Krytyczne luki w oprogramowaniu Microsoft!

pablo_rajski_bicz [ Konsul ]

Witam
Pragnął bym zakomunikować ze najprawdopodobniej pojawiło się nowe zagrożenie ze strony niebezpiecznych linków przesyłanych przez GG.
Dziś pracując na komputerze dostałem przez GG wiadomość następującej treści:

Cytat:

www.arunalu.net/kaczynski.html
otwiera się tylko pod IE


Generalnie nie udało mi się ustalić nic więcej ale mam pewne podejrzenia i przypuszczenia.
Kilka osób z pośród moich znajomych również dostało takie linki natomiast nikt ich nie wysyłał (w szczególności osoba od której te wiadomość dostałem).

To dało mi do myślenia
Podejrzewam ze ktoś włamał się na stronę www.arunalu.net (firma hostingowa ze Sri-lanki)
Następnie umieścił spreparowany plik.
Spreparowany plik (kaczynski.html) najprawdopodobniej wykorzystując jakąś lukę w przeglądarce IE wykonywał kod na komputerze ofiary (wyraźnie w wiadomości zaznaczone zostało ze działa tylko pod IE, jednak może to być równie dobrze inna luka systemu operacyjnego. Niestety ze względu na "znikniecie" strony nie udało się ustalić jakiej wersji przeglądarki/systemu operacyjnego/ innego oprogramowania zainstalowanego w systemie problem może dotyczyć).
Następnie w jakiś sposób (być może z wykorzystaniem API do pluginow komunikatora ale to tylko przypuszczenia) wysyłał wiadomości do ludzi z listy kontaktów.
Są to jednak moje przypuszczenia ponieważ w momencie gdy próbowałem sprawdzić co się rzeczywiście dzieje adres ten się nie otwierał (blad 404, prawdopodobnie włamanie mogło zostać odkryte przez administracje www.arunalu.net a plik usunięty lub było to działanie administracji firmy na jakiś sygnał od użytkownika komunikatora, wiec nie jestem w stanie ustalić z jakiego błędu skorzystano i w jaki sposób).
Również z założonego przeze mnie dla testu konta GG z jednym kontaktem nie została wysłana żadna wiadomość ale strona już nie funkcjonowała.
Niestety najprawdopodobniej miąłem odczynienia z nowym typem ataku który można by nazwać "atakiem łańcuszkowym". Wiadomość sama się propagowała wśród użytkowników a nie była rozsyłana przez automaty.
Niestety tego typu ataki mogą stanowić poważne zagrożenie ponieważ z jednej strony mogą się rozpowszechniać bardzo szybko poprzez swoja łańcuchowa charakterystykę (lawinowa liczba atakowanych komputerów)
A z drugiej strony przy wykorzystaniu dowolnej luki w systemie są w stanie wyrządzić poważne szkody (na przykład instalacja spyware).

Dlatego tez nawet jeśli jestem w błędzie (jestem przewrażliwiony, panikuje) dla własnego bezpieczeństwa i bezpieczeństwa swoich znajomych przed klknieciem w link otrzymany przez komunikator od kogoś znajomego spróbujcie się upewnić czy rzeczywiście został on wysłany świadomie przez osobę od której go otrzymaliście.
O ile wszystko wskazuje na to że ten łancuszek juz umarł to moga sie pojawic nastepne.

Prosze rowniez osoby ktore sie z tym linkiem w dniu dzisiejszym spotkały o ewentualne potwierdzenie moich obaw.


Pozadrawiam Tommy82






Do naszej redakcji dotarło ostrzeżenie od studenta z Katowic, który zasugerował obecność w Sieci nowego wirusa. Automatycznie rozsyła się on przez Gadu-Gadu, wykorzystując także lukę w przeglądarce Internet Explorer. W ten sposób infekuje komputery kolejnych ofiar.

We wtorek użytkownicy GG otrzymywali od swoich znajomych wiadomość o następującej treści:

www.arunalu.net/kaczynski.html
otwiera się tylko pod IE

Jednak nadawcy tej wiadomości nie wiedzieli o wykorzystaniu ich komunikatora do jej rozesłania. Udało nam się potwierdzić dużą skalę tego zjawiska.

Otwarcie linku w przeglądarce Internet Explorer prowadziło u wielu użytkowników do automatycznego wgrania wirusa, który wykorzystując lukę w IE dostawał się do systemu, a następnie w nieustalony bliżej sposób ingerował także w działanie sieci GG. Korzystając z listy kontaktów wirus rozsyłał powyższą treść dalej.

Nie wiadomo jak dotąd, czy wykorzystano tutaj lukę w samym programie komunikatora Gadu-Gadu, czy też wirus był wyposażony w samodzielny silnik łączący się z serwerami GG.

W godzinach wieczornych złośliwy wirus został usunięty spod adresu występującego w linku. Serwer zlokalizowany jest w księstwie Lichtenstein, natomiast właściciel domeny pochodzi ze Sri Lanki. Szybkie usunięcie wirusa może wskazywać na fakt, że administracja serwera nie wiedziała wcześniej o całej sprawie.

Jeżeli potwierdzi się, że wirus wykorzystywał luki w programie Internet Explorer oraz uzyskał swobodny dostęp do sieci Gadu-Gadu to może to stanowić niebezpieczny precedens. Użytkownicy chętnie sprawdzają linki otrzymywane od znajomych, z kolei łatwo rozprzestrzeniające się w ten sposób wirusy mogą wykonywać wiele niepożądanych operacji - sprawdzać zawartość dysków użytkownika, przesyłać określone dane do sprawcy ataku, usuwać lub zmieniać dane na komputerze. Wczorajszy incydent można uznać za działanie "proof-of-concept".

Sytuacja jest tym groźniejsza, że wirus rozprzestrzeniał się bardzo szybko. Z dostępnych nam informacji wynika, że nie zareagował producent żadnego z programów antywirusowych.

W chwili obecnej czekamy na odpowiedź od producenta programu Gadu-Gadu, z wyjaśnieniami, w jaki sposób mogło dojść do wykorzystania ich komunikatora do rozprzestrzeniania się złośliwego kodu. Pytamy także, czy istnieje możliwość systemowej blokady nienaturalnie intensywnie rozsyłanych łańcuszków?

Użytkownikom natomiast zalecamy wzmożoną czujność przy otwieraniu otrzymywanych linków, aktualizację oprogramowania do najnowszych wersji oraz nie korzystanie z przeglądarki Internet Explorer. Jako alternatywę można zaproponować chociażby wydanego w dniu wczorajszym Firefoksa 2, Operę 9.02, Konqueror, czy Flock (wszystkie te programy są darmowe).

Przypominamy także o istnieniu alternatywnych komunikatorów, umożliwiających łączenie się z siecią Gadu-Gadu. Najpopularniejszym konkurentem GG są komunikatory Skype oraz Tlen.pl. Bardziej zaawansowanym użytkownikom można polecić używanie Jabbera.

infernus67 [ Prezes Misiura ]

To jest tak zwana "usługa posłańca".
Można ją wyłączyć programem xp-AntiSpy.

Ziomczyk [ Pretorianin ]

Uzywam xp-antispy i mam wylaczona usluge poslanca, mimo tego w dalszym ciagu co godzine pojawia sie ten komunikat, zaczyna byc to uciazliwe, pomozcie mi jakos rozwiazac ten problem

wysiu [ ]

Windows zapatachowany?

26.10.2006

19:53

[7]

Api15 [ dziwny człowiek... ]

Następnie w jakiś sposób (być może z wykorzystaniem API do pluginow komunikatora ale to tylko przypuszczenia) wysyłał wiadomości do ludzi z listy kontaktów.

Nie dałem sie nikomu wykorzystać!

Ziomczyk [ Pretorianin ]

instaluje aktualizacje na bieząco :/