Руководство пользователя Основные правила работы в сети и её возможности


Прежде всего
Основные программы для работы в сети
Принцип начисления абон. платы
Краткий словарь интернет жаргона


Общение
Игры в сети и интернет
Электронная почта
Медиа сервисы
Файл-обменная сеть
Файлообменник
FTP серверы


Лечение вирусов Lovesan и Sasser
Безопасность работы в интернете и локальной сети
Описание вируса Kargo
Описание вируса Sasser
Методика использования антивирусных программ
Утилиты скрытого администрирования
Троянские кони (логические бомбы)
FAQ по сетевому червю Lovesan


Создание подключения к локальной сети
Настройка Antivir'a
Создание VPN соединения
Распространённые ошибки VPN подключения
Настройки чат клиентов
Настройка клиентов обменной сети
Настройка почтовых программ
Чтения новостных лент в формате RSS
Настройка FTP сервера
Смена тарифного плана
Создание VPN соединения
Полезные утилиты
Про вирусы  /  Описание вируса Kargo
Описание вируса Kargo

Черви атакуют ПК беспечных пользователей

Worm.Win32.Padobot

Вирус-червь. Также известен под названием Korgo. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011.
Червь написан на языке C++. Имеет размер около 10 КБ, упакован UPX.

Размножение

При запуске червь копирует себя в системный каталог Windows с произвольным именем и регистрируется в ключе автозапуска:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinUpdate"="%system%\[имя файла]"

Также создает ключ:

[HKLM\SOFTWARE\Microsoft\Wireless]
"Server"="1"

Создает в памяти уникальные идентификаторы "10", "u2", и "uterm5" для определения своего присутствия в системе.
Червь, аналогично другим червям, использующим уязвимость в службе LSASS, выбирает произвольные IP-адреса для атаки и заражения.
На этой неделе в сети появились сразу три версии червя Korgo, которые используют уязвимость в ОС Windows, о которой стало известно более месяца назад. Это свидетельствует о том, что патч, устраняющий эту уязвимость установили далеко не все пользователи. Черви-“родственники” используют LSASS-дефект, который был обнаружен в середине апреля 2004 г. Korgo.a, Korgo.b и Korgo.c сканируют системы без установленных исправлений так же, как и червь Sasser, который первым использовал эту уязвимость.
Korgo обнаруживает уязвимую систему и подгружает себя. Korgo, также известный как Padobot, случайным образом выбирает IP-адреса компьютеров атакует и инфицирует их, по такому же принципу, что и другие черви, использующие LSASS-дефект. Черви открывают несколько TCP-портов, в том числе 113, 445, 2041, 3067 и 6667 в качестве “задней двери”, а затем соединяется с несколькими IRC-серверами для получения дальнейших команд и передачи информации. В случае удачного проникновения в систему, червь дает хакеру возможность полного контроля над ней.
Тем не менее, червям семейства Korgo большинство анти-вирусных компаний присвоило рейтинг “низкая степень угрозы”, а Symantec поставил им 2 балла по 5-балльной шкале опасности. Однако финская компания F-Secure считает, что вирус достаточно опасен, так как ворует информацию с помощью шпионских программ, мониторящих нажатия на клавиши.
Несмотря на то, что новый вирус не вызвал серьезной эпидемии, антивирусные компании настойчиво рекомендуют пользователям убедиться в том, что исправления, устраняющие уязвимость в LSASS, установлены на их ОС Windows NT, 2000, XP и Windows Server 2003.