Червь MyDoom спустя 15 лет все ещё действует на автопилоте

Червь MyDoom спустя 15 лет все ещё действует на автопилоте

Червяк MyDoom, который многими признан одной из самых деструктивных вредоносных программ в истории, все ещё наматывает круги в Сети. Действуя на автопилоте, вредонос атакует пользователей электронной почты по всему миру.

Семейство вредоносных программ MyDoom (также известно под именами Novarg, Mimail и Shimg) действует как минимум с 2004 года. Зловред имеет признаки червя — распространяется от жертвы к жертве с помощью электронной почты.

Некоторые образцы даже могли заражать цели через пиринговые сети (peer-to-peer, P2P).

После заражения MyDoom открывает бэкдор на TCP-портах 3127-3198, позволяя атакующим удаленно контролировать скомпрометированную систему. Таким образом, злоумышленник может загружать дополнительные вредоносные нагрузки и запускать DoS-атаки.

Помимо этого, MyDoom собирает имейл-адреса из различных источников на заражённой машине, после чего рассылает свою копию по этим адресам.

По словам Брэда Данкена из компании Palo Alto Networks, MyDoom все ещё можно встретить в Сети даже спустя 15 лет — каждый месяц детектируются образцы этого вредоноса.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Патч для RCE, затронувшей 800К файрволов SonicWall, оказался неполным

В октябре прошлого года SonicWall по наводке Tripwire и Positive Technologies устранила критическую RCE-уязвимость в NSA — устройствах сетевой безопасности, используемых как файрвол или VPN. Повторное тестирование PoC-эксплойта показало, что созданный патч несовершенен, и его пришлось дорабатывать.

Уязвимость CVE-2020-5135 связана с ошибкой переполнения буфера и позволяет посредством HTTP-запроса спровоцировать отказ веб-приложения или даже выполнить вредоносный код. На момент выхода заплатки в интернете было обнаружено около 800 тыс. потенциально уязвимых хостов на основе SonicWall NSA.

Решив проверить надежность патча, в Tripwire вновь прогнали PoC-код — на сей раз на устройстве SonicWall NSA в облаке Azure. Как оказалось, последствия эксплойта CVE-2020-5135 в физических и виртуальных системах различны: пробный HTTP-запрос вернул большое количество двоичных данных, похожих на адреса памяти.

 

Подобный слив, по словам экспертов, можно использовать для проведения атаки на какой-нибудь RCE-баг.

Новую проблему (раскрытие конфиденциальной информации) зарегистрировали под идентификатором CVE-2021-20019. Степень ее опасности SonicWall оценила как умеренную — в 5,3 балла по CVSS.

Для большинства затронутых продуктов патчи уже вышли — списки опубликовали и PSIRT SonicWall (команда реагирования на ИБ-проблемы), и служба техподдержки. Попыток злонамеренного использования CVE-2021-20019 пока не обнаружено.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru