Каждую неделю Panda Software Russia публикует отчет с информацией, объясняющей самые заметные вирусы и угрозы, появившиеся за неделю. В отчете о прошедшей недели PandaLabs рассматривает две версии червя Bagle, IB и HZ, а также вредоносный код, эксплуатирующий уязвимость.
Первая из двух версий Bagle в отчете - Bagle.IB, содержит функции руткита. Эти функции позволяют ему скрывать файлы, записи реестра Windows и процессы. Для того, чтобы оставаться незамеченным на зараженной системе, он пытается отключить до 495 различных процессов, все из которых связаны с решениями безопасностями, такими как антивирусы и брандмауэры.
Другой червь из семейства Bagle, которого мы рассмотрим сегодня - Bagle.HZ – использует почти ту же систему что и версия IB, но отключает в общей сложности 525 процессов.
Обе версии Bagle используют файл M_HOOK.SYS, являющийся компонентом, выполняющим функции руткита. Благодаря ему, процессы Bagle остаются невидимыми.
Методы, используемые руткитами, представляют собой серьезную проблему, поскольку скрытые процессы способны выполнять опасные действия, например красть данные пользователя и пароли, не создавая симптомов, которые могут быть обнаружены утилитами безопасности.
В конце отчета мы рассмотрим код, специально созданный для эксплуатации уязвимости Internet Explorer “createTextRange” на системах Windows 2003/XP/2000/Me/98.
Из-за этой уязвимости в случае, если Internet Explorer пытается отобразить веб-страницу с запросом HTML-объектов методом “createTextRange()”, искажается системная память, что позволяет запуск произвольного кода на уязвимом компьютере.
Объект TextRange представляет собой текст в HTML-документе и используется для восстановления и изменения текста, нахождения определенных текстовых строк и запуска команд, влияющих на отображение текста.
Для эксплуатации этой уязвимости, хакеры размещают вредоносный код на веб-странице и пытаются убедить пользователей посетить ее. Кроме того, уязвимость может быть эксплуатирована путем рассылки сообщений со ссылками на вредоносную веб-страницу.
Panda Software зафиксировала код, эксплуатирующий эту уязвимость как CreatetxtRange, и ее решения предупреждают пользователей о его присутствии на посещенных веб-страницах.