Data: Piątek, 18 sierpnia 2006, 15:12

Pierwszy robak wykorzystujący lukę MS06-040 w zabezpieczeniach Windows

Luka w zabezpieczeniach systemów Microsoft Windows, opisana w biuletynie Microsoft MS06-040, umożliwia zdalne przejęcie kontroli nad komputerem ofiary. Haker może instalować programy, zmieniać i usuwać dane, a nawet zakładać nowe konta z uprawnieniami administratorskimi. Technologie TruPrevent firmy Panda Software zablokowały nowego robaka zanim został skatalogowany w bazie sygnatur wirusów.

Oscarbot.KD otwiera na zainfekowanym komputerze port 18067, a następnie łączy się z kilkoma serwerami IRC, umożliwiając hakerowi wydawanie zdalnych poleceń administracyjnych, takich jak pobieranie i uruchamianie różnego rodzaju oprogramowania, atakowanie innych komputerów i inne szkodliwe działania.

Dodatkowo, robak tworzy usługę systemową o nazwie wgareg lub wgavm, która podszywa się pod usługę Genuine Windows, weryfikującej legalność zainstalowanej kopii systemu operacyjnego Microsoft. Fałszywa usługa może nazywać się: Windows Genuine Advantage Registration Service” lub “Windows Genuine Advantage Validation Monitor” wraz z opisem “Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability” lub “Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability”.

Oscarbot.KD zmienia również kilka kluczy Rejestru systemowego Windows w celu wyłączenia zapory Windows, będącej elementem najnowszych systemów operacyjnych z rodziny Windows.

„Pojawienie się złośliwego kodu, wykorzystującego lukę w zabezpieczeniach Windows było tylko kwestią czasu. Biuletyn zabezpieczeń MS06-040 ukazał się 8 sierpnia, a więc hakerzy potrzebowali zaledwie tygodnia na napisanie niebezpiecznego programu. Użytkownicy powinni być czujni, ponieważ w najbliższym czasie mogą pojawić się kolejne złośliwe kody wykorzystujące tę lukę w zabezpieczeniach. Oprócz pobrania i zainstalowania nakładki do sytemu Windows, eliminującej lukę w zabezpieczeniach, zalecamy aktualizację aplikacji antywirusowych. Bardzo przydatne okazują się również technologie proaktywne, które są w stanie wykryć nieznane zagrożenia” – mówi Piotr Walas, kierownik PogotoVia AntyVirusowego Panda Software Polska.