Недельный отчет Panda Software о вирусах и троянах - уязвимость Word все еще не закрыта (21 неделя 2006 года)

1174

В данном недельном отчее PandaLabs рассматривается троян 1Table.A и backdoor-трояны Gusi.A и Gusi.B.

1Table.A - это троян, эксплуатирующий критическую уязвимость в последних версиях Microsoft Word, для которой еще не выпущена заплатка. Троян попадает в компьютеры в виде легитимного документа Word, или любого прочего документа Microsoft Office со встроенным документом Word. При открытии документа, троян вызывает переполнение буфера в приложении, позволяя злоумышленнику запустить произвольный код с теми же привилегиями, что и начавший сеанс пользователь - если пользователь обладает правами администратора, злоумышленник получает полный контроль над системой. Троян также эксплуатирует уязвимость для внедрения в систему backdoor-трояна Gusi (A или В версий).

1Table.A не распространяется автоматически, для проникновения в уязвимую систему и эксплуатации бреши ему требуются действия со стороны пользователя. Эти действия включают в себя открытие почтовых вложений, скачивание файлов из Интернета или пиринговых сетей и т.д.

Gusi.A это backdoor-троян, неспособный достигать компьютеров собственными силами, а внедряющийся другим вредоносным ПО, например 1Table.A. Оказавшись в системе, он внедряет себя в Internet Explorer и перехватывает некоторые функции API для того, чтобы оставаться незамеченным пользователями. После установки, он отправляет информацию о зараженном компьютере, ожидая команд от удаленного злоумышленника, включая открытие консоли Windows (cmd.exe). Червь создает файл Winguis.dll в подпапке Windows System, файлы Etport.sys, Ispubdrv.sys и Rvdport.sys в подпапке Drivers subfolder и файл 20060424.bak.

Он также создает запись AppInit_DLLs в реестре Windows для обеспечения своего запуска при каждом старте операционной системы.

Gusi.B является версией Gusi.A, которая внедряется в систему другим трояном, например 1Table.A, путем использования критической, недокументированной уязвимости Microsoft Word. Явным симптомом заражения Gusi.B является ошибка запуска Internet Explorer - он не может найти установленное подключение к Интернету. Установившись на компьютере, троян открывает ряд последовательных портов, начиная с 1032, с целью отправки информации о зараженном компьютере и получения команд для выполнения действий в системе. Затем он инжектирует код в Internet Explorer и подключается к IP-адресу 222.9.X.X. Gusi.B использует методики руткитов для сокрытия своих файлов. Этот backdoor-троян создает файлы Zsydll.Dll и Zsyhide.Dll в подпапке Windows system на компьютере. Он также создает файл 20060426.bak.

Для обеспечения своего запуска при каждом старте Windows, Gusi.B создает реестровую запись в ключе AppInit_DLLs и несколько записей в HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\Windows NT\\CurrentVersion\\Winlogon\\Notify\\zsydll.

31 мая 2006

13:35

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Поисковик Google теперь будет предоставлять короткие превью для видеороликов: Поисковая система Google сможет показывать превью-видео1

Смартфон HomTom S8 также копирует дизайн Samsung Galaxy S8: Цена устройства составит 190 долларов2

Процессоры Intel Core восьмого поколения не будут дороже актуальных CPU: Intel не поднимет цены на CPU при выходе Coffee Lake13

AMD пока не может гарантировать наличия в магазинах видеокарт Radeon RX Vega 64 по рекомендованным ценам: AMD призналась в дефиците карт Vega 9

Смартфон Xiaomi Redmi Note 5A первым в серии получит два выделенных слота для SIM-карт и слот для карты памяти: Одна из версий Xiaomi Redmi Note 5A получит фронтальную камеру разрешением 16 Мп со светодиодной вспышкой2

Hyundai сконцентрируется на электромобилях вместо машин на топливных элементах : Hyundai увеличит объёмы выпуска электромобилей1

Samsung Pay отмечает два года, сумма платежей составила $8,77 млрд: Samsung Pay в данный момент работает в 18 странах мира3

Samsung готовится к глобальному запуску Bixby: Персональный помощник по-прежнему недоступен во многих странах мира

Умные кроссовки Xiaomi Free Tie Leather оценены в $30: Кроссовки оснащены светодиодной подсветкой, процессором, а также модулем Bluetooth 4.06

Семейство 3D-карт Colorful iGame Vulcan X пополнили модели GTX 1080 Ti, GTX 1080, GTX 1070 и GTX 1060: Общей чертой этих 3D-карт является система охлаждения, в кожух которой встроен жидкокристаллический индикатор3

Конструкция компьютерного корпуса Thermaltake View 71 Tempered Glass Edition включает четыре панели из закаленного стекла: Цену новинки производитель не называет3

ВИКТОРИНА ASUSTOR

Процессор с какой архитектурой установлен в ASUSTOR AS6302T, благодаря которому производительно выросла на 30% по сравнению с прошлым поколением?
1318

iXBT TV

  • Обзор легкой, компактной и дешевой мясорубки Kitfort KT-2101 Carnivora

  • Обзор беззеркальной фотокамеры Fujifilm X-T20

  • Обзор кинотеатрального DLP-проектора BenQ W11000 с эмуляцией разрешения 4К

  • AMD Ryzen Threadripper 1920Х и 1950X — тестирование 12-ядерного и 16-ядерного процессоров

  • Обзор мини-ПК ECS Liva Z на базе процессора Apollo Lake

  • Самый лучший процессор, неудачи Microsoft, гибкие наушники Samsung

  • Обзор цветного МФУ Xerox VersaLink C405 для малых и средних офисов

  • Обзор умного чайника Redmond SkyKettle RK-G200S с подсветкой и нагревом воды до нужной температуры

  • Конфигурируем мини-ПК: изучаем влияние памяти и накопителя на быстродействие системы

  • 3D-карты AMD Radeon RX Vega, цены, спецификации, смартфон Meizu Pro 7

  • Обзор лазерного цветного МФУ Canon imageRunner Advance C3520i, младшего в новой линейке

  • Обзор робота-пылесоса iBoto Aqua V710 с функцией влажной уборки

1212

Календарь

май
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать