В защиту Linux. Предупреждение о блуждающем макровирусе. Странный напиток. Сообщение о защите ToolTalk. Сообщения BugNet.

В защиту Linux

Гвидо Гонзата составил полезный документ Web для тех пользователей DOS и Windows, которые собираются перейти на Linux. Этот документ помогает таким пользователям адаптировать свои знания DOS и Windows к среде Linux и дает советы по обмену файлами и ресурсами между двумя ОС. Документ под названием "Как перейти от DOS/Win к Linux" — один из ряда документов "Как сделать..." на узле http://www.linux.org/help/howto.html .

Ниже мы приводим краткий список команд (вместе с комментариями Гонзата), с помощью которых пользователи Linux могут сделать кое-что из того, что очень сложно и даже невозможно сделать в DOS и Windows:

? at позволяет запускать программы в указанное время;
? awk — простой и в то же время мощный язык для манипулирования файлами данных. Например, если data.dat представляет собой файл данных с несколькими полями,$ awk '$2 ~ "abc" {print $1, " ", $4}'data.dat позволяет распечатать поля 1 и 4 каждой строки, второе поле которой содержит ?abc??;
? cron полезна для задач, которые требуется выполнять периодически, в указанные день и время;
? file <имя файла> сообщает, что собой представляет указанный файл (текст ASCII, архив, исполняемый файл и т. п.);
? find — одна из наиболее полезных и мощных команд. Ее можно использовать для нахождения файлов, отвечающих заданным характеристикам, и выполнения действий над ними. Команда имеет следующий вид:$ find <каталог> <выражение>,где <выражение> включает критерии поиска и действие;
? grep находит файлы, содержащие заданные фрагменты текста. Например, $ grep -1 "geology" *.tex выдает список файлов с расширением *.tex, содержащих слово geology. Ее модификация zgrep работает с файлами gzip;
? регулярные выражения предоставляют сложный, но мощный способ выполнения операций поиска по тексту. Например, ^a[^a-m] X{4, }txt$ соответствует строке, начинающейся с символа ?а??, за которым следует любой символ, за исключением тех, что попадают в интервал а-m, с последующими четырьмя или более ?Х?? и с комбинацией ?txt?? в конце. Регулярные выражения можно использовать с мощными редакторами, less и многими другими приложениями;
? script "script_file" производит дамп содержимого экрана в script_file, пока не будет подана команда exit; данная команда весьма полезна при отладке;
? sudo позволяет выполнять некоторые из задач администратора с привилегиями root (например, форматирование и монтирование дисков);
? uname -a дает информацию о системе.

Предупреждение о блуждающем макровирусе

Лаборатория McAfee компании Network Associates обнаружила первый макровирус, инфицирующий как документы Word, так и электронные таблицы Excel, созданные в Word 97 и Excel 97. Названный W97/X97M Shiver, этот "блуждающий" вирус способен инфицировать обе программы, если одна из них окажется заражена. Следующую информацию мы взяли из информационной библиотеки вирусов Network Associates (http://www.nai.com/vinfo/ ).

Вирус инфицирует NORMAL.DOT через макрос документa AutoOpen. Он создает файл C:SHIVER.SYS, содержащий весь код вируса на VBA для Word и Excel. После инфицирования документа Word и последующего выхода из него вирус распространяется посредством создания макроса Excel, импортирующего C:SHIVER.SYS в XLSTARTPERSONAL.XLS. Теперь все открываемые электронные таблицы будут инфицироваться, пока вирус не будет удален.

Если заражение происходит через Excel, то оно начинается с инфицирования файла PERSONAL.XLS. После выхода из Excel вирус поражает Global Template в Word (если шаблон еще не инфицирован) с помощью механизма SendKeys. Вирус модифицирует реестр Windows посредством добавления ключа — либо Shiver [DDE] = Alt-F11, либо NoNoNo — в HKEY_CURRENT_USERSoftwareVB и VBA Program SettingsOffice8.0.

Процесс инфицирования из Excel в Word трудно не заметить — вирус в буквальном смысле печатает C:SHIVER.SYS в редакторе Visual Basic. Все открытые окна закрываются, и вирус инфицирует NORMAL.DOT в редакторе Word, как и все открываемые впоследствии документы. Вирус заодно блокирует возможность просматривать макросы в обоих приложениях.

При открытии зараженного документа вирус может модифицировать реестр Windows. Это касается ключей HKEY_CLASS_ROOTWord.Documet.8shellopenddeexec and HKEY_CLASS_ROOTExcel.Sheet.8shellopenddeexec.

Если реестр Windows модифицируется, когда пользователь обращается к документу или электронной таблице из Explorer, то реестр не будет открыт. При открытии электронной таблицы вирус может поместить комментарии в 30 случайно выбранных ячеек (в верхнем левом углу электронной таблицы) и отобразит сообщение Shiver [DDE] by ALT-F11. Данные не теряются, но таблица становится нечитаемой.

Вакцина от вируса была внесена в файл VirusScan Hourly DAT по адресу: http://beta.nai.com/public/datafiles/. Пользователи Dr. Solomon могут обратиться также на http://beta.mcafee.com/public/stand_alone/nai_drsol.htm .

Странный напиток

Первый известный вирус, инфицирующий апплеты и приложения Java, был недавно обнаружен Symantec. Названный Strange Brew, этот вирус присоединяется к файлам Java .class, но позволяет файлам выполняться и после инфицирования. Вследствие того, что файлы Java .class могут использоваться практически на любой компьютерной системе, вирус может тиражироваться почти на всех вычислительных платформах. Кроме того, Strange Brew является вирусом немедленного действия, т. е., получив управление от инфицированного приложения, он немедленно пытается инфицировать остальные файлы.

Важно отметить, что реальных случаев поражения вирусом Strange Brew пока не было отмечено. Однако все, кто занимается разработкой Java и Web, должны быть начеку. Факт поражения вирусом пользователи могут обнаружить по замедлению загрузки или прекращению функционирования приложения Java. По информации Symantec, инфицированный апплет Java выдает следующее сообщение (если он загружается и выполняется из браузера Web).

В Netscape Navigator 4.05:

Applet <имя апплета> can?t start:class <имя класса> got a security violation: method verification error

В Internet Explorer 4.0:

error: com.ms.lang. Verify ErrorEx: WVLayout.Strange_Brew_Virus: invalid constant value

Symantec Antivirus Research Center (SARC) предоставляет средства обнаружения этого нового вируса Java, а пользователи Norton AntiVirus могут попытаться вылечить систему посредством запуска LiveUpdate непосредственно из продукта или посредством загрузки соответствующего определения вируса с страницы SARC по адресу: http://www.symantec.com/avcenter/download.html .

Сообщение о защите ToolTalk

По информации Network Associates, ошибка реализации сервера объектной базы данных ToolTalk позволяет удаленному атакующему выполнять произвольный код в качестве суперпользователя на хостах, поддерживающих службу ToolTalk. Пострадавшая программа выполняется во многих популярных ОС UNIX, поддерживающих Common Desktop Environment (CDE).

Уязвимыми оказались такие ОС, как SunOS компании Sun Microsystems, версии 5.6, 5.6_x86, 5.5.1, 5.5.1_x86, 5.5, 5.5_x86, 5.4, 5.4_x86, 5.3, 4.1, 4.1.3_U1; HP-UX компании Hewlett-Packard, версии 10.10, 10.20, 10.30, 11.00; IRIX компании Silicon Graphics, версии 5.3, 5.4, 6.2, 6.3, 6.4; AIX компании IBM, версии 4.1.x, 4.2.x, 4.3.x; TriTeal CDE компании TriTeal, TED версии 4.3 и более ранние и Xi Graphics Maximum CDE v1.2.3 от Xi Graphics.

В качестве временной меры вы можете блокировать сервис базы данных Toolkit, выгрузив процесс rpc.ttdbserverd и удалив его из сценария запуска ОС. Заметим, что в результате функциональность системы может пострадать. Информацию о заплатах конкретных производителей можно найти на сервере Web компании Network Associates по адресу: http://www.nai.com/products/security/advisory/29_ttdbserver_adv.asp .

Сообщения BugNet

Комментарий редактора. Мы регулярно печатаем сообщения BugNet в разделе "Тысяча мелочей". О других ошибках вы можете узнать на сервере BugNet по адресу: http://www.bugnet.com .

Windows NT 4.0 Server и Workstation

Компонент BHNETB.DLL в Windows NT 4.0 Server и Workstation производит захват памяти. В результате при использовании Network Monitor для удаленной трассировки с помощью NMAGENT компьютер начинает работать медленно и может зависнуть. Исправление появится в следующем сервисном пакете.

В случае необходимости вы можете обратиться в службу технической поддержки Microsoft за следующими файлами:

08/25/98 09:27a 25,504 Bhnetb.dll (x86)
08/25/98 09:32a 25,504 Bhnetb.dll (Alpha)

Будьте осторожны. Microsoft предупреждает, что компания может потребовать с вас оплату, если понадобится какая-то иная помощь помимо предоставления файлов. Полный текст предупреждения вывешен по адресу: http://support.microsoft.com/support/kb/articles/q191/8/52.asp .

Windows 98 И Samba

При наличии клиентского компьютера с Windows 98 попытка подключения к серверу Samba может привести к получению сообщения об ошибке типа Incorrect Password. Microsoft рекомендует изменить конфигурацию сервера Samba, чтобы он поддерживал шифрование паролей по протоколу идентификации Challenge Handshake Authentication Protocol (CHAP). Компания советует обратиться к документации по Samba, где описывается, как это сделать. При такой настройке вы сможете отправлять шифруемые пароли и, таким образом, обеспечить более защищенную среду.

Другое решение состоит в помещении компакт-диска с Windows 98 в дисковод CD-ROM на клиенте и запуске программы msutil из каталога ools с последующим щелчком правой кнопкой мыши на файле ptxt_on.inf и на Install. Компьютер потребуется перезагрузить, чтобы внесенные изменения вступили в силу.

УВАЖАЕМЫЕ ЧИТАТЕЛИ!

Вы можете поделиться своим опытом решения проблем, возникающих при работе в сети (возможно, очень полезным многим читателям в их повседневной работе). Наиболее интересные материалы будут опубликованы в ближайших номерах журнала LAN.