Programska oprema
29.05.2006 08:47

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih

Trojanci 1Table.A, Gusi.A in Gusi.B so v središču poročila laboratorija PandaLabs o zlonamernih kodah preteklega tedna.

1Table.A je trojanec, ki izkorišča kritično ranljivost v zadnjih različicah Microsoft Word, za katero še ni varnostnih popravkov. Trojanec doseže računalnike kot legitimni Wordov dokument ali katerikoli drugi dokument Microsoft Office z vpetim Wordovim dokumentom. Ko se dokument odpre, trojanec izzove prekoračitev medpomnilnika v aplikaciji, kar napadalcu omogoči zagon poljubne kode z enakimi pravicami kot prijavljeni uporabnike – če ima uporabnik administratorske pravice, lahko napadalec pridobi popoln nadzor nad napadenim računalnikom. Trojanec izkoristi ranljivost, da spusti trojanca “stranska vrata” (Gusi.A ali Gusi.B) na prizadeti sistem.

1Table.A se ne širi samodejno, ampak potrebuje določeno akcijo uporabnika, da doseže ranljivi sistem in izkoristi ranljivost. Te akcije vključujejo odpiranje e-poštnih priponk, nalaganje datotek z interneta ali prek omrežij P2P, ipd.

Gusi.A je trojanec “stranska vrata”, ki se prav tako ne more širiti sam, ampak ga na sistem spusti druga zlonamerna koda, kot je npr. 1Table.A. Ko je na sistemu, se injecira v brskalnik Internet Explorer in se obesi na določene funkcije API, da ne bi bil opazen uporabnikom. Ko je nameščen, pošlje informacije o prizadetem računalniku in čaka ukaze oddaljenega napadalca, vključno z odpiranjem konzole Windows (cmd.exe). Ustvari datoteko Winguis.dll v podmapi Windows System, datoteke Etport.sys, Ispubdrv.sys in Rvdport.sys v podmapi Drivers in datoteko 20060424.bak, ki ima ikono

Prekopira se zapis AppInit_DLLs v Windows Registry, da zagotovi svoj zagon ob vsakem zagonu operacijskega sistema.

Gusi.B je različica Gusi.A, ki jo na sistem spusti drug trojanec, kot je npr. 1Table.A, in sicer z izkoriščanjem kritične ranljivosti v Microsoft Wordu. Jasen simptom je zagonska napaka brskalnika Internet Explorer, če ne more odpreti internetne povezave. Ko je na prizadetem računalniku, odpre vrsto zaporednih vrat, od 1032, da bi pošiljal informacije o okuženem računalniku in prejemal ukaze, ki naj jih izvaja na sistemu. Potem injecira kodo v Internet Explorer in se poveže na naslov IP 222.9.X.X. Uporablja korenske tehnike, da skrije svoje datoteke. Ta trojanec ustvari datoteko 20060426.bak z ikono:

Da zagotovi svoj zagon ob vsakokratnem zagonu sistema Windows, Gusi.B ustvari registrski zapis v ključu AppInit_DLLs in več zapisov v HKEY_LOCAL_MACHINE SOFTWARE MicrosoftWindows NT CurrentVersion Winlogon Notify zsydll


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

MLACOM d.o.o.

Pot heroja Trtnika, 1261 Ljubljana - Dobrunje, Tel: 01 500 87 75
Tehnologija se nezadržno razvija naprej. Za vogalom je vedno novo odkritje, ki lahko spremeni tako zasebna kot poslovna okolja. Eden največjih izumov je zagotovo računalnik, ki ... Več

DEMAR d.o.o.

Gmajna 10, 1236 Trzin, Tel: 05 907 40 61
Drzne rešitve za spletne predstavitve z dušo Obstaja agencija, ki ponuja rešitve za podjetja, organizacije, znamke in posameznike. Za vse, ki pogrešajo sodobnost, kreativnost ... Več
Zlati partner

Kontron, d. o. o.

Ljubljanska cesta 24a, 4000 Kranj, Tel: 04 207 20 00
Vodilni evropski ponudnik komunikacijskih rešitev za digitalno preobrazbo Z več kot 70 leti izkušenj je podjetje Kontron vodilni evropski ponudnik komunikacijskih rešitev za digitalno ... Več
Zlati partner

RITTAL d.o.o.

Letališka cesta 16, 1000 Ljubljana, Tel: 01 546 63 70
Rittal spodbuja inovacije in živi svoje vrednote To je Rittal. Globalni igralec, vodilni inovator, družinsko podjetje in zgleden delodajalec. Rittal zgodba Prihodnost Rittala se je ... Več