Недельный отчет Panda Software Russia: появились черви с функциями руткитов

Каждую неделю Panda Software Russia публикует отчет с информацией, объясняющей самые заметные вирусы и угрозы, появившиеся за неделю. В отчете о прошедшей недели PandaLabs рассматривает две версии червя Bagle, IB и HZ, а также вредоносный код, эксплуатирующий уязвимость.

Екатеринбург, 3 апреля 2006
Первая из двух версий Bagle в отчете - Bagle.IB, содержит функции руткита. Эти функции позволяют ему скрывать файлы, записи реестра Windows и процессы. Для того, чтобы оставаться незамеченным на зараженной системе, он пытается отключить до 495 различных процессов, все из которых связаны с решениями безопасностями, такими как антивирусы и брандмауэры.

Другой червь из семейства Bagle, которого мы рассмотрим сегодня - Bagle.HZ – использует почти ту же систему что и версия IB, но отключает в общей сложности 525 процессов.

Обе версии Bagle используют файл M_HOOK.SYS, являющийся компонентом, выполняющим функции руткита. Благодаря ему, процессы Bagle остаются невидимыми.

Методы, используемые руткитами, представляют собой серьезную проблему, поскольку скрытые процессы способны выполнять опасные действия, например красть данные пользователя и пароли, не создавая симптомов, которые могут быть обнаружены утилитами безопасности.
В конце отчета мы рассмотрим код, специально созданный для эксплуатации уязвимости Internet Explorer “createTextRange” на системах Windows 2003/XP/2000/Me/98.

Из-за этой уязвимости в случае, если Internet Explorer пытается отобразить веб-страницу с запросом HTML-объектов методом “createTextRange()”, искажается системная память, что позволяет запуск произвольного кода на уязвимом компьютере.

Объект TextRange представляет собой текст в HTML-документе и используется для восстановления и изменения текста, нахождения определенных текстовых строк и запуска команд, влияющих на отображение текста.

Для эксплуатации этой уязвимости, хакеры размещают вредоносный код на веб-странице и пытаются убедить пользователей посетить ее. Кроме того, уязвимость может быть эксплуатирована путем рассылки сообщений со ссылками на вредоносную веб-страницу.

Panda Software зафиксировала код, эксплуатирующий эту уязвимость как CreatetxtRange, и ее решения предупреждают пользователей о его присутствии на посещенных веб-страницах.

Для получения более подробной информации о вирусных тенденциях, на сайте Panda Software Russia можно скачать годовой аналитический отчет PandaLabs: http://www.viruslab.ru/download/report2005/

Убедитесь, что Ваш компьютер чист от вирусов с помощью бесплатного онлайнового антивируса: Panda ActiveScan (http://www.viruslab.ru/service/check/)

О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru ).

Опубликовано: 3 апреля 2006 г.

Ключевые слова: нет

Извините, комментариев пока нет