Tedensko poročilo o virusih in vdorih

Trojanci 1Table.A, Gusi.A in Gusi.B so v središču poročila laboratorija PandaLabs o zlonamernih kodah preteklega tedna.

1Table.A je trojanec, ki izkorišča kritično ranljivost v zadnjih različicah Microsoft Word, za katero še ni varnostnih popravkov. Trojanec doseže računalnike kot legitimni Wordov dokument ali katerikoli drugi dokument Microsoft Office z vpetim Wordovim dokumentom. Ko se dokument odpre, trojanec izzove prekoračitev medpomnilnika v aplikaciji, kar napadalcu omogoči zagon poljubne kode z enakimi pravicami kot prijavljeni uporabnike – če ima uporabnik administratorske pravice, lahko napadalec pridobi popoln nadzor nad napadenim računalnikom. Trojanec izkoristi ranljivost, da spusti trojanca “stranska vrata” (Gusi.A ali Gusi.B) na prizadeti sistem.

1Table.A se ne širi samodejno, ampak potrebuje določeno akcijo uporabnika, da doseže ranljivi sistem in izkoristi ranljivost. Te akcije vključujejo odpiranje e-poštnih priponk, nalaganje datotek z interneta ali prek omrežij P2P, ipd.

Gusi.A je trojanec “stranska vrata”, ki se prav tako ne more širiti sam, ampak ga na sistem spusti druga zlonamerna koda, kot je npr. 1Table.A. Ko je na sistemu, se injecira v brskalnik Internet Explorer in se obesi na določene funkcije API, da ne bi bil opazen uporabnikom. Ko je nameščen, pošlje informacije o prizadetem računalniku in čaka ukaze oddaljenega napadalca, vključno z odpiranjem konzole Windows (cmd.exe). Ustvari datoteko Winguis.dll v podmapi Windows System, datoteke Etport.sys, Ispubdrv.sys in Rvdport.sys v podmapi Drivers in datoteko 20060424.bak, ki ima ikono

Prekopira se zapis AppInit_DLLs v Windows Registry, da zagotovi svoj zagon ob vsakem zagonu operacijskega sistema.

Gusi.B je različica Gusi.A, ki jo na sistem spusti drug trojanec, kot je npr. 1Table.A, in sicer z izkoriščanjem kritične ranljivosti v Microsoft Wordu. Jasen simptom je zagonska napaka brskalnika Internet Explorer, če ne more odpreti internetne povezave. Ko je na prizadetem računalniku, odpre vrsto zaporednih vrat, od 1032, da bi pošiljal informacije o okuženem računalniku in prejemal ukaze, ki naj jih izvaja na sistemu. Potem injecira kodo v Internet Explorer in se poveže na naslov IP 222.9.X.X. Uporablja korenske tehnike, da skrije svoje datoteke. Ta trojanec ustvari datoteko 20060426.bak z ikono:

Da zagotovi svoj zagon ob vsakokratnem zagonu sistema Windows, Gusi.B ustvari registrski zapis v ključu AppInit_DLLs in več zapisov v HKEY_LOCAL_MACHINE SOFTWARE MicrosoftWindows NT CurrentVersion Winlogon Notify zsydll