Programska oprema
29.05.2006 08:47

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih

Trojanci 1Table.A, Gusi.A in Gusi.B so v središču poročila laboratorija PandaLabs o zlonamernih kodah preteklega tedna.

1Table.A je trojanec, ki izkorišča kritično ranljivost v zadnjih različicah Microsoft Word, za katero še ni varnostnih popravkov. Trojanec doseže računalnike kot legitimni Wordov dokument ali katerikoli drugi dokument Microsoft Office z vpetim Wordovim dokumentom. Ko se dokument odpre, trojanec izzove prekoračitev medpomnilnika v aplikaciji, kar napadalcu omogoči zagon poljubne kode z enakimi pravicami kot prijavljeni uporabnike – če ima uporabnik administratorske pravice, lahko napadalec pridobi popoln nadzor nad napadenim računalnikom. Trojanec izkoristi ranljivost, da spusti trojanca “stranska vrata” (Gusi.A ali Gusi.B) na prizadeti sistem.

1Table.A se ne širi samodejno, ampak potrebuje določeno akcijo uporabnika, da doseže ranljivi sistem in izkoristi ranljivost. Te akcije vključujejo odpiranje e-poštnih priponk, nalaganje datotek z interneta ali prek omrežij P2P, ipd.

Gusi.A je trojanec “stranska vrata”, ki se prav tako ne more širiti sam, ampak ga na sistem spusti druga zlonamerna koda, kot je npr. 1Table.A. Ko je na sistemu, se injecira v brskalnik Internet Explorer in se obesi na določene funkcije API, da ne bi bil opazen uporabnikom. Ko je nameščen, pošlje informacije o prizadetem računalniku in čaka ukaze oddaljenega napadalca, vključno z odpiranjem konzole Windows (cmd.exe). Ustvari datoteko Winguis.dll v podmapi Windows System, datoteke Etport.sys, Ispubdrv.sys in Rvdport.sys v podmapi Drivers in datoteko 20060424.bak, ki ima ikono

Prekopira se zapis AppInit_DLLs v Windows Registry, da zagotovi svoj zagon ob vsakem zagonu operacijskega sistema.

Gusi.B je različica Gusi.A, ki jo na sistem spusti drug trojanec, kot je npr. 1Table.A, in sicer z izkoriščanjem kritične ranljivosti v Microsoft Wordu. Jasen simptom je zagonska napaka brskalnika Internet Explorer, če ne more odpreti internetne povezave. Ko je na prizadetem računalniku, odpre vrsto zaporednih vrat, od 1032, da bi pošiljal informacije o okuženem računalniku in prejemal ukaze, ki naj jih izvaja na sistemu. Potem injecira kodo v Internet Explorer in se poveže na naslov IP 222.9.X.X. Uporablja korenske tehnike, da skrije svoje datoteke. Ta trojanec ustvari datoteko 20060426.bak z ikono:

Da zagotovi svoj zagon ob vsakokratnem zagonu sistema Windows, Gusi.B ustvari registrski zapis v ključu AppInit_DLLs in več zapisov v HKEY_LOCAL_MACHINE SOFTWARE MicrosoftWindows NT CurrentVersion Winlogon Notify zsydll


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

ARTIO PRINT & DESIGN

Cerkvenjak 13, 2236 Cerkvenjak, Tel: 031 538 000
Storitve tiska po meri sodobnega naročnika Pomislite na naslednje: iščete ponudnika za tisk letakov, brošur ali vizitk, storitev, ki jo v visoko konkurenčnem okolju potrebujemo ... Več

tinaLILIPUT – grafično oblikovanje

Mariborska cesta 82, 2312 Orehova vas, Tel: 031 343 481
Grafično oblikovanje je pomembno orodje, ki izboljša komunikacijo z drugimi. Služi za posredovanje vaših idej na način, ki ni le učinkovit, ampak tudi eleganten. Preprosto povedano, ... Več
Zlati partner

TEKSEL d.o.o.

Tržaška cesta 132, 1000 Ljubljana, Tel: 01 620 77 25
Skoraj vsak mora vsebino, namen in vrednost svojega dela sporočiti strankam, obiskovalcem ali sodelavcem. Multimedijska oprema z integriranimi avdio in video funkcijami pomaga širiti ... Več
Diamantni partner

Miklavčič marketing, d.o.o.

Zgornji Brnik 130H, 4210 Brnik aerodrom, Tel: 041 414 847