Новости Software за день

Первая статистика по действию нового "червя"
В первой новости за сегодняшний день один из наших авторов описал свежий вирус, использующий очередную брешь в системе безопасности Windows. Корпорация Microsoft давно уже залатала эту "уязвимость" соответствующим патчем (подробности - читайте в упомянутой новости "Новый интернет-червь: W32.Sasser.Worm"), однако малопросвещённых, надеющихся на "авось" да и просто ленивых пользователей - в мире насчитывается большое количество, и об этом лишний раз свидетельствует статистика заражений...

Напомним, что заражение червём происходит не посредством вирусного модуля в почтовом аттачменте или прочими путями, требующими от пользователя открыть или запустить искомый файл. Атака происходит через сетевые порты находящейся в Интернет системы, которая поражается в случае, если не имеется соответствующей защиты (упомянутый патч, firewall и т.д.). Согласно информации от антивирусной компании Panda Software, на настоящий момент червём Sasser заражено порядка 18 миллионов компьютеров во всём мире.

Специалисты корпорации Microsoft отмечают, что частота атак "червя" на так называемые специальные серверы-приманки (honey pots - "горшочки с мёдом") достигает нескольких обращений в минуту. Несмотря на достаточно обширные масштабы, эпидемия не является самой опасной в этом году - атаки червей Mydoom и Bagle вызывали более удручающие последствия. Что ж, согласно поговорке "гром не грянет - мужик не перекрестится", следует ожидать увеличения числа пользователей, наконец-то начинающих регулярно пользоваться службами обновления системы безопасности Windows и её программных компонентов (web-браузер, почтовый клиент, мультимедийный проигрыватель Windows Media Player и т.д.)...
Автор: Алексей Перевертайлов Дата: 03.05.2004 01:11
Новые BIOS, утилиты: DFI, MSI, Soltek
1. Тайваньская компания DFI выложила новую версию прошивки BIOS к материнским платам модели PT800-AL (PCB Rev.A+), базирующимся на чипсете VIA PT800 / VIA VT8237:

версия 0401 (01.04.2004), размер 286 Кб: линк

• устранены проблемы с инсталляцией Windows 98

2. Тайваньская компания Micro-Star International (MSI) обновила прошивку к оптическим приводам X48 (MS-8448M) и выложила новые версии фирменных утилит Search Key, PC Alert 4 и Live Update:

прошивка к приводам X48 (MS-8448M) версии 1.5, размер 220 Кб: линк

• расширена поддержка CD-R/RW-носителей

Search Key версии 1.0.0.3, размер 0.99 Мб: линк

PC Alert 4 версии 4.0.6.2, размер 2.00 Мб: линк

Live Update версии 3.58, размер 3.22 Мб: линк

3. Компания Soltek Computer выложила новые версии BIOS к следующим материнским платам:

SL-86SP2 / SL-86SP2-L, прошивка версии AF1.4, размер 638 Кб: линк

• добавлена поддержка функции RPL

SL-86SPE2 / SL-86SPE2-L, прошивка версии AF1.4, размер 638 Кб: линк

• добавлена поддержка функции RPL

SL-87CW-F / SL-87CW-FL, прошивка версии AP1.4, размер 667 Кб: линк

• добавлена поддержка процессоров Intel Prescott
Автор: Ильдар Ахметжанов Дата: 03.05.2004 04:39
NVIDIA ForceWare версии 60.80
Информационный источник Guru3D выложил у себя для скачивания новую версия набора драйверов ForceWare (под операционные системы Windows 2000 и Windows XP), которые предназначены для использования с видеокартами, основанными на графических процессорах NVIDIA.

Новым драйвером, в отличии от своих предшественников, изначально поддерживались далеко не все видеадаптеры, но, путём замены соответствующего INF-файла, драйвер "научили понимать" все, без исключения, GPU, включая GeForce 6800 и GeForce 6800 Ultra:

версия 60.80 (датирована 08.04.04), размер 10.6 Мб: линк

Напоминаем, эта версия драйверов неофициальная, и Вы используете её на свой страх и риск.
Автор: Ильдар Ахметжанов Дата: 03.05.2004 05:04
Новые BIOS, драйверы: ASUSTeK, TerraTec, VIA
1. Тайваньская компания ASUSTeK Computer Inc. выложила очередную версию драйверов (под ОС Windows 2000/XP/2003, DOS, OS/2) к интегрированным сетевым адаптерам Intel PRO/1000 и обновила прошивку BIOS rackmount-серверов модели AP140R-E1 (Intel E7210 / Intel 6300ESB "Hance Rapids"):

BIOS версии 1006 (30.04.2004), размер 392 Кб: линк, альтернативный линк

• "пилотная" версия прошивки

драйвер версии 7.2.19.0 под OC Windows XP/2003, размер 300 Кб: линк

драйвер версии 2.25 под OC DOS / OS2, размер 246 Кб: линк

драйвер версии 7.2.17.0 под OC Windows 2000, размер 302 Кб: линк

2. Компания TerraTec Electronic GmbH выложила очередную версию драйверов (под операционные системы Windows 2000/XP) и ПО к TV-тюнерам моделей Cinergy 200 TV, Cinergy 400 TV и Cinergy 600 TV:

драйвер версии 2.3.0.9 (03.05.04) к Cinergy 200 (6.04 Мб), 400 (6.57 Мб), 600 TV (6.8 Мб)

3. Корпорация VIA Technologies Inc. выложила новую версию драйверов (под операционные системы Windows, сертифицированы WHQL) к встроенному звуку материнских плат с VIA Envy24PT, Envy24HT-S:

версия 3.10a (03.04.2004), размер 10.0 Мб: линк, альтернативный линк
Автор: Ильдар Ахметжанов Дата: 03.05.2004 08:25
NVIDIA ForceWare версии 61.11
Cегодня в сети появилась новая beta-версия набора драйверов ForceWare (под ОС Windows 2000 и Windows XP), предназначенных для использования с видеоадаптерами, основанными на графических процессорах NVIDIA. На этот раз тестеров, ньюсмейкеров и им сочуствующих ;) порадовал сайт VR-Zone, опубликовавший у себя новую версию.

Похоже что новый ForceWare, имеющий порядковый номер 6.1.1.1, будет первым официальным релизом, "приуроченным" к видеокартам серии GeForce 6800. Помимо "околоофициальности" новый драйвер отметился увеличением производительности в некоторых играх (см. чуть ниже) и поддержкой новых GPU - GeForce 6800 GT, о чём свидетельствуют строки, взятые из INF-файла нового ForceWare:

• NVIDIA_NV40.DEV_0040.1 = "NVIDIA GeForce 6800 Ultra"
• NVIDIA_NV40.DEV_0041.1 = "NVIDIA GeForce 6800"
• NVIDIA_NV40.DEV_0045.1 = "NVIDIA GeForce 6800 GT"

версия 60.80 (датирована 29.04.04), размер 19.62 Мб: линк, альтернативный линк

• увеличена производительность (до 5%) в играх Aquamark и X2
• увеличена производительность (до 5%) в игре Tomb Raider: Angel of Darkness
• увеличена производительность (до 10%) в игре Call of Duty
• увеличена производительность (до 20%) в игре Far Cry

Напоминаем, эта версия драйверов неофициальная, и Вы используете её на свой страх и риск.
Автор: Ильдар Ахметжанов Дата: 03.05.2004 11:18
Новый интернет-червь: W32.Sasser.Worm
В пятницу, 30 апреля, в Интернет был обнаружен очередной червь, получивший название W32.Sasser.Worm (по терминологии Symantec). Особенность данного червя заключается в том, что он распространяется, используя описанную 13 апреля в бюллетене Microsoft MS04-011 уязвимость - переполнение буфера в LSASS, дающее возможность злоумышленнику удаленно выполнить на атакуемой машине произвольный код. Данный тип уязвимости опасен тем, что не требует для успешного завершения атаки какого-либо взаимодействия с пользователем атакуемой машины (как противоположный пример можно привести "почтовых" червей, для заражения которыми пользователь должен самостоятельно запустить приложенный к письму исполняемый файл), а проводится полностью автоматически.

Подобные атаки истории уже известны: в первую очередь - это наделавшие много шума черви, использовавшие уязвимость в сервисе RPC DCOM, также закрытую Microsoft за некоторое время до появления первого червя - MSBlast (LoveSan). К сожалению, большинство пользователей не уделяют должного внимания защите своих компьютеров, то есть не только не пользуются одним из многочисленных firewall'ов, но и не устанавливают своевременно заплаток для операционной системы, web-браузера и других приложений.

На данный момент обе известные версии W32.Sasser.Worm уже получили у Symantec третью категорию опасности из пяти возможных, что означает большую "живучесть" червя и, следовательно, его широкое распространение. Более того, ожидается, что в понедельник утром, когда в Сети появятся миллионы компьютеров различных фирм и организаций, эпидемия примет не менее глобальный характер, чем в случае с ошибкой RPC DCOM.

Признаком заражения компьютера является сообщение об ошибке LSA Shell (Export version) и следующее за ним сообщение о необходимости перезагрузить компьютер из-за фатальной ошибки процесса lsass.exe. Эти сообщения будут появляться не только при первом заражении, но и при каждой последующей атаке.


Отличительной чертой уже зараженного компьютера является наличие файла avserve.exe (в случае заражения первой версией червя) или avserve2.exe (при заражении второй версией) и соответствующего ему процесса. Впрочем, вполне вероятно, что в следующих версиях червя имя файла будет снова изменено либо даже будет генерироваться автоматически.

Для уничтожения червя в первую очередь необходимо установить патчи, ссылки на которые даны в бюллетене MS04-011 - без этого лечение бессмысленно, ибо каждая последующая атака (а в разгар эпидемии атаки могут происходить раз в две-три минуты) будет снова приводить к заражению компьютера. После этого, если у Вас Windows XP или Windows Me, необходимо отключить функцию автоматического восстановления системы - в Windows XP для этого надо щелкнуть правой кнопкой на иконке "Мой компьютер", выбрать "Свойства" (Properties), закладку "Восстановление системы" (System restore) и там поставить галочку "Отключить восстановление системы на всех дисках" (Turn off System Restore), после чего нажать Apply, на выплывшую просьбу подтвердить серьезность своих намерений - ответить утвердительно. Теперь надо воспользоваться одной из утилит для обнаружения и удаления червя; такие утилиты бесплатно распространяются большинством разработчиков антивирусов, например, Symantec и McAfee (на последнюю утилиту стоит обратить особое внимание - помимо W32.Sasser.Worm, она обнаруживает и удаляет четыре десятка других вирусов, хотя, конечно, не является полноценным антивирусом).

Также не могу не отметить, что пользователи, установившие и настроившие firewall после эпидемии червей, использующих брешь в RPC DCOM, могут спать спокойно - W32.Sasser.Worm использует для атаки все те же порты, до боли знакомые любому системному администратору: 135, 137, 138 и 445... Тем же, кто еще не поставил себе firewall, я настоятельно рекомендую немедленно этим заняться - ведь, как известно, болезнь лучше не допустить, чем потом лечить ее. Тем более, в Windows XP имеет свой собственный несложный firewall, возможностей которого более чем хватает для предотвращения таких атак.

Помимо пользователей, заблаговременно позаботившихся о защите своих компьютеров, не пострадают и работающие через некоторых провайдеров - предыдущие эпидемии заставили последних блокировать весь входящий трафик на порты 135...139 своих клиентов; так, МТУ-Интел ввел фильтрацию трафика для своих ADSL-клиентов с 13 апреля сего года.

Тем не менее, даже если Вы уверены в защите Вашего провайдера, установить последние обновления Windows, а также настроить какой-либо из многочисленных доступных firewall'ов будет отнюдь не лишним.

Во время работы червь запускает 128 дочерних процессов, непрерывно пытающихся атаковать произвольно генерируемые IP-адреса, что приводит к заметному замедлению работы зараженного компьютера, однако о каком-либо непосредственном разрушительном воздействии червя на информацию, хранящуюся на зараженном компьютере, на данный момент неизвестно.

Описание червя у Symantec: ссылка

Описание червя у "Лаборатории Касперского": ссылка

Microsoft Security Bulletin MS04-011: ссылка
Автор: Олег Артамонов Дата: 03.05.2004 12:55