Panda Software: недельный отчет о вирусах и вторжениях (41 неделя 2006 года) — Alien @ 17.10.2006 10:40

В отчете прошедшей недели компании Panda Software рассматриваются последние бюллетени безопасности, выпущенные Майкрософт. Это бюллетени предлагают исправления для ряда ошибок и уязвимостей в системах и приложениях компании. В отчете также рассматриваются два вредоносных кода: Nedro.B и Haxdoor.NJ.

Майкрософт выпустила десять бюллетеней безопасности для пользователей. Они исправляют уязвимости, опасность которых оценена как “критическая" (шесть), “серьезная” (одна), "умеренная” (две) и “низкая” (одна):

• MS06-056: Исправляет уязвимость (кросс-сайтовый скриптинг) на серверах с .Net Framework 2.0. Опасность этой бреши была оценена как “умеренная”.
• MS06-057: Обновляет Windows Shell с целью помешать удаленному запуску кода. Обнаружена в Windows 2000, XP и Server 2003. Серьезность расценивается как "критическая".
• MS06-058: Исправляет шесть уязвимостей в PowerPoint и расценивается как “критическая”.
• MS06-059: Исправляет четыре уязвимости в Microsoft Excel, также названные “критическими”.
• MS06-060: Обновление для исправления критической уязвимости в Microsoft Word.
• MS06-061: Содержит обновление, исправляющее две уязвимости Microsoft XLM Core Services. Майкрософт назвала этот бюллетень “критическим”. Он применим к Windows NT4 SP6, 2000, XP и Server 2003.
• MS06-062: Обновление для исправления уязвимостей Microsoft Office. Влияет на Microsoft Office, Project и Visio. Уязвимости названы “критическими”.
• MS06-063: Исправляет две уязвимости в службе Windows Server. Бюллетень, которому была присвоена оценка “важный”, предназначен для Windows 2000, Server 2003 и XP.
• MS06-064: Исправляет три уязвимости отказа в обслуживании на системах TCP/IP IPv6. Майкрософт присвоила этому бюллетеню “низкую” степень серьезности. Он предназначен для систем Windows XP и Server 2003.
• MS06-065: Исправляет уязвимость, влияющую на утилиту Windows Object Packager в Windows XP и Server 2003. Ее серьезность оценена как “умеренная”.

Первый вредоносный код в отчете прошедшей недели – червь W32/Nedro.B.worm, разработанный для заражения операционных систем Windows. Он распространяется по IRC и через Yahoo! messenger.

Чтобы остаться незамеченным и избежать обнаружения и уничтожения, Nedro.B выполняет ряд действий:

• Блокирует доступ к реестру Windows.
• Вносит модификации в систему для запуска кода червя при любом запуске файла с одним из следующих расширений: art, dat, avi, ini и pif.
• Назначает иконку Microsoft Word файлам .scr (хранители экрана) для того, чтобы сделать их менее подозрительными для пользователей.
• Скрывает файлы .bat, .com, .exe и .scr (все эти файлы являются исполняемыми, и поэтому потенциально опасны).
• Удаляет опцию “Выполнить” из меню “Пуск”.
• Запрещает просмотр пользователем содержимого жесткого диска через Проводник Windows.
• Завершает множество приложений безопасности.

Эти действия не только позволяют Nedro.B скрывать себя, но также оставляют систему уязвимой для других вредоносных кодов.

Haxdoor.NJ – это бэкдор-троян, собирающий различные виды паролей с зараженного компьютера, например таких, как пароли начала сеанса работы, а также почтовых клиентов Outlook и The Bat. Haxdoor.NJ также пытается украсть пароли для систем eBay, e-gold и paypal. Если он находит эту информацию, то отправляет ее своему создателю, используя руткит Rootkit/Haxdoor.NJ.

В распространении Haxdoor.NJ полагается на злоумышленника, поскольку не способен к автоматическому распространению. Этот руткит также открывает три произвольно выбираемых порта, чтобы позволить своему автору получить данные.

Для распространения, Haxdoor.NJ внедряет свой код в процесс explorer.exe, тем самым, обеспечивая свой запуск при каждой загрузке системы. Он предотвращает работу брандмауэра Windows XP SP2, изменяя его настройки таким образом, чтобы считаться авторизованным приложением.