Обсуждение патчей вторника в этом месяце отошло на второй план в связи с целевыми фишинг-атаками, веб и SQLi-атаками, о которых сообщают средства массовой информации. Четыре выпущенных бюллетеня закрывают 22 уязвимости.

Две уязвимости, допускающие исполнение удаленного кода: уязвимость, имеющая отношение к Bluetooth (каким бы ненадежным не был такой способ атаки) и уязвимость в Visio. Несколько уязвимостей в CSRSS позволяют повысить привилегии и задействуют большое количество недоработок в win32k.

На первом месте в списке приоритетов Microsoft — внедрение Bluetooth-патча для клиентских платформ Vista и Windows 7. В результате эксплуатации уязвимости, для которой выпущен патч, серверы не должны пострадать. Предполагаю, что в тесной рабочей среде потенциально возможен запуск червя. Однако вероятность появления аналога Cabir низка. Большую опасность представляют целевые атаки, направленные на получение ценной информации.

Уязвимость Visio получила широкую известность, и PoC был выпущен еще в августе прошлого года. Скорее всего, некоторые из наших дженерик-детектирований предотвратили бы эксплуатацию этой уязвимости. Мы исследуем примеры подобной эксплуатации и будем держать вас в курсе происходящего.

Если вы столкнулись с проблемами, связанными с патчами на уровне ядра, пожалуйста, оставьте свои комментарии. Ранее модификации Win32k становились причиной неприятностей для пользователей. Да здравствуют беспроблемные патчи!

14 июня 2004 года известная группа вирусописателей при посредничестве испанского коллекционера вирусов Virusbuster представила антивирусным компаниям всего мира свое очередное творение. На этот раз объектом демонстрации потенциальной угрозы стали мобильные телефоны. Червь, обладающий способностью распространяться по протоколу Bluetooth и работающий на смартфонах с операционной системой Symbian 60, получил название Cabir и навсегда вошел в историю как первый червь подобного типа.

За прошедший год исходные коды Cabir попали в открытый доступ, что привело к появлению нескольких его модификаций, а сам червь был обнаружен «в дикой природе» более чем в 30 странах мира, включая Россию.

Общее число способных заражать мобильные телефоны вредоносных программ (в основном — троянских) в настоящий момент приближается к сотне, что позволяет говорить о недостаточной защищенности существующих операционных систем для мобильных телефонов, а также о слабом представлении владельцев смартфонов о том, что их аппарат практически ничем не отличается от персонального компьютера и точно так же уязвим для вирусных атак.

Червь Cabir, поражающий мобильные телефоны через протокол Bluetooth, обнаружен в Новой Зеландии, сообщает сайт ZDNet со ссылкой на финского производителя антивирусного программного обеспечения F-Secure.

Таким образом, Новая Зеландия стала 22-й страной, в которой абоненты мобильной связи сталкиваются с угрозой заражения своих аппаратов червем Cabir. Эта вредоносная программа поражает операционную систему Symbian, используемую во многих популярных моделях смартфонов. С момента первого появления Cabir в июне прошлого года было создано несколько модификаций этого червя.

По словам руководителя антивирусных исследований F-Secure Микко Хиппонена, Cabir продолжает распространяться по миру, однако риск заражения этим червем по-прежнему остается минимальным. Представители ряда компаний склонны считать, что сообщения о распространении мобильных вирусов являются ни чем иным, как нагнетанием обстановки. Хиппонен утверждает, что угроза со стороны мобильных вредоносных программ реальна.

«Мы не раздуваем проблему из ничего, а сообщаем лишь о том, что видим. Cabir к настоящему времени обнаружен в 22 странах, и мы получаем сообщения о случаях заражения из США. Поэтому речь идет вовсе не о теории», — комментирует Хиппонен. Неделей раньше F-Secure сообщила об обнаружении червя Cabir в Греции. В этом году червь также был найден в Австралии. В России телефон, зараженный червем Cabir, был обнаружен 12 января.

«Исходные коды вируса Cabir были опубликованы в интернете, поэтому ничего неожиданного в его появлении в "дикой природе" в любой стране мира нет. На наш взгляд, сообщения о подобных обнаружениях есть ни что иное, как искусственное подогревание интереса к теме. Особенно странно слышать о заражениях мобильных устройств в Новой Зеландии от представителей компании F-Secure, насколько нам известно, не располагающей филиалами в этой стране», — отметил антивирусный эксперт «Лаборатории Касперского» Александр Гостев.

«По нашему мнению, говорить об обнаружении мобильного вируса "In-The-Wild" в какой-либо стране можно только самостоятельно (лично или при помощи представителей компании) увидев зараженный телефон и будучи стопроцентно уверенным в том, что заражение произошло именно в этой стране и что заразился абсолютно непричастный человек. Например, мы написали о России, только лично увидев зараженный телефон и тщательно расследовав историю заражения. Вместе с тем, к нам также поступала информация об обнаружении Cabir в "дикой природе" на Украине, но мы это не афишируем, поскольку у нас не было и нет весомых тому доказательств», — пояснил Александр.

В США обнаружены два мобильных телефона Nokia 6600, зараженных одной из версий червя Cabir. Это первое зафиксированное появление в Америке червя, распространяющегося через протокол Bluetooth, сообщает сайт News.com.

Неизвестно точно, в какой момент и кем были инфицированы аппараты, выставленные в витрине одного из магазинов калифорнийского города Санта-Моника. Заразить телефоны червем Cabir мог любой прохожий, в руках которого был телефон, поддерживающий протокол Bluetooth. По сведениям источников, знакомых с месторасположением магазина, инфицированные телефоны могли заражать аппараты прохожих.

С момента появления в июне прошлого года, Cabir претерпел ряд изменений. Из программы, которая просто давала обнаружить себя владельцам мобильных телефонов, червь превратился во вредоносный код. Версии Cabir обнаружены в нескольких десятках стран. По данным финской антивирусной компании F-Secure, американские телефоны заражены версиями Cabir.H и Cabir.I.

Cabir и другие вирусные программы для мобильных устройств, число которых постоянно растет, инфицируют три операционных системы: Symbian, Windows Mobile и систему японского мобильного оператора NTT DoCoMo. Вредоносные программы уничтожают файлы, дозваниваются до номеров 900 и 911 и вызывают на телефоны такой поток входящего трафика, под которым они перестают функционировать.

Пока число конкретных примеров заражения телефонов крайне редко. Однако каждый такой пример сегодня служит предупреждением о том днем, когда риск загрузить зараженный файл на мобильный телефон окажется более вероятен, чем риск заражения персонального компьютера.

С момента первого официально зарегистрированного обращения о заражении Cabir'ом прошли всего лишь сутки. За сегодняшний день зарегистрированы несколько случаев заражения в метро и других местах массовых скоплениях людей.

У всех зараженных пользователей был включен режим bluetooth «доступен для всех». Следует понимать, что включение данного режима сильно увеличивает риск быть зараженным.

По последним данным первый случай заражения Cabir'ом в Москве отмечен в конце декабря.

Если вы думаете что вы заражены, пожалуйста, сообщите нам. Утилита для лечения Cabir находится на wap-сайте «Лаборатории Касперского».

Сегодня нам принесли телефон Nokia 7610, зараженный вирусом Cabir. После анализа оказалось, что это версия Cabir.a.

Это первое официально зарегистрированное заражение Cabir'ом в России.
Микко Хиппонен (Mikko Hypponen) из F-Secure сообщил нам о том, что они получали сообщения о заражении Cabir'ом из Турции и Вьетнама, поэтому Россия становится девятой страной, где Cabir был обнаружен в диком виде. На данный момент список стран, в которых были отмечены заражения этим вирусом, выглядит следующим образом:

1. Филиппины
   
2. Сингапур
   
3. Объединенные Арабские Эмираты
   
4. Китай
   
5. Индия
   
6. Финляндия
   
7. Турция
   
8. Вьетнам
   
9. Россия

В последние несколько дней мы получали разнообразные новые версии червя Cabir, которые отличались от оригинального варианта несколькими незначительными изменениями.

Сегодня исходные тексты, из которых были скомпилированы данные варианты, были опубликованы на одном из сайтов в открытом доступе.

Сделавший это человек мотивировал свое решение тем, что, по его мнению, антивирусные компании неправильно идентифицировали его варианты червя, как новые версии Cabir, хотя он написал весь код для них самостоятельно.

По нашей информации, до сих пор исходные коды червя Cabir были доступны лишь ограниченному числу людей, входящих в ряды международной вирусописательской группы 29A, членом которой и был создан оригинальный Cabir. Публикация исходных кодов могла состояться в очередном номере электронного журнала, издаваемого данной группой.

Однако, как мы видим, некто уже получил доступ к этой информации и сделал ее публичной. Несомненно, этот шаг приведет к появлению массы новых вариантов червя Cabir, случаи обнаружения которого в "дикой природе" уже были зафиксированы в 7-и странах мира.