[FWD] Электронный журнал "Спамтест" No. 35 [05.02.2004] [2/3]

Alexey Haritonov написал(а) к All в Feb 04 10:29:36 по местному времени:

=============================================================================
* Переслал Alexey Нaritonov (2:5015/10.50)
* Обл. : SU.CM (SU.CM)
* От : Igor Dikshev, 2:5020/400 (Понедельник, 09 февраля 2004г. 22:37)
* Кому : All
* Тема : Электронный журнал "Спамтест" No. 35 [05.02.2004] [2/3]
=============================================================================
From: "Igor Dikshev" <dik@isf.rwth-aachen.de>

ФБР обнаружило авторов червя
Крупнейший червь в истории Интернета атаковал вчера вечером сайты компаний
Microsoft и SCO. Если службы Microsoft медленно, но все же грузились, то адрес
www.sco.com был недоступен. Крупнейший червь в истории Интернета наполовину
задачу выполнил. Но похоже, что 250 тысяч долларов от SCO за поимку создателей
червя так и не будут выплачены. ФБР нашло его авторов в главном офисе этой же
компании.

Microsoft назначил награду за информацию о вирусописателе - 500 тысяч
долларов. Но это не помогло. Вчера сайт SCO был недоступен, а microsoft.com
грузился дольше обычного.

Кому выгодно распространение этой заразы? Существовала версия, что
компьютерных червей создали сами борцы с вирусами. Антивирусная компания
"Лаборатория Касперского" в ответ на это обвинение заявила, что даже если бы
она этим занималась, у нее сейчас не было бы времени на разработку новых
вирусов: раньше появлялось примерно 25 "зараз" в день, а теперь - 80! "В
России и без нас хватает людей, которые пишут вирусы", - заявили представители
лаборатории на пресс-конференции под названием "Компьютерный терроризм: как с
ним бороться".

Впрочем, вчера появилась информация о том, что ФБР задержало нескольких
менеджеров компании SCO после обыска в головном офисе компании. По
неофициальной информации, агенты, проанализировав географию распространения
червя, вышли на источник заражения - программистов, работавших в SCO.

Источник: www.gzt.ru

Интернет-инженеры планируют уничтожить непрошенную рекламу
Техническая команда, ответственная за развитие интернет-стандартов, работает в
направлении обуздания бесконтрольных навязчивых рассылок непрошенной рекламы.

Новые стандарты должны сделать возможным проверить, является ли адрес с
которого пришла электронная почта, подлинным. Это должно предотвратить
использование подложных адресов спамерами.

Группа Исследования противоспамных технологий (ASRG) и подгруппа IRTF
(Исследования интернет-технологий), в настоящее время работают над новыми
техническими стандартами, которые могли бы перекрыть потоки спама.

Объем спама вырос в течение прошлого года до критических размеров, больше чем
половина всей электронной почты - спам. Широко распространенное использование
фильтров и блокирующего ПО не сумело остановить повышающийся поток.

Одна из ключевых проблем - то, что текущий стандарт, управляющий посылкой и
получением электронной почты - SMTP, не включает никаких защитных технологий и
не может распознать поддельных адресов электронной почты.

"Корень проблемы - SMTP-протокол", - говорит Стив Линфорд, глава британской
anti-spam группы Spamhaus.

Главный объект надежд коалиции - исследуемое ASRG изменение системы доменных
имен и DNS, чтобы идентифицировать компьютеры, действующие как серверы
рассылки. DNS сервер обычно только связывает имя вебсайта с определенным IP
адресом, что и позволяет нам запоминать названия, а не последовательности
цифр.

Но DNS сервер мог бы и проконтролировать IP адреса всех почтовых серверов,
используемых каждым сайтом. Почтовые программы тогда могли бы безошибочно
определить, откуда прибыла электронная почта.

Источник: news.proext.com

Новости подготовил
Сергей Кошкин
"Ашманов и Партнеры"

Mydoom сражается с пользователями интернета
Алекс Экслер www.exler.ru
оригинал: hostinfo.ru

Утром 27 января многим пользователям стало понятно, что в Интернете началась
новая вирусная эпидемия. Все приметы были налицо - в почтовые ящики сыпалась
всякая дрянь, перемежаемая ложными сообщениями от антивирусов, некоторые ящики
вообще не отвечали или отвечали с большими задержками, до некоторых серверов
вообще не удавалось достучаться. К сожалению, это уже стало печальной
традицией - в реальном мире свирепствуют различные штаммы гриппа, в
виртуальном мире свирепствуют различные штаммы продуктов жизнебездеятельности
вирусописак.

Мы сейчас не будем пылко рассуждать о том, что вообще движет вирусописаками,
которые просто так, играючись, наносят ущерба на миллиарды долларов и создают
проблемы миллионам людей во всем мире. Мы также не будем говорить о том, что
нужно сделать с этими вирусописаками, если их удастся вычислить и поймать.

Наша задача на данный момент - выяснить, что это за вирус и как он действует,
кто от него может пострадать больше всего, а главное - что нужно сделать, для
того чтобы затормозить распространение этой заразы, ибо проблем она доставляет
массу.

Итак, что это за вирус? Назвали данную модификацию MyDoom или Novarg. Для
своего взрывообразного распространения по всему миру вирус использовал
технологию, которая применялась в знаменитом почтовом черве Sobig.F - сначала
вирус аккуратно внедрялся на компьютеры пользователей, подготавливая, так
сказать, плацдарм для распространения, а когда количество зараженных
компьютеров достигло определенной величины, по ним была разослана команда
"Novarg" (давшая название вирусу), и началось мгновенное распространение этого
вируса по всему миру.

Обратите внимание на тот факт, что вы могли и не подозревать о том, что вирус
уже сидит на вашем компьютере и готовится к атаке на Сеть, потому что до
определенного момента он никак не давал о себе знать.

Что делает вирус, попав на ваш компьютер и активизировавшись?

Сначала он открывает "Блокнот" (Notepad), в котором показывается произвольный
набор символов (если вы на своем компьютере видели что-то подобное, значит,
ваш компьютер уже заражен). Затем создает некоторые выполняемые файлы и
обеспечивает передачу управления себе при перезагрузке компьютера.

Ну, а далее - схема довольно типичная: он сканирует файлы на вашем компьютере
(расширения dbx, tbb, adb, pl, wab, txt, htm, sht, php, asp), выцепляет оттуда
e-mail адреса и рассылает по ним и от их имени письма, к которым приложен
замаскированный вирус. Достаточно на компьютере получателя открыть приложенный
к письму файл - и машина получателя также будет заражена!

Кроме того, вирус для распространения использует знаменитую файлообменную сеть
KaZaA, копируя себя в публичный каталог для обмена файлами, маскируясь при
этом под какую-нибудь из популярных программ.

Как выглядят рассылаемые письма?

По-разному. Идентифицировано примерно десять вариантов темы письма: test, hi,
hello, Status и так далее.

В теле письма содержится или случайный набор символов, или строка на
английском языке, имитирующая служебное сообщение.

К письму прикреплен файл с одним из следующих расширений: pif, scr, exe, cmd,
bat, zip. Если попытаться открыть приложенный файл - компьютер заражается, и
вирус получает управление.

Кому приходят эти письма?

Учитывая механизм распространения, письма приходят тем пользователям, чьи
адреса в тех или иных видах содержатся на зараженных компьютерах (не только в
адресной книге Outlook'а, кстати). Если ваш адрес (адреса) есть на многих
компьютерах - значит, вас может ожидать довольно бурный поток все этой дряни.
Если ваш адрес мало у кого есть, а кроме того, компьютеры этих пользователей
не заражены - радуйтесь, вам может вообще ничего не прийти.

Мне, например, в течение всего дня 27 января каждую минуту (!) приходило по
20-50 писем. Причем 50 писем тянули на полтора мегабайта, так что все это было
достаточно весело.

http://crader.narod.ru email: redarc@trojan.ru

-+- ifmail v.2.15dev5.3
+ Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
=============================================================================

Привет All!


До свидания, Alexey.

... NP:-[DEAD!]──[WWW.SVALKA.TK]──[ICQ: 324575753]
--- [GoldED+/W32 1.1.5-040120]-[Radius]-[IDC-5614BXL/VR+]