Programska oprema
29.05.2006 08:47

Deli z drugimi:

Share

Tedensko poročilo o virusih in vdorih

Trojanci 1Table.A, Gusi.A in Gusi.B so v središču poročila laboratorija PandaLabs o zlonamernih kodah preteklega tedna.

1Table.A je trojanec, ki izkorišča kritično ranljivost v zadnjih različicah Microsoft Word, za katero še ni varnostnih popravkov. Trojanec doseže računalnike kot legitimni Wordov dokument ali katerikoli drugi dokument Microsoft Office z vpetim Wordovim dokumentom. Ko se dokument odpre, trojanec izzove prekoračitev medpomnilnika v aplikaciji, kar napadalcu omogoči zagon poljubne kode z enakimi pravicami kot prijavljeni uporabnike – če ima uporabnik administratorske pravice, lahko napadalec pridobi popoln nadzor nad napadenim računalnikom. Trojanec izkoristi ranljivost, da spusti trojanca “stranska vrata” (Gusi.A ali Gusi.B) na prizadeti sistem.

1Table.A se ne širi samodejno, ampak potrebuje določeno akcijo uporabnika, da doseže ranljivi sistem in izkoristi ranljivost. Te akcije vključujejo odpiranje e-poštnih priponk, nalaganje datotek z interneta ali prek omrežij P2P, ipd.

Gusi.A je trojanec “stranska vrata”, ki se prav tako ne more širiti sam, ampak ga na sistem spusti druga zlonamerna koda, kot je npr. 1Table.A. Ko je na sistemu, se injecira v brskalnik Internet Explorer in se obesi na določene funkcije API, da ne bi bil opazen uporabnikom. Ko je nameščen, pošlje informacije o prizadetem računalniku in čaka ukaze oddaljenega napadalca, vključno z odpiranjem konzole Windows (cmd.exe). Ustvari datoteko Winguis.dll v podmapi Windows System, datoteke Etport.sys, Ispubdrv.sys in Rvdport.sys v podmapi Drivers in datoteko 20060424.bak, ki ima ikono

Prekopira se zapis AppInit_DLLs v Windows Registry, da zagotovi svoj zagon ob vsakem zagonu operacijskega sistema.

Gusi.B je različica Gusi.A, ki jo na sistem spusti drug trojanec, kot je npr. 1Table.A, in sicer z izkoriščanjem kritične ranljivosti v Microsoft Wordu. Jasen simptom je zagonska napaka brskalnika Internet Explorer, če ne more odpreti internetne povezave. Ko je na prizadetem računalniku, odpre vrsto zaporednih vrat, od 1032, da bi pošiljal informacije o okuženem računalniku in prejemal ukaze, ki naj jih izvaja na sistemu. Potem injecira kodo v Internet Explorer in se poveže na naslov IP 222.9.X.X. Uporablja korenske tehnike, da skrije svoje datoteke. Ta trojanec ustvari datoteko 20060426.bak z ikono:

Da zagotovi svoj zagon ob vsakokratnem zagonu sistema Windows, Gusi.B ustvari registrski zapis v ključu AppInit_DLLs in več zapisov v HKEY_LOCAL_MACHINE SOFTWARE MicrosoftWindows NT CurrentVersion Winlogon Notify zsydll


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

TELEMACH d.o.o.

Brnčičeva ulica 49a, 1231 Ljubljana Črnuče, Tel: 070 700 700
Telemach je eno glavnih telekomunikacijskih podjetij v Sloveniji in hkrati najhitreje rastoči mobilni operater v državi. Uporabnikom ponuja napredne televizijske storitve v ločljivostih ... Več
Zlati partner

Računalniški muzej

Celovška cesta 111, 1000 Ljubljana,
Že od leta 2004 si jemljemo za svoje osnovno poslanstvo opominjanje na informacijsko dediščino. Kot kulturna ustanova s sedežem v Ljubljani, se posvečamo zbiranju, ohranjanju ... Več

InfoQ d.o.o., informacijske rešitve

Cankarjeva cesta 6a, 8330 Metlika, Tel: 041 630 449
Podjetje InfoQ d.o.o. razvija programske rešitve za proizvodna podjetja, ki potrebujejo SCADA (Supervisory Control and Data Acquisition) in MES (Manufacturing Execution System) skupaj ... Več

SINERGISE d.o.o.

Cvetkova ulica 29, 1000 Ljubljana, Tel: 01 320 61 50
Sinergise razvija geografske informacijske sisteme Slovensko podjetje Sinergise je inovativno visokotehnološko podjetje. Ukvarja se z razvojem geografskih informacijskih sistemov ... Več