стандартный 80й порт), чтобы попытаться заразить остальные системы. Червя удалить несложно – достаточно удалить файл /tmp/lupii. Основная проблема состоит в том, что злоумышленник может закачать на сервер все что угодно.

Опасности подвергается любая Linux система с запущенной одной из вышеупомянутых программ. Таким образом, лучше прекратить использовать WebHints, и пользоваться только лишь исправленными версиями AWStats и PHP.

Среди приложений, которые подвержены риску, такие известные, как PostNuke, Drupal, b2evolution, Xoops, WordPress, PHPGroupWare и TikiWiki. Большинство из них были обновлены, и дыра была закрыта.