Programska oprema
29.05.2006 08:47

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih

Trojanci 1Table.A, Gusi.A in Gusi.B so v središču poročila laboratorija PandaLabs o zlonamernih kodah preteklega tedna.

1Table.A je trojanec, ki izkorišča kritično ranljivost v zadnjih različicah Microsoft Word, za katero še ni varnostnih popravkov. Trojanec doseže računalnike kot legitimni Wordov dokument ali katerikoli drugi dokument Microsoft Office z vpetim Wordovim dokumentom. Ko se dokument odpre, trojanec izzove prekoračitev medpomnilnika v aplikaciji, kar napadalcu omogoči zagon poljubne kode z enakimi pravicami kot prijavljeni uporabnike – če ima uporabnik administratorske pravice, lahko napadalec pridobi popoln nadzor nad napadenim računalnikom. Trojanec izkoristi ranljivost, da spusti trojanca “stranska vrata” (Gusi.A ali Gusi.B) na prizadeti sistem.

1Table.A se ne širi samodejno, ampak potrebuje določeno akcijo uporabnika, da doseže ranljivi sistem in izkoristi ranljivost. Te akcije vključujejo odpiranje e-poštnih priponk, nalaganje datotek z interneta ali prek omrežij P2P, ipd.

Gusi.A je trojanec “stranska vrata”, ki se prav tako ne more širiti sam, ampak ga na sistem spusti druga zlonamerna koda, kot je npr. 1Table.A. Ko je na sistemu, se injecira v brskalnik Internet Explorer in se obesi na določene funkcije API, da ne bi bil opazen uporabnikom. Ko je nameščen, pošlje informacije o prizadetem računalniku in čaka ukaze oddaljenega napadalca, vključno z odpiranjem konzole Windows (cmd.exe). Ustvari datoteko Winguis.dll v podmapi Windows System, datoteke Etport.sys, Ispubdrv.sys in Rvdport.sys v podmapi Drivers in datoteko 20060424.bak, ki ima ikono

Prekopira se zapis AppInit_DLLs v Windows Registry, da zagotovi svoj zagon ob vsakem zagonu operacijskega sistema.

Gusi.B je različica Gusi.A, ki jo na sistem spusti drug trojanec, kot je npr. 1Table.A, in sicer z izkoriščanjem kritične ranljivosti v Microsoft Wordu. Jasen simptom je zagonska napaka brskalnika Internet Explorer, če ne more odpreti internetne povezave. Ko je na prizadetem računalniku, odpre vrsto zaporednih vrat, od 1032, da bi pošiljal informacije o okuženem računalniku in prejemal ukaze, ki naj jih izvaja na sistemu. Potem injecira kodo v Internet Explorer in se poveže na naslov IP 222.9.X.X. Uporablja korenske tehnike, da skrije svoje datoteke. Ta trojanec ustvari datoteko 20060426.bak z ikono:

Da zagotovi svoj zagon ob vsakokratnem zagonu sistema Windows, Gusi.B ustvari registrski zapis v ključu AppInit_DLLs in več zapisov v HKEY_LOCAL_MACHINE SOFTWARE MicrosoftWindows NT CurrentVersion Winlogon Notify zsydll


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

UL FRI

Večna pot 113, 1000 Ljubljana, Tel: 01 479 81 03
Spoznali smo že, da so računalniki neverjetni stroji, za katere se zdi, da ni meja, da so sposobni narediti vse, kar si človek zamisli in tudi tisto, kar si danes večina ljudi še ... Več

Makro Team d.o.o.

Ilaunigova ulica 5, 2230 Lenart v Slovenskih goricah, Tel: 040 410 451, 02 729 25 40
Ste mislili, da je IT podporna služba primerna le za večja podjetja? Zagotavljanje strokovne informacijske podpore bodisi na daljavo ali na fizični lokaciji ima številne prednosti, ... Več
Zlati partner

TELEMACH d.o.o.

Brnčičeva ulica 49a, 1231 Ljubljana Črnuče, Tel: 070 700 700
Telemach je eno glavnih telekomunikacijskih podjetij v Sloveniji in hkrati najhitreje rastoči mobilni operater v državi. Uporabnikom ponuja napredne televizijske storitve v ločljivostih ... Več
Zlati partner

BONAJO d.o.o.

Industrijska cesta 9, 1290 Grosuplje, Tel: 040 514 750
Podjetje BONAJO d.o.o. uspešno posluje že od samega začetka. S skrbno izbrano veleprodajno mrežo partnerjev skrbijo za trženje in distribucijo televizorjev, mobilnih telefonov, ... Več