За последние дни появилось сразу два новых примечательных вируса. Один "показывает" порносайты владельцам компьютеров-жертв, второй решил проучить беспечных сисадминов Windows NT и Sun Solaris.
Жертвами "порновируса", получившего название Homepage, уже стали компьютерные системы разных стран. Международная исследовательская компания Trend Micro заявила, что данный Интернет-червь впервые был обнаружен в США, а также поразил более 50 австралийских компаний. По крайней мере, 2,5 тыс. случаев проявления данного червя было зарегистрировано в Новой Зеландии. При этом среди жертв оказался сервер электронной почты Австралийского Парламента. Вирус проник в адресные книги сотни парламентариев и служащих. В результате один из сотрудников Парламента за несколько минут получил 10 копий зараженного письма.
Зараженное письмо содержит приложение под названием Homepage, а также текст послания, гласящий: "Привет, Вам просто необходимо заглянуть на эту страничку! Это действительно круто!" ("Hi! You've got to see this page! It's really cool"). После открытия письма вирус тут же рассылался по адресам, содержащимся в адресной книге пользователя. Чтобы не вызвать подозрений пользователя и скрыть свое внедрение в его компьютере, Homepage действительно открывает один из четырех порносайтов, адреса которых содержатся в коде червя.
По данным "Лаборатории Касперского" , Homepage написан на скрипт-языке Visual Basic Script (VBS) и работоспособен только в операционных системах с установленным обработчиком скрипт-программ Windows Scripting Host (в Windows 98, Windows2000 он установлен по умолчанию). В противном случае, файл-носитель червя просто не сможет быть выполнен. Главной отличительной чертой червя является то, что его код зашифрован, для того чтобы избежать обнаружения эвристическими анализаторами.
"Homepage является очередным вредоносным кодом, использующим для внедрения примитивный метод социального инжиниринга, и не представляет опасности для тех, кто строго следует правилам "компьютерной гигиены". Под ударом оказались лишь те пользователи, которые, несмотря на многочисленные предупреждения, до сих пор позволяют себе роскошь запускать файлы сомнительного содержания на своих компьютерах", - прокомментировал Денис Зенкин, руководитель информационной службы "Лаборатории Касперского".
Беспечные сисадмины Windows NT и Sun Solaris были разбужены на этой неделе новым вирусом Sadmind/IIS. По данным CERT, жертвами этого червя становятся пользователи Microsoft IIS Web server (версии 4 и 5) на платформе Windows NT. Интересно, что об уязвимых местах, используемых червем, известно уже давно. Компания Microsoft выпустила патч еще в августе прошлого года. Кроме того, целью вируса является серверное ПО на платформе Solaris версии 8. О наличии слабых мест этого ПО было известно еще с декабря 1999 года, но некоторые сисадмины не позаботились об установке патчей.
По данным CERT, внедрившись на сервер, червь дает хакеру возможность испортить данные или получить полный контроль над сервером. Sadmind/IIS так же меняет домашние страницы сайтов, хостящихся на пострадавшем сервере.
На всех "хакнутых" Web-страницах появилось одно и то же послание, критикующее правительство США и хакерскую группировку PoizonB0x. Напомним, что члены PoizonB0x в прошлом месяце взяли на себя ответственность за ряд атак в рамках китайско-американских киберстолкновений, сообщает РИА "РосБизнесКонсалтинг".