подскажите , пожалуйста,какими прогами это можно сделать?

вот приезжаешь ты однажды домой а тебе комп выдает ошибку процесса lsass.exe
это не комп глючит-это червь Win32:Padobot-I

Worm.Win32.Padobot


Вирус-червь. Также известен под названием Korgo. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011.

Червь написан на языке C++. Имеет размер около 10 КБ, упакован UPX.

Размножение
При запуске червь копирует себя в системный каталог Windows с произвольным именем и регистрируется в ключе автозапуска:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinUpdate"="%system%\[имя файла]"
Также создает ключ:

[HKLM\SOFTWARE\Microsoft\Wireless]
"Server"="1"
Создает в памяти уникальные идентификаторы "10", "u2", и "uterm5" для определения своего присутствия в системе.

Червь, аналогично другим червям, использующим уязвимость в службе LSASS, выбирает произвольные IP-адреса для атаки и заражения.

Прочее
После заражения инфицированная машина выводит сообщение об ошибке "LSASS service failing", после чего может попытаться перезагрузиться.

Червь открывает на зараженной машине порты TCP 113, 3067 и 2041 для приема команд.

Пытается установить соединение с несколькими каналами на IRC-серверах:

brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
gaspode.zanet.org.za
graz.at.eu.undernet.org
irc.kar.net
lia.zanet.net
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
moscow-advokat.ru
washington.dc.us.undernet.org
для приема команд и передачи данных.

Он же n0xwe11

вирус распостраняется через локальные сети и пролезает через бреши в первом сервис-паке винды ХР.так что лучше иметь либо пак 2 либо поставить заплаток.касперский и панда его по откликам заражавшихся пропускают и источника инфекции не находят
у меня аваст
запустила просканить все в режиме авто-загрузки и вот он выдал список н файлов,которые я отправила в хранилище,а потом собственно удалила
так во нашла в папке system32 папку local Settings и там кучка файлов такого плана XXXXXXX[1],XXXXXXX[2] и так далее короче сидел параллельно этот Ip и пытался атаковать другими вирусами.когда мен это заколебало-вынула кабель(давно пора,опомнилась=))))ворм активируется ели обнаруживает на вашем компе подключение по локальной сети,а так как его нет,то спите спокойно,вот как выключила,так и стала в режиме загрузки сканить комп,а вот где собственно прячется главный источник инфекции,он пробирается в стандартную папку ля файловой системы NTFS System Volume Information,в обычном режиме она не доступна но он лежит там,вот что выдал мне отчет аваст по этому поводу
D:\System Volume Information\_restore{D3C983F9-25D3-4481-8284-242F2CD2FB81}\RP53\A0027921.exe [L] Win32:Trojan-gen. {VC} (0)
Файл был успешно удален...
все вышло,а один чувак ради этого переводил ntfs в fat32 =)
папка-то в другой Фс затирается))
вот просканила все окончательно и теперь снова живу без проблем

Первые известные вирусы, распространяющиеся в системе "1С:Предприятие7.7" (см. "Фирма 1C", http://www.1c.ru). Данные вирусы заражают один из типов пользовательских файлов системы "1С:Предприятие 7.7" (файлы внешних отчетов, имеют расширение имени ".ERT").

Вирусы представляют из себя макро-модули, встроенные в файл-отчет 1C. Способ расположения этих вирусов в файлах-отчетах 1C и их функционирование во многом напоминает макро-вирусы, заражающие документы и таблицы MS Office. Модули располагаются в специальном блоке данных в файле-отчете, они активизируются при открытии файла. Так же, как и макросы MS Office, они могут иметь авто-имена, срабатывающие при различных действиях с файлом-отчетом, например, открытие файла.

Язык модулей 1C является достаточно мощным и позволяет обращаться к другим дисковым файлам (включая другие файлы-отчеты), что и используется вирусами данного типа для своего распространения.

Данные вирусы никак не проявляют своего присутствия в системе и не содержат никаких специальных деструктивных функций (за исключением того, что первый вирус при заражении уничтожает содержимое файла-жертвы).

Вероятность широкого распространения вирусов этого типа крайне мала, поскольку отчеты 1С:Предприятия не являются файлами, которые часто копируются с одного компьютера на другой или пересылаются по электронной почте.

Вирусы содержат строки-"копирайты":

Trivial.1Cv77 by BKNY0NNX
Companion.1Cv77 by BKNY0NNX
(имя вирусов "Bonny" было взято по буквам из этой текстовой строки "BKNY0NNX")

1C-Module.Bonny.a
"Overwriting"-вирус, записывает себя вместо заражаемых файлов. При заражении полностью уничтожает содержимое файла-жертвы.

Состоит их одного авто-модуля "ПриОткрытии()" и, соответственно, активизируется при открытии зараженного модуля. Состоит всего из 15 команд, которые ищут в текущем каталоге .ERT-файлы (внешние отчеты 1С), и записывается в них.

После заражения всех доступных файлов в каталоге вирус завершает работу системы (выполняет команду закрытия приложения 1C:Предприятие).

1C-Module.Bonny.b
Вирус-компаньон. Также состоит из одного авто-модуля "ПриОткрытии()". При активизации ищет в текущем каталоге .ERT-файлы, переименовывает найденные файлы в .ERT.ERT (добавляет к имени файла еще одно расширение .ERT, например, AUDIT.ERT -> AUDIT.ERT.ERT) и копирует себя вместо оригинального файла.

После заражения всех файлов в каталоге вирус открывает файл-жертву (.ERT.ERT-файл).

Вирус содержит ошибку и не определяет уже зараженные файлы, что может привести к многократному переименованию файла, например, "BALANS.ERT.ERT.ERT ... .ERT".

Очень опасные резидентные загрузочные вирусы. Перехватывают INT 13h и заражают первые физические сектора дисков: начальный сектор флоппи-дисков и MBR винчестера. Дискеты инфицируются при чтении с них (INT 13h, AH=02), винчестер - при загрузке DOS с зараженной дискеты. Состоят из двух частей. Первая часть содержит тело вируса и хранится в первом физическом секторе диска, вторая содержит первоначальный сектор зараженного диска и занимает один из редко используемых секторов: на винчестере - сектор между MBR и первым загрузочным сектором, а на дискете - один из секторов, отведенных под корневое оглавление. Например, вирус "Stoned.a" записывается в последний сектор корневого каталога 360K дискет. Ранние версии вируса сохраняют на дисках свою вторую часть по фиксированным адресам: на дискете - 1/0/3 (головка/трек/сектор), на винчестере - 0/0/7. При этом никаких проверок не производится, поэтому вирус может уничтожить часть информации на дисках (на дискетах - один из секторов FAT или корневого каталога, на винчестере - один из секторов FAT). Содержат строки текста, в некоторых вирусах они зашифрованы:

"Stoned.Angelina": Greetings for ANGELINA !!!/by Garfield/Zielona Gora
"Stoned.Antigame": Antigame from The Rat
"Stoned.Archub": ARC HUB 8A
"Stoned.Arcv.a": [HiDos] By Apache
"Stoned.Arcv.b": [SCYTHE2] by Apache
"Stoned.Arcv.c": [X-3a] ICE-9
"Stoned.Bite": I'm made in B I T E Soft. !
"Stoned.BlackWorm": BLACK WORM
"Stoned.Bunny": BUNNY
"Stoned.Canadian": Canadian
"Stoned.Dallas": MаsfВl perc mгlva DALLAS !
"Stoned.Damcdoom": DAMCDOOM
"Stoned.Daniela": EU TE AMO DANIELA
"Stoned.Diablo": DIABLO
"Stoned.Digital93": ^DIGITAL'93
"Stoned.Intruder": Intruder
"Stoned.J&M": J&M
"Stoned.Jugador": MARADONA
ESTE ES EL VIRUS DEL MEJOR JUGADOR DEL MUNDO
SALUDA A UD. MUY ATTE. DIEGO ARMANDO MARADONA
"Stoned.Kenya": KENYA
"Stoned.Lera": IF YOU WANT TO FUCK CALL 575-52-94 LERA!!!!
"Stoned.Magic": Magic
"Stoned.Micola.a": Mikola
"Stoned.Mikola.b": MIKOLA V15 GHOST
"Stoned.Military": EXPERIMENTAL MILITARY VIRUS Do not distribuite
whitout Pentagon S21 office permission!
"Stoned.Neardark.a": MARIJUANA++
"Stoned.Ok": o.k.
"Stoned.Vaucher": "VAUCHER" BY DARK DOC
"Stoned.Scrlock.a": ScrLock Protection
"Stoned.Scrlock.b": (C)91 Scroll Lock Protects the HDD
"Stoned.Sepultura": -=>SРpЧLчБrТ<=-
"Stoned.Service": "Service-1" presents
bootER 1991

made in Russig

"Stoned.Spirit": SPIRIT (c) MW
"Stoned.Survivor": Survivor2
"Stoned.Zoboot": ЗаBOOTовка

Stoned
При загрузке с зараженного флоппи-диска с вероятностью 1/8 на экране появляется сообщение "Your PC is now Stoned!". Помимо указанной, содержат строку "LEGALISE MARIJUANA!". Вирус "Stoned.c" при заражении MBR винчестера уничтожает таблицу разбиения (Disk Partition Table), после этого компьютер можно загрузить только с флоппи-диска. "Stoned.d" 1 октября уничтожает информацию на винчестере.

Stoned.Alive
При F0h-том обращении к диску (INT 13h) выводит текст "A AM ALIVE" в верхнюю часть экрана. Использует стелс-алгоритм при обращении к MBR винчестера.

Stoned.AntiExe
Блокирует запуск некоторых EXE-файлов, использует стелс-алгоритм.

Stoned.Antigame
Устанавливает INT 1, 3 на команду IRET. Запрещает переход в некоторые видеорежмы.

Stoned.Aragon
Зашифрован.

Stoned.Bloody.a,b
Периодически расшифровывают и выводят на экран текст: "Bloody! Jun. 4, 1989".

Stoned.Canadian
При обращении к зараженной MBR винчестера подставляет старый MBR-сектор.

Stoned.Cancer
В зависимости от текущего времени выводит: "This computer is dying of cancer!".

Stoned.COMx
После 25 мая что-то пишет в порты COM1 и COM2.

Stoned.Copy77
77-я копия вируса сообщает "Copy 77 in job ...".

Stoned.Daniela
5 апреля стирает сектора дисков.

Stoned.Dinamo
Сохраняет старый boot-сектор дискет в последний сектор корневого каталога вне зависимости от объема диска. Если при инсталляции вируса происходит ошибка, то он расшифровывает и выводит текст:

Dinamo(Kiev)-champion !!!

Stoned.DiskWasher
Периодически форматирует диски и выдает текст:

From DiskWasher with love

Stoned.Donald
Периодически выводит строку:

Donald Duck is a lie!!!

Stoned.Elythnia
При загрузке с вероятностью 1/8 выводит на экран:

Aaronexus of Elythnia!

Stoned.Face
Записывает в FAT дискет данные, расположенные по оффсету FACEh.

Stoned.GKCHP
Стелс-вирус. Содержит текст: "ГКЧП". При 90-й загрузке с винчестера стирает часть его содержимого.

Stoned.Gozar
11 ноября расшифровывает и выводит текст:

Gozar lives !

Stoned.Hysteria
19 октября стирает сектора дисков и выводит сообщение:

Turbo Hysteria

Stoned.IntFF
Иногда меняет вводимые с клавиатуры буквы. При записи на диск ищет в записываемом буфере команду INT 21h и меняет ее на INT FFh.

Stoned.Intruder
Перехватывает INT 1Ch и через некоторое время перезагружает компьютер. Читать далее...

Очень опасный резидентный файлово-загрузочный полиморфик-вирус. Заражает COM-файлы, boot-сектор диска C: и boot-сектора дискет. Код вируса зашифрован полиморфик-циклом как в файлах, так и в boot-секторах. При запуске зараженного файла вирус записывается в boot-сектор диска C: и возвращается в DOS. Boot-сектор диска C: также заражается при загрузке с зараженной дискеты. При загрузке с зараженного винчестера или флоппи-диска вирус перехватывает INT 13h, ждет загрузки DOS, перехватывает INT 21h и затем записывается в boot-сектора дискет при обращении к ним и в конец COM-файлов при их запуске. Вирус использует довольно сложный механизм при заражении COM-файлов: считывает 20h байт из начала файла (заодно проверяет, что формат файла не является EXE), перехватывает INT 3, INT 13h (еще одна процедура перехвата INT 13h) и отдает управление первоначальному обработчику INT 21h. Затем ждет момента загрузки файла (сравнивает считываемые по INT 13h сектора с 20h байтами заголовка файла) и записывает вместо первого байта запускаемого кода команду CCh (вызов INT 3). Таким образом, при запуске файла первой командой идет вызов INT 3, вирус перехватывает его, восстанавливает этот первый байт, перехватывает INT 1 (трассировка) и затем трассирует файл. При трассировке вирус пропускает 256 или более выполняемых команд, затем ждет команду JMP или CALL и записывает вместо нее команду перехода на тело вируса. Затем шифрует себя и записывает в конец файла. В результате вирус записывает команду перехода на себя в середину файла, а заголовок файла не изменяется. При заражении файлов вирус проверяет различные условия, чтобы не испортить файл, однако в некоторых случаях файл все равно оказывается испорченным. В результате ошибки при заражении boot-сектора диска C: вирус стирает на нем системную информацию, если число секторов на треке меньше 21. Более никак не проявляется, содержит строку:

Nexiv_Der takes on your files

Опасный резидентный загрузочный стелс-вирус. Перехватывает INT 13h и записывается в MBR винчестера и загрузочные сектора дискет и диска C:. Содержит строку:

PUR'CYST

Использует алгоритм вируса ExeBug для того, чтобы заразить память компьютера даже при холодной перезагрузке с заведомо незараженного системного диска. Этот алгоритм усовершенствован следующим образом: "Pur'Cyst" не обнуляет ячейки CMOS, а всего лишь устанавливает disk A: на 360K (если его объем 1,2Mb) или на 720K (если 1.4Mb). Компьютер, имеющий диск A: объема 1,2Mb или 1.4Mb в данном случае все равно загружается с винчестера, даже если в BIOS Setup указано грузить систему сначала с диска A, а затем с винчестера, и в дисководе A: находится системная дискета. Таким образом вирус прячется от невнимательного пользователя. Данный алгоритм несовместим с некоторыми BIOS, в результате чего пораженный компьютер может зависнуть.

Троянская программа-загрузчик. Без ведома пользователя скачивает из интернета другие файлы, сохраняет их на зараженном компьютере и запускает на исполнение. Программа является приложением Windows (PE EXE-файл). Написана на языке Visual Basic.

Размер зараженных файлов варьируется в пределах от 10 до 25 КБ.

Деструктивная активность

При запуске программа проверяет наличие следующего файла:

c:\drsmart\load1.exe
Если файл не существует, программа ждет соединения с интернетом, после чего пытается скачать файл по следующему URL:

http://promo.dollarrevenue.com/****le/drsmartload.exe
и сохранить в

c:\drsmart\load1.exe
Если попытка скачать файл удалась, троянец запускает его и завершает свою работу.

Рекомендации по удалению

Удалить файл:
c:\drsmart\load1.exe
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
Другие названия
Trojan-Downloader.Win32.Adload.j («Лаборатория Касперского») также известен как: Generic Downloader.s (McAfee), Trojan.DownLoader.4805 (Doctor Web), Troj/Drsmartl-A (Sophos), TR/Dldr.VB.QR (H+BEDV), Trojan.Downloader.Adload.J (SOFTWIN), Trojan.Downloader.Adload-4 (ClamAV), Adware/Ucmore (Panda), Win32/TrojanDownloader.Adload.J (Eset)

Троянская программа-загрузчик. Является приложением Windows (PE EXE-файл), упакована UPX. Размер файла — 32 256 байт. Размер распакованного файла — около 90 КБ. Написана на языке Visual C++. Деструктивная активность

После запуска троянец проверяет возможность соединения с узлом www.ysbweb.com.

Если соединение отсутствует, троянец завершает свою работу.

В противном случае выводит следующее диалоговое окно:

[показать]
После щелчка мыши на кнопке «Complete» троянец выполняет следующие действия:

Создает уникальный идентификатор «ISTdownloadMuTEX» для определения своего присутствия в системе.
Загружает из интернета, устанавливает и запускает на исполнение следующие программы:
istsvc.exe (19 456 байт).
Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.gen.
Путь к программе: %Program Files%\ISTsvc\.
istbarcm.dll (91 136 байт).
Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.kg.
Путь к программе: %Program Files%\ISTBar\
optimize.exe (52 104 байт).
Детектируется антивирусом Касперского как Trojan-Downloader.Win32.Dyfuca.ei.
Путь к программе: %Program Files%\InternetOptimizer\
<6 случайных символов>.exe
Например: bnaoqc.exe (10 240 байт).
Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.ij.
Путь к программе: %WinDir%\
saferscan.exe (91 136 байт)
Путь к программе: %Program Files%\SaferScan\
SAcc.exe (110 592 байт)
Путь к программе: %Program Files%\SurfAccuracy\
SAccU.exe (16 384 байт)
Путь к программе: %Program Files%\SurfAccuracy\
<8 случайных символов>.exe
Например: fowkxcmy.exe (52 104 байт).
Путь к программе: %WinDir%\
Эти программы загружаются со следующих ресурсов:

http://www.ysbweb.com
http://www.surfaccuracy.com
http://www.tbcode.com
http://www.slotch.com
Добавляет следующие ключи в системный реестр:
[HKCU\Software\SaferScan]
"account_id"="0"

[HKCU\Software\IST]
"account_id"="dword:00000000"
"config"=""
"exe_start"="dword:00000001"
"InstallDate"="%date% %time%"
"Recover"="!ZpHc:"

[HKLM\Software\ISTbar]
"installTitle"="SlotchBar"
"barTitle"="SlotchBar"
"serverpath"="http://cache.slotch.com/ist/bars/istbar_cm/"
"urlAfterInstall"="http://www.ysbweb.com/install/welcome.html"
"gUpdate"="0"
"TBRowMode"="dword:00000000"
"xml_istbar.xml"="-206472906"
"imagemap_normal.bmp"="-942107825"
"imagemap_over.bmp"="-942107825"
"showcorrupted"="1"
"updatever"=""
"refreshscope"="1440"
"allowupdate"="0"
"LastCheckTime"="dword:4400260c"
"version.txt"="-186917087"
"UpdateBegin"="0"

[HKLM\Software\ISTbar\Historyfiles]
"C:\Program Files\ISTbar\xml_istbar.xml"="dword:00000001"
"C:\Program Files\ISTbar\imagemap_normal.bmp"="dword:00000001"
"C:\Program Files\ISTbar\imagemap_over.bmp"="dword:00000001"
"C:\Program Files\ISTbar\version.txt"="dword:00000001"

[HKLM\Software\ISTsvc]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
"DisplayName"="ISTsvc"
"UninstallString"="C:\PROGRAM FILES\ISTSVC\ISTSVC.EXE /remove"
"NoModify"="dword:00000001"

[HKLM\Software\SAcc]
"accid"="104"
"subaccid"="0"
"Version"="dword:0x480"
"InstallDate"="dword:0x44002606"
"DbgInfo"="|2006-02-25 10:50:22 GetInetFile - CInternetException produced error 12029."
"srecovery"="!ZpH..."
"CfgReloadAttempts"="dword:00000001"

[HKLM\Software\Policies\Microsoft\Windows\Safer]

Регистрирует класс COM-объекта для ISTbar:
[HKCR\IstBar.BarObj]
"CLSID"={FAA356E4-D317-42a6-AB41-A3021C6E7D52}

[HKCR\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52}]
"ProgId"="ISTbar.BarObj"

Регистрирует скачанные файлы в ключе автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"IST Service"="C:\Program Files\ISTsvc\istsvc.exe"
"aKCSidSjW"="%WinDir%\bnaoqc.exe"
"SurfAccuracy"="C:\Program Files\SurfAccuracy\SAcc.exe"
"Internet Optimizer"="C:\Program Files\Internet Optimizer\optimize.exe"
"SaferScan"=""C:\Program Files\SaferScan\saferscan.exe" /aid:0"
"ReJf5vH"="%WinDir%\fowkxcmy.exe"
После завершения инсталляции открывает в браузере следующую страницу:
http://www.ysbweb.com/install/welcome.html
Рекомендации по удалению

В диспетчере задач завершить все троянские процессы:
bnaoqc.exe
istsvc.exe
optimize.exe
Sacc.exe
saferscan.exe
Удалить следующие ключи реестра:
[HKCU\Software\SaferScan]
[HKCU\Software\IST]
[HKCU\Software\ISTbar]
[HKCU\Software\ISTsvc]
[HKLM\Software\SAcc]
[HKLM\Software\Policies\Microsoft\Windows\Safer]
[HKCR\IstBar.BarObj]
[HKCR\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52}]
Удалить значения в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"IST Service"
"aKCSidSjW" - (имя содержит 9 случайных символов)
"SurfAccuracy"
"Internet Optimizer"
"SaferScan"
"ReJf5vH" - (имя содержит 7 случайных символов)
Удалить файлы и папки скаченных из интернета Читать далее...

_______________________________________________________________________________
[451x556]

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 95 КБ, размер в распакованном виде — около 176 КБ.

Инсталляция
После запуска, скрывая свою основную функциональность, червь создает в системном каталоге Windows и затем открывает ZIP-архив с тем же именем, что и запускаемый файл. Например:

%System%\Sample.zip
При инсталляции червь копирует себя в корневой и системный каталоги Windows и каталог автозагруски со следующими именами:

%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry"="scanregw.exe /scan"
При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие ключи реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"WebView"="0"
"ShowSuperHidden"="0"
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

dbx
eml
htm
imh
mbx
msf
msg
nws
oft
txt
vc
Червь также сканирует файлы, имеющие в своем имени следующие подстроки:

content
temporary
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем
Тема письма:
*Hot Movie*
A Great Video
Arab sex DSC-00465.jpg
eBook.pdf
Fuckin Kama Sutra pics
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
Re: Sex Video
School girl fantasies gone bad
The Best Videoclip Ever
You Must View This Videoclipe!
Текст письма:
----- forwarded message -----
>> forwarded message
forwarded message attached.
Fuckin Kama Sutra pics
hello, i send the file. Bye
Hot XXX Yahoo Groups
how are you? i send the details.
i attached the details. Thank you.
i just any one see my photos. It's Free :)
Note: forwarded message attached. You Must View This Videoclip!
Please see the file.
Re: Sex Video
ready to be FUCKED ;)
The Best Videoclip Ever
VIDEOS! FREE! (US$ 0,00)
What?
Имя файла-вложения:
007.pif
04.pif
3.92315089702606E02.UUE
677.pif
Attachments[001].B64
document.pif
DSC-00465.Pif
DSC-00465.pIf
eBook.PIF
eBook.Uu
image04.pif
New_Document_file.pif
Original Message.B64
photo.pif
School.pif
SeX.mim
WinZip.BHX
Word_Document.hqx
Word_Document.uu
Распространение через открытые сетевые ресурсы
Червь копирует себя в следующие доступные сетевые ресурсы с именем Winzip_TMP.exe:

ADMIN$
C$
Прочее
В случае обнаружения на зараженном компьютере червь удаляет следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"APVXDWIN"
"avast!"
"AVG_CC"
"AVG7_CC"
"AVG7_EMC"
"AVG7_Run"
"Avgserv9.exe"
"AVGW"
"BearShare"
"ccApp"
"CleanUp"
"defwatch"
"DownloadAccelerator"
"kaspersky"
"KAVPersonal50"
"McAfeeVirusScanService"
"MCAgentExe"
"McRegWiz"
"MCUpdateExe"
"McVsRte"
"MPFExe"
"MSKAGENTEXE"
"MSKDetectorExe"
"NAV Agent"
"NPROTECT"
"OfficeScanNT Monitor"
"PCCClient.exe"
"pccguide.exe"
"PCCIOMON.exe"
"PccPfw"
"Pop3trap.exe"
"rtvscn95"
"ScanInicio"
"ScriptBlocking"
"SSDPSRV"
"TM Outbreak Agent"
"tmproxy"
"Vet Alert"
"VetTray"
"VirusScan Online"
"vptray"
"VSOCheckTask"
Также червь выгружает из системы запущенные приложения, в именах которых присутствуют следующие строки:

fix
kaspersky
mcafee
norton
removal
scan
symantec
trend micro
virus
Червь удаляет все найденные файлы из следующих папок:

%ProgramFiles%\Alwil Software\Avast4\*.exe %ProgramFiles%\BearShare\*.dll
%ProgramFiles%\DAP\*.dll
%ProgramFiles%\Grisoft\AVG7\*.dll
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
%ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar
%ProgramFiles%\McAfee.com\Agent\*.*
%ProgramFiles%\McAfee.com\shared\*.*
%ProgramFiles%\McAfee.com\VSO\*.exe
%ProgramFiles%\Morpheus\*.dll
%ProgramFiles%\NavNT\*.exe
%ProgramFiles%\Norton AntiVirus\*.exe
%ProgramFiles%\Symantec\Common Files\Symantec Shared\*.*
%ProgramFiles%\Symantec\LiveUpdate\*.*
%ProgramFiles%\Trend Micro\Internet Security\*.exe
%ProgramFiles%\Trend Читать далее...

«Лаборатория Касперского» напоминает, что в пятницу, 3 февраля, впервые активизируются деструктивные функции червя Nyxem.e.

Червь проверяет системное время и 3 числа каждого месяца уничтожает содержимое файлов со следующими расширениями:


dmp
doc
mdb
mde
pdf
pps
ppt
psd
rar
xls
zip
Восстановить уничтоженные червем данные будет невозможно.

Червь также пытается противодействовать работе антивирусных программ.

«Лаборатория Касперского» рекомендует пользователям произвести резервное копирование важных для них файлов до полуночи с четверга на пятницу.

Детектирование Nyxem.e было добавлено в базы данных Антивируса Касперского 16 января. Для надежной защиты от этого червя пользователям Антивируса Касперского необходимо скачать новейшие антивирусные базы.

Если ваш компьютер уже заражен и как следствие вы не можете запустить свой антивирус, то воспользуйтесь инструкциями по ручному удалению Nyxem.e (они в предыдущем сообщении)

Основным признаком, по которому типы червей различаются между собой, является способ распространения червя — каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия КЧ между собой являются способы запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).

Email-Worm — почтовые черви
К данной категории червей относятся те из них, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:


прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
использование сервисов MS Outlook;
использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:


рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
считывает адреса из адресной базы WAB;
сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
отсылают себя во всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

IM-Worm — черви, использующие интернет-пейджеры
Известные компьютерные черви данного типа используют единственный способ распространения — рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб-сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

IRC-Worm — черви в IRC-каналах
У данного типа червей, как и у почтовых червей, существуют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ — отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Net-Worm — прочие сетевые черви
Существуют прочие способы заражения удаленных компьютеров, например:


копирование червя на сетевые ресурсы;
проникновение червя на компьютер через уязвимости в операционных системах и приложениях;
проникновение в сетевые ресурсы публичного использования;
паразитирование на других вредоносных программах.

Первый способ заключается в том, что червь ищет удаленные компьютеры и копирует себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом черви данного типа или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Для проникновения вторым способом черви ищут в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально оформленный сетевой пакет или запрос (эксплойт уязвимости), в результате чего код (или часть кода) червя проникает на компьютер-жертву. Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение.

Отдельную категорию составляют черви, использующие для своего распространения веб- и FTP-сервера. Заражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и необходимым образом модифицирует служебные файлы сервера (например, статические веб-страницы). Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (например, открывают зараженную веб-страницу), и таким образом проникает на другие компьютеры в сети.

Существуют сетевые черви, паразитирующие на других червях и/или троянских программах уделенного администрирования (бэкдорах). Данные черви используют тот факт, что многие бэкдоры позволяют по определенной команде скачивать указанный файл и запускать его на локальном диске. То же возможно с некоторыми червями, содержащими бэкдор-процедуры. Для заражения удаленных компьютеров данные черви ищут другие компьютеры в сети и посылают на них команду скачивания и запуска своей копии. Если атакуемый компьютер оказывается уже зараженным Читать далее...

Первый представитель данного семейства сетевых червей, "Code Red" (также известный под именем "Bady"), по данным ZDNet, уже заразил около 12 000 серверов по всему миру и провел крупномасштабную DDoS атаку на Web сервер Белого дома, вызвав нарушение его нормальной работы.

"Code Red" заражает только компьютеры под управлением Windows 2000 (без установленных сервисных пакетов), с установленным Microsoft Internet Information Server (IIS) и включенной службой индексирования (Indexing Service). Вместе с тем, именно это программное обеспечение чаще всего используется на коммерческих Web, FTP и почтовых серверах, что и определило широкое распространение червя. Масштабы эпидемии могли бы быть еще более внушительными, если бы червь поражал и другие версии Windows, например Windows NT и Windows XP. Однако автор червя умышленно "нацелил" его только на системы Windows 2000.

Для проникновения на удаленные компьютеры червь использует обнаруженную в июне 2001 г. брешь в системе безопасности IIS, которая позволяет злоумышленникам запускать на удаленных серверах посторонний программный код. Для этого "Code Red" посылает на случайно выбранный удаленный сервер специальный запрос дающий компьютеру команду запустить основную программу червя, которая в свою очередь попытается таким же образом проникнуть на другие серверы. Одновременно в памяти компьютера может существовать сразу сотни активных процессов червя, что существенно замедляет работу сервера.

18 июня 2001 г. Microsoft выпустила заплатку, устраняющую данную брешь, однако подавляющее большинство пользователей еще не успело обновить свое программное обеспечение.

Важной особенностью "Code Red" является то, что в процессе работы он не использует никаких временных или постоянных файлов. Данный червь уникален: он существует либо в системной памяти зараженных компьютеров, либо в виде TCP/IP-пакета при пересылке на удаленные машины. Подобная "бестелесность" представляет серьезную проблему для защиты серверов, поскольку требует установки специальных антивирусных модулей на межсетевые экраны.

Помимо значительного замедления работы зараженных компьютеров, "Code Red" имеет другие побочные действия. Во-первых, червь перехватывает обращения посетителей к Web сайту, который управляется зараженным IIS-сервером, и вместо оригинального содержимого передает им следующую страницу:
[показать]



После показа фальсифицированной стартовой страницы взломанного Web сайта в течение 10 часов, червь автоматически возвращает все на свои места и посетители видят оригинальную версию сайта. Важно отметить, что данный эффект проявляется только на системах, где по умолчанию используется язык "US English".

Во-вторых: между 20 и 27 числами каждого месяца включительно червь осуществляет DDoS (Distributed Denial of Service) атаку на сайт Белого дома США (www.whitehouse.gov). Для этого копии червя на всех зараженных компьютерах посылают многочисленные запросы на соединение, что вызывает зависание сервера, обслуживающего данный Web-сайт.

Для нейтрализации, а также в качестве профилактической меры для предотвращения проникновения червя на сервер, мы рекомендуем пользователям немедленно установить "заплатку" для исправления "бреши" в системе безопасности IIS.

"CodeRed.c" (также известен, как "CodeRedII")
4 августа 2001 г. была обнаружена новая модификация червя CodeRed - CodeRed.c.

По сравнению с более ранними версиями, программный код "CodeRed.c" занимает меньше места и написан с большим знанием языка программирования Assembler. В этой версии также исправлена ошибка, которая допускала существование нескольких активных процессов червя. Эта модификация содержит строку:

CodeRedII
Данная модификация "червя" также следит за текущей датой и начиная с 1 октября 2001 года (и в любой последующий день) перезагружает компьютер.

Новая версия червя также содержит бекдор-процедуру (Backdoor). Эта процедура копирует стандартный командный процессор Windows2000 CMD.EXE под именем ROOT.EXE в два стандартных каталога IIS-сервера:

\inetpub\scripts\root.exe
\progra~1\common~1\system\MSADC\root.exe
Это позволяет удаленно управлять зараженной машиной.

Червь также создает троянскую программу (которая хранится в теле червя в упакованном виде) в корневых каталогах дисков C: и D: под именем EXPLORER.EXE, длина троянца - 8192 байт. Этот троянец:

отключает Windows File Protection, для этого записывает соответствующее значение в ключ реестра:
HKLM\SoftwareMicrosoftWindowsNtCurrentversionWinlogon\SFCDisable
открывает на полный доступ каталоги Web-сервера на дисках C: и D:.
Детальный анализ кода "CodeRed.c" показывает, что эта модификация могла быть ответом другой группы хакеров на предыдущие версии червя. В отличии от версий ".a" и ".b", здесь основной урон наносится компьютерам, на которых по умолчанию установлена китайская таблица символов. В этом случае червь запускает 600 параллельных процессов Читать далее...

Поскольку компьютерному хакерству уже больше 30 лет, у правительств было достаточно времени, чтобы разработать и принять ряд законов по борьбе с киберпреступностью. В настоящее время почти во всех развитых странах в той или иной форме имеется набор законодательных актов, посвященных противостоянию хакерству и электронным кражам информации, которое можно использовать для наказания киберпреступников. Часто предпринимаются попытки сделать подобные законы еще более строгими, настолько, что иногда этому начинают противиться организации по защите свободы распространения информации.

За последние годы за хакерство и незаконный доступ к информации было осуждено множество людей. Вот некоторые из этих случаев:

Арест Кэвина Митника является, пожалуй, одним из наиболее известных случаев ареста хакера. Мытника арестовали 15 февраля 1995 года в городе Рэлей, Северная Каролина, после того как его сумел выследить компьютерный эксперт Цитому Шимомура. После признания Мытником вины по большинству предъявленных ему обвинений, его приговорили к 46 месяцам реального и трем годам условного заключения. Вдобавок его обязали выплатить множество штрафов. Мытника выпустили из тюрьмы 21 января 2000 года.
Пьер-Ги Лавуа (Pierre-Guy Lavoie), 22-летний канадский хакер, был приговорен к 12 месяцам общественных работ и условному заключению на 12 месяцев за подбор паролей с целью проникновения в чужие компьютеры. Его осудили по канадскому законодательству.
38-летний Томас Майкл Вайтхэд из города Бока Рэйтон во Флориде, стал первым человеком, осужденным по американскому Digital Millennium Copyright Act (DMCA). Ему, в рамках программы генеральной прокуратуры по противостоянию компьютерному хакерству и нарушениям интеллектуальной собственности, предъявили обвинения в продаже устройств, которые можно использовать для нелегального приема вещания спутниковой системы DirecTV.
Серж Хампич (Serge Humpich), 36-летний инженер, был приговорен к 10 месяцам заключения и обязан выплатить 12 тысяч франков штрафа и символический один франк Groupement des Cartes Bancaires, организации, занимающейся обслуживанием электронных платежных карт.
10 октября 2001 года 26-летний Василий Горшков из Челябинска был приговорен по 20 пунктам обвинения, состоявшего из всевозможных компьютерных преступлений и афер, совершенных против сети Speakeasy в Сиэтле, Вашингтон; банку Nara в Лос-Анджелесе, Калифорния; Центрального национального банка Вако в Техасе; и онлайновой платежной компании PayPal из Пало-Альто, Калифорния.
Первого июля 2003 года Олег Зезев, известный как Alex, гражданин Казахстана, был приговорен манхэттенским федеральным судом к 51 месяцу заключения после признания его виновным в компьютерном вымогательстве.
Матеас Калин, румынский хакер, был арестован вместе с пятью гражданами США по обвинению в краже более 10 млн USD у компании Ingram Micro из Санта-Аны, Калифорния. В настоящее время (конец 2004 года) Матеас и его сообщники ожидают решения суда, которое грозит обернуться 90 годами тюремного заключения.
Этот перечень — лишь краткий набор примеров того, как законодательство о противостоянии хакерам используется для наказания киберпреступников. Правда, есть случаи, когда людей обвиняли в киберпреступлениях ошибочно. Но бесконечное множество хакеров все еще находятся на свободе, несмотря на то, что их имена и иная персональная информация давно известны правоохранительным органам. Впрочем, день ото дня таковых становится все меньше и меньше.

Киберпреступность — реальность XXI века, которая никуда не денется, чему порукой широкая доступность интернета и большое количество подключенных к нему недостаточно защищенных компьютерных систем. С детально проработанным законодательством и увеличением числа международных договоренности в области противостояния киберпреступности, надеемся, мир движется в правильном направлении, главной целью которого является безопасное, узаконенное киберпространство.

Тут содержится краткая информация о наиболее известных хакерах, как «черных», так и «белых». Все они хорошо известны по множеству причин: из-за их поступков — хороших и плохих, — их вклада в разработку программ и технологий, новаторского подхода, умения нестандартно мыслить.

Ричард Столмэн (Richard Stallman) известен как отец бесплатного программного обеспечения. Когда Ричард работал в лаборатории исследования искусственного интеллекта в MIT в 1971 году, он, при попытке исправить работу не самой важной программы, столкнулся со множеством «соглашений о неразглашении» и проблемой закрытых исходных программных кодов. После поучительной «битвы» за право обладания исходниками неправильно работающей принтерной утилиты - а это была именно она, — Столмэн сдался и стал одним из основных сторонников бесплатного программного обеспечения, создав в процессе своей дальнейшей деятельности GNU и Free Software Foundation.

Деннис Ритчи (Dennis Ritchie) и Кен Томпсон (Ken Thompson) известны благодаря двум важнейшим программным разработкам XX века: операционной системе UNIX и языку программирования C. Оба начали свои карьеры в Bell Labs в 1960-х, навсегда изменив компьютерный мир своими идеями. Кен Томпсон больше не в компьютерной индустрии, но Деннис Ритчи по-прежнему является сотрудником Lucent Technology и работает над новой, основанной на UNIX операционной системой под названием Plan9.

Джон Дрейпер (John Draper), известный как Cap'n Crunch, знаменит своими взломами телефонных сетей при помощи свистка из коробки кукурузных хлопьев Cap'n Crunch (откуда и получил свое прозвище). Помимо заложения основ в деле телефонных фрикеров, Джон известен авторством программы, которая была, пожалуй, первым в мире текстовым редактором для IBM PC. В настоящее время он возглавляет собственную компанию, специализирующуюся на разработке систем защиты от спама, отражения хакерских атак и обеспечения безопасности персональных компьютеров.

Роберт Моррис (Robert Morris) знаменит созданием первого в истории интернет-червя в 1988 году. Червь заразил тысячи компьютеров и практически остановил работу интернета на целый день. Помимо прочего, червь Morris был, наверное, первой автоматической хакерской утилитой, использовавшей несколько неисправленных уязвимостей в компьютерах Vax и Sun.

Кэвин Митник (Kevin Mitnick), самый знаменитый «черный» хакер, был пойман компьютерным экспертом Цутому Симамура (Tsutomu Shimomura).

Кэвин Поулсен (Kevin Poulsen) все еще известен благодаря осуществленному им в 1990 году взлому телефонной сети Лос Анджелеса, после которого он стал 102-м позвонившим на радио и выиграл Porsche 944. Правда, потом Кэвина поймали и посадили в тюрьму на три года. Сейчас он работает колумнистом на сайте SecurityFocus.

Владимир Левин, русский компьютерный эксперт, взломавший сеть Citibank и укравший 10 млн USD. Его арестовал Интерпол в Великобритании в 1995 году. Суд приговорил Владимира к 3 годам лишения свободы и штрафу в 240015 USD.

Цутому Симамура (Tsutomu Shimomura) — пример «белого» хакера. Он работал в суперкомпьютерном центре в Сан-Диего, когда Кэвин Митник взломал сеть центра и украл информацию о технологиях сотовой связи и другие секретные данные. Цутому начал охоту на Митника, приведшую в итоге к аресту последнего.

Линус Торвальдс (Linus Torvalds) известен как создатель Linux, наиболее популярной и широко используемой в наши дни UNIX-подобной операционной системы. Линус начал разработку новой ОС в 1991 году, основав ее на ряде неоднозначных в те времена технологий вроде концепции бесплатного программного обеспечения и публичной лицензии GPL. Он также известен своими спорами с Эндрю Танненбаумом (Andrew Tannenbaum), автором ОС Minix, ставшей источником вдохновения на старте проекта Linux.

Есть множество способов воспользоваться большинством уязвимостей. Для хакерской атаки можно использовать один эксплойт, несколько эксплойтов одновременно, неверные настройки программных компонентов или даже программу-бэкдор, установленную в операционную систему в процессе предыдущей атаки.

Из-за этого детектирование хакерской атаки становится не самой простой задачей, особенно для неопытного пользователя. В этом разделе мы постараемся сформулировать советы, способные помочь читателю определить, подвергается ли его компьютер хакерской атаке или же защита компьютера уже была взломана ранее. Помните, что, как и в случае вирусов, никто не дает 100% гарантии, что вы сможете зафиксировать хакерскую атаку подобными способами. Впрочем, если ваша система уже взломана, то вы наверняка отметите некоторые из нижеприведенных признаков.

Windows-компьютеры:
Подозрительно высокий исходящий трафик. Если вы пользуетесь дайлапом или ADSL-подключением и заметили необычно большое количество исходящего сетевого трафика (в частности, проявляющегося, когда ваш компьютер работает и подключен к интернету, но вы им не пользуетесь), то ваш компьютер, возможно, был взломан. Такой компьютер может использоваться для скрытой рассылки спама или для размножения сетевых червей.
Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Многие хакеры после взлома компьютера производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PayPal. Некоторые сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии используются для рассылки зараженных писем. Если вы заметили значительную активность жестких дисков даже когда компьютер стоит без работы, а в общедоступных папках стали появляться файлы с подозрительными названиями, это также может быть признаком взлома компьютера или заражения его операционной системы вредоносной программой.
Большое количество пакетов с одного и того же адреса, останавливаемые персональным межсетевым экраном. После определения цели (например, диапазона IP-адресов какой-либо компании или домашней сети) хакеры обычно запускают автоматические сканеры, пытающиеся использовать набор различных эксплойтов для проникновения в систему. Если вы запустите персональный межсетевой экран (фундаментальный инструмент в защите от хакерских атак) и заметите нехарактерно высокое количество остановленных пакетов с одного и того же адреса, то это — признак того, что ваш компьютер атакуют. Впрочем, если ваш межсетевой экран сообщает об остановке подобных пакетов, то компьютер, скорее всего, в безопасности. Однако многое зависит от того, какие запущенные сервисы открыты для доступа из интернета. Так, например, персональный межсетевой экран может и не справиться с атакой, направленной на работающий на вашем компьютере FTP-сервис. В данном случае решением проблемы является временная полная блокировка опасных пакетов до тех пор, пока не прекратятся попытки соединения. Большинство персональных межсетевых экранов обладают подобной функцией.
Постоянная антивирусная защита вашего компьютера сообщает о присутствии на компьютере троянских программ или бэкдоров, хотя в остальном все работает нормально. Хоть хакерские атаки могут быть сложными и необычными, большинство взломщиков полагается на хорошо известные троянские утилиты, позволяющие получить полный контроль над зараженным компьютером. Если ваш антивирус сообщает о поимке подобных вредоносных программ, то это может быть признаком того, что ваш компьютер открыт для несанкционированного удаленного доступа.
UNIX-компьютеры:
Файлы с подозрительными названиями в папке «/tmp». Множество эксплойтов в мире UNIX полагается на создание временных файлов в стандартной папке «/tmp», которые не всегда удаляются после взлома системы. Это же справедливо для некоторых червей, заражающих UNIX-системы; они рекомпилируют себя в папке «/tmp» и затем используют ее в качестве «домашней».
Модифицированные исполняемые файлы системных сервисов вроде «login», «telnet», «ftp», «finger» или даже более сложных типа «sshd», «ftpd» и других. После проникновения в систему хакер обычно предпринимает попытку укорениться в ней, поместив бэкдор в один из сервисов, доступных из интернета, или изменив стандартные системные утилиты, используемые для подключения к другим компьютерам. Подобные модифицированные исполняемые файлы обычно входят в состав rootkit и скрыты от простого прямого изучения. В любом случае, полезно хранить базу с контрольными суммами всех системных утилит и периодически, отключившись от интернета, в режиме одного пользователя, проверять, не изменились ли они.
Модифицированные «/etc/passwd», «/etc/shadow» или иные системные файлы в папке «/etc». Иногда результатом хакерской атаки становится появление еще одного пользователя в файле «/etc/passwd», который может удаленно зайти в систему позже. Следите за всеми Читать далее...

Начнем, с нескольких аксиом:

1. Если Ваш компьютер не подключен к сети - он защищен от взлома.

2. Если, программное обеспечение вашего компьютера устаревшее или наоборот самое свежее, то существует большая вероятность взлома.

3. Если программное обеспечение не обновляется, считайте, что компьютер взломан.

4. Любая программа, используемая при работе в сети, является потенциально опасной.

Рассмотрим, все программные системы, которые вы используете при работе в сети.

БРАУЗЕРЫ.
На первом месте, конечно, идут разнообразные браузеры. Порой, зайдя на сайт, можно увидеть необъяснимую активность вашего жесткого диска, которая на проверку оказывается перекачиванием злоумышленником через очередную дыру вашего браузера интересующей его информации, а иногда вместе с просмотром интересующей вас страницы вы получаете очередной вирус. Причем здесь имеет место следующее утверждение - чем проще браузер, тем меньше вероятность, того, что ваш компьютер, будет взломан.

А насколько это опасно, можно проследить, по очередным патчам, которые выпускают производители данного вида программ. Особенно в этом преуспела корпорация Майкрософт. В ее браузере, столько "недокументированных" возможностей, что порой, каждый день вам приходится качать очередное обновление. Правда следует заметить, что отсутствие подобных дыр в конкурирующих браузерах является не более чем их малой распространенностью или меньшей функциональностью, а следовательно и меньшему интересу со стороны злоумышленников, которые их обнаруживают.

МЕНЕДЖЕРЫ ЗАГРУЗКИ
В принципе, данный вид программ является одним из наиболее защищенным от различных воздействий, по крайней мере мне не известно, что какая либо программа данного класса являлась, источником угрозы. Правда следует отметить, что вы не застрахованы от того, что вместе с очередным закачиваемым файлом, вы в довесок не получите очередной вирус или троян, но во многих программах существует возможность проверки всех файлов с помощью антивируса, поэтому всегда если есть возможность включите эту опцию. Еще одним нелицеприятным моментом является наличие в составе программ качалок так называемого spyware (примером этому может служить Gator), т.е. модулей, которые собирают информацию о вашей деятельности в сети и пересылающей ее разработчикам или спонсорам. А это прямая угроза вашей анонимности в сети, а я думаю, вам не хотелось бы делится с кем-либо вашими личными предпочтениями.

ПОЧТОВЫЕ ПРГРАММЫ
Вот и добрались до наиболее "опасного" вида программ. Угроза кроется не столько в этих программах, сколько в обработке ими писем. Эпидемии сетевых "червей" типа Klez или Sircam только подтверждают это. Как всегда отличилась корпорация Майкрософт, ее почтовые клиенты являются самыми мощными распространителями вирусной инфекции. Пользователю порой даже не надо просматривать зараженные письма, так как Outlook позволяет использовать механизмы автозапуска, запуская вирус на машине жертвы и рассылая его по всем адресатам. Другим способ заражения является прикрепление опасной программы к письму под видом безопасной. Например, файл вида: My_Party_and_Nude_Girl.jpg.______.exe является исполняемым, но Outlook не всегда полностью отображает расширение, и поэтому кажется, что это картинка с весьма интригующим названием, поэтому часто мы смело запускаем просмотр, не подозревая, что внедряем в систему заразу. Наиболее безопасной с этой точки зрения является The Bat! компании RitLabs, так как она не позволяет совершить самопроизвольный запуск или выдает предупреждение при просмотре файлов с несколькими расширениями. Другой опасностью подстерегающей пользователя является перехват сообщения с целью прочтения или модификации. Единственной защитой от этого является шифрование сообщений и использование электронной подписи, которые позволяют обеспечить вашу безопасность при работе с электронной почтой.

СЕТЕВЫЕ СРЕДСТВА ОБЩЕНИЯ
Еще один класс программ, про защиту от взлома которых известно так мало, но опасность которого велика - сетевые средства общения такие как ICQ, Odigo и т.д. Практически 100% что ваш пароль к ICQ и пароль к другим типам программ является одинаковым, следовательно, взломав аську злоумышленник получит доступ к вашему почтовому ящику, сайту и т.п. Сделать это достаточно просто, если вы не позаботились о собственной безопасности. Простейший способ - если у вас есть открытые ресурсы, типа зашаренных дисков, то достаточно переписать учетную запись, а взломать ее достаточно просто, для этого есть большое количество специальных программ. Другой способ отслеживание вашего трафика, перехватив его можно получить много очень интересной информации, такой как ваши пароли. Для того чтобы обеспечить приемлемый уровень безопасности, используйте если возможно протокол HTTPS, он позволяет шифровать весь ваш трафик, и не оставляйте видимыми ваши сетевые ресурсы - отключите сетевые шары.

ЗАКЛЮЧЕНИЕ
В заключении я хочу сказать, предохраняйтесь и все будет ОК.

Две японские компании – системный разработчик Nippon Intelligence и страховая фирма AIU, представительство американской корпорации American International Group, в мае текущего года запускают очень необычную службу. Основной задачей этой службы станет возмещение пользователям всемирной паутины ущерба, нанесенного в результате вредоносного действия вирусов или же хакерских атак. Для идентификации источника ущерба будет применяться специальное шпионское программное обеспечение, которое клиенту новой страховой организации придется установить на своем компьютере. Работает это ПО очень просто: через определенные промежутки времени на сервер Nippon Intelligence будет передаваться информация о текущем состоянии ПК. Таким образом, в случае возникновения непредвиденной ситуации собранные данные помогут выяснить, кто же в действительности виноват в случившемся – сам владелец компьютера или хакер, предпринявший атаку извне.

Предоставляться услуги страхования будут через интернет-провайдеров и только лишь частным лицам – компаниям придется решать проблемы самостоятельно. Как сообщается, абонентская плата составит около пяти долларов в месяц. Nippon Intelligence и AIU планируют, что уже в течение года они смогут набрать до четырехсот тысяч клиентов. Кроме того, партнеры рассчитывают уже в ближайшее время получить патент на свою бизнес-модель.

Microsoft собирается выпустить шесть версий оперативной системы Vista - нового воплощения Windows.



Три версии обновленной операционной системы, получившей название Vista, будут предназначены для домашнего использования. Две созданы для бизнеса и еще одна - для развивающихся стран, в которых люди пользуются устаревшими, маломощными компьютерами. Точная дата начала проодаж Vista пока не названа. Как ожидается, это должно произойти до конца 2006 года.


Vista представляет из себя значительно переработанную версию Windows. У системы изменен интерфейс, она иначе работает со звуком и сетевыми приложениями. Одна из «домашних» версий Vista позволит пользователям записывать, хранить и проигрывать телевизионные программы.



Версия Vista для компаний будет дополнена улучшенной системой кодировки. Как утверждают разработчики, это позволит защитить конфиденциальность информации даже в том случае, если компьютер будет украден. Другие версии Vista позволят пользователям подсоединять компьютеры к игровым приставкам, прожигать DVD и более эффективно организовывать фото и видеоархивы, сообщает BBC.



Одна из версий предназначена для жителей развивающихся стран, использующих устаревшие маломощные компьютеры. Специальная Vista будет выпущена и для Европы. В соответствии с европейскими законами, из нее будет удален Media Player. В Microsoft говорят, что главное отличие Vista от нынешних Windows состоит в том, что различные версии Windows XP созданы из того расчета, что разные люди используют разные модели компьютеров. Создатели же Vista думали не столько о технических возможностях пользователей, сколько об их потребностях.

13.01.2005
В Тюмени оперативники обезвредили группу хакеров
13.01.2005 16:48 | ИА REGNUM
Трех студентов тюменского вуза задержали оперативники отдела по борьбе с компьютерными преступлениями при ГУВД Тюменской области. Возбуждено уголовное дело по двум статьям Уголовного кодекса - причинение имущественного ущерба путем обмана и использование вредоносных программ.

Как сообщил начальник отдела по борьбе с компьютерными преступлениями Борис Сеногноев, подозреваемые с помощью программы типа "троянского коня" сканировали интернет, вычисляя пароли и логины пользователей сети. После этого путешествовали по Всемирной паутине за счет других.

По словам Б.Сеногноева, потерпевшими оказались юридические лица и граждане. Ущерб, причиненный "компьютерными гениями", составляет от 600 до 1000 рублей. В данный момент студенты находятся под подпиской о невыезде. "Халявный интернет" им может стоить до 2 лет лишения свободы, сообщает "Тюменская линия"