Panda Software: недельный отчет о вирусах и вторжениях (19 неделя 2006 года) — Alien @ 20.05.2006 12:45

В очередном отчете PandaLabs за прошедшую неделю рассматривается троян Nabload.CW и новейшие уязвимости, о которых сообщила Microsoft в своих бюллетенях -MS06-18, MS06-19 и MS06-20.

Nabload.CW – это троян, неспособный к самостоятельному распространению и поэтому ему требуется активация пользователем. Он пытается скачать и запустить другого трояна - Bancos.MO. Троян Nabload.CW запускает файл Windows Media Player под названием Video [1].exe, и при запуске отображается окно с GIF-анимацией, имитирующей проигрыватель Windows. Затем троян отображает сообщение информирующее, что для проигрывания файла требуется скачать кодек. Если пользователь соглашается на это, он скачивает трояна Bancos.MO. Если запустить Video[1].exe снова, появляется предупреждение о поврежденном файле. Троян создает файл в системной папке под названием ffyt66555.KO и файл Svchost.Exe во временных файлах Internet. Он также создает следующую запись в реестре: Hkey_Local_Machine\\Software\\Microsoft\\Downloadmanager.

На протяжении прошедшей недели поступали сообщения об уязвимостях в продуктах Microsoft:

• MS06-018 - это некритическая уязвимость в MSDTC (Microsoft Distributed Transaction Coordinator), влияющая на Windows XP/2000 и Server 2003, способная сделать возможными атаки отказа в обслуживании (DoS) на уязвимые компьютеры. При успехе атаки, компьютер может быть заблокирован. Уязвимость может быть использована с помощью отправки специально созданного пакета на компьютер-жертву по локальной сети или через Интернет. Использование брандмауэра может предотвратить такую атаку.
• MS06-019 – это критическая уязвимость, найденная Microsoft в Exchange Server 2000/2003 и позволяющая злоумышленнику получить контроль над компьютером с теми же привилегиями, что и текущий пользователь. Если пользователь обладает правами администратора, уязвимость позволит злоумышленнику получить полный контроль над компьютером. Данная брешь вызвана ошибкой во взаимодействии между iCal (Internet Calendar) и vCal (Virtual Calendar) и Exchange. Попытка эксплуатации уязвимости начинается с отправки специально упакованного сообщения на сервер Exchange.
• MS06-020 – это набор критических уязвимостей, найденных в версиях Macromedia Flash Player, включенных в Microsoft Windows XP/Me/98 и способных позволять удаленный запуск кода на уязвимых системах. Возможность атаки вызвана существованием непроверяемого буфера во время запуска flash-файлов. Успешная атака может предоставить доступ к компьютеру с правами текущего сеанса. Если учетная запись обладает правами администратора, злоумышленник может получить полный контроль над системой. Уязвимость эксплуатируется с помощью специально-созданного файла с расширением SWF, который может быть отправлен по почте или скачан с сайта.