Главная » Новости » 2006 » 05 » 31 31 мая 2006

Недельный отчет Panda Software о вирусах и троянах - уязвимость Word все еще не закрыта (21 неделя 2006 года)

В данном недельном отчее PandaLabs рассматривается троян 1Table.A и backdoor-трояны Gusi.A и Gusi.B.

1Table.A - это троян, эксплуатирующий критическую уязвимость в последних версиях Microsoft Word, для которой еще не выпущена заплатка. Троян попадает в компьютеры в виде легитимного документа Word, или любого прочего документа Microsoft Office со встроенным документом Word. При открытии документа, троян вызывает переполнение буфера в приложении, позволяя злоумышленнику запустить произвольный код с теми же привилегиями, что и начавший сеанс пользователь - если пользователь обладает правами администратора, злоумышленник получает полный контроль над системой. Троян также эксплуатирует уязвимость для внедрения в систему backdoor-трояна Gusi (A или В версий).

1Table.A не распространяется автоматически, для проникновения в уязвимую систему и эксплуатации бреши ему требуются действия со стороны пользователя. Эти действия включают в себя открытие почтовых вложений, скачивание файлов из Интернета или пиринговых сетей и т.д.

Gusi.A это backdoor-троян, неспособный достигать компьютеров собственными силами, а внедряющийся другим вредоносным ПО, например 1Table.A. Оказавшись в системе, он внедряет себя в Internet Explorer и перехватывает некоторые функции API для того, чтобы оставаться незамеченным пользователями. После установки, он отправляет информацию о зараженном компьютере, ожидая команд от удаленного злоумышленника, включая открытие консоли Windows (cmd.exe). Червь создает файл Winguis.dll в подпапке Windows System, файлы Etport.sys, Ispubdrv.sys и Rvdport.sys в подпапке Drivers subfolder и файл 20060424.bak.

Он также создает запись AppInit_DLLs в реестре Windows для обеспечения своего запуска при каждом старте операционной системы.

Gusi.B является версией Gusi.A, которая внедряется в систему другим трояном, например 1Table.A, путем использования критической, недокументированной уязвимости Microsoft Word. Явным симптомом заражения Gusi.B является ошибка запуска Internet Explorer - он не может найти установленное подключение к Интернету. Установившись на компьютере, троян открывает ряд последовательных портов, начиная с 1032, с целью отправки информации о зараженном компьютере и получения команд для выполнения действий в системе. Затем он инжектирует код в Internet Explorer и подключается к IP-адресу 222.9.X.X. Gusi.B использует методики руткитов для сокрытия своих файлов. Этот backdoor-троян создает файлы Zsydll.Dll и Zsyhide.Dll в подпапке Windows system на компьютере. Он также создает файл 20060426.bak.

Для обеспечения своего запуска при каждом старте Windows, Gusi.B создает реестровую запись в ключе AppInit_DLLs и несколько записей в HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\Windows NT\\CurrentVersion\\Winlogon\\Notify\\zsydll.

13:35 31.05.2006
Оценить новость

Не работают комментарии или голосования? Читайте как почистить куки



ВИКТОРИНА PATRIOT

Какие продукты, помимо компьютерной памяти, представлены в линейке Patriot – Viper Gaming?
май
Пн
Вт
Ср
Чт
Пт
Сб
Вс
2006

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.