Недельный отчет Panda Software Russia: уязвимость Word все еще не закрыта

В данном недельном отчее PandaLabs рассматривается троян 1Table.A и backdoor-трояны Gusi.A и Gusi.B.

Екатеринбург, 29 мая 2006

1Table.A - это троян, эксплуатирующий критическую уязвимость в последних версиях Microsoft Word, для которой еще не выпущена заплатка. Троян попадает в компьютеры в виде легитимного документа Word, или любого прочего документа Microsoft Office со встроенным документом Word. При открытии документа, троян вызывает переполнение буфера в приложении, позволяя злоумышленнику запустить произвольный код с теми же привилегиями, что и начавший сеанс пользователь - если пользователь обладает правами администратора, злоумышленник получает полный контроль над системой. Троян также эксплуатирует уязвимость для внедрения в систему backdoor-трояна Gusi (A или В версий).
1Table.A не распространяется автоматически, для проникновения в уязвимую систему и эксплуатации бреши ему требуются действия со стороны пользователя. Эти действия включают в себя открытие почтовых вложений, скачивание файлов из Интернета или пиринговых сетей и т.д.

Gusi.A это backdoor-троян, неспособный достигать компьютеров собственными силами, а внедряющийся другим вредоносным ПО, например 1Table.A. Оказавшись в системе, он внедряет себя в Internet Explorer и перехватывает некоторые функции API для того, чтобы оставаться незамеченным пользователями. После установки, он отправляет информацию о зараженном компьютере, ожидая команд от удаленного злоумышленника, включая открытие консоли Windows (cmd.exe). Червь создает файл Winguis.dll в подпапке Windows System, файлы Etport.sys, Ispubdrv.sys и Rvdport.sys в подпапке Drivers subfolder и файл 20060424.bak, обладающий следующим значком:

Он также создает запись AppInit_DLLs в реестре Windows для обеспечения своего запуска при каждом старте операционной системы.

Gusi.B является версией Gusi.A, которая внедряется в систему другим трояном, например 1Table.A, путем использования критической, недокументированной уязвимости Microsoft Word. Явным симптомом заражения Gusi.B является ошибка запуска Internet Explorer - он не может найти установленное подключение к Интернету. Установившись на компьютере, троян открывает ряд последовательных портов, начиная с 1032, с целью отправки информации о зараженном компьютере и получения команд для выполнения действий в системе. Затем он инжектирует код в Internet Explorer и подключается к IP-адресу 222.9.X.X. Gusi.B использует методики руткитов для сокрытия своих файлов. Этот backdoor-троян создает файлы Zsydll.Dll и Zsyhide.Dll в подпапке Windows system на компьютере. Он также создает файл 20060426.bak со следующим значком:

Для обеспечения своего запуска при каждом старте Windows, Gusi.B создает реестровую запись в ключе AppInit_DLLs и несколько записей в HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows NT\ CurrentVersion\ Winlogon\ Notify\ zsydll

Для получения более подробной информации о вирусных тенденциях, на сайте Panda Software Russia можно скачать годовой аналитический отчет PandaLabs: http://www.viruslab.ru/download/report2005/

О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru ).

Опубликовано: 29 мая 2006 г.

Ключевые слова: нет

Извините, комментариев пока нет