Модуль анализа поведения технологии TruPreventTM, разработанный Panda Software, обнаружил и блокировал червя Oscarbot.KD (CME-482) – первого червя, эксплуатирующего уязвимость Microsoft MS06-040.
Эта уязвимость позволяет удаленному злоумышленнику выполнять ряд вредоносных действий на уязвимых компьютерах. Учитывая то, что эта технология обнаружила червя без наличия предварительной информации о нем, пользователи, установившие ее, были защищены с момента его появления.
Екатеринбург,15 августа 2006
С помощью глобальной сети сенсоров TruPreventTM, распределенных на миллионах компьютеров пользователей, установивших эту технологию, лаборатория PandaLabs зафиксировала ряд инцидентов с этим новым червем.
По данным PandaLabs, Oscarbot.KD ищет компьютеры с уязвимостью MS06-040. Если он находит их, он вызывает переполнение буфера в системе и запускает код, необходимый для скачивания своей копии на компьютер в файл wgareg.exe. Однако Oscarbot.KD также распространяется, используя службу AOL instant messenger и через диски общего пользования.
При установке на компьютер, червь открывает порт 18067 и подключается к определенным серверам IRC. Это может позволить удаленному злоумышленнику осуществлять связь с Oscarbot.KD для скачивания и запуска на компьютере любого рода программного обеспечения, или проведения атак на другие компьютеры.
Более того, червь создает службу в системе под именем wgareg или wgavm, которая симулирует истинную службу аутентификации программного обеспечения Windows. Эта служба может называться “Windows Genuine Advantage Registration Service” или “Windows Genuine Advantage Validation Monitor”. Текст, описывающий эту службу: “Проверяет, что Ваша копия Microsoft Windows является подлинной и зарегистрированной. Остановка или отключение этой службы приведет к нестабильности системы” или “Проверяет, что Ваша копия Microsoft Windows является подлинной. Остановка или отключение этой службы приведет к нестабильности системы”.
Oscarbot.KD редактирует ряд ключей реестра Windows для отключения брандмауэра, включенного в определенные версии операционной системы.
“Потребовалось всего лишь несколько дней для появления вредоносного кода, эксплуатирующего уязвимость MS06-040. Однако пользователям следует не ослаблять бдительности, поскольку, скорее всего, появятся новые виды вредоносного ПО, использующего эту брешь безопасности. Кроме скачивания и установки заплатки для исправления этой проблемы, также важно обладать обновленным антивирусом и, по возможности, предупреждающей технологией, подобной TruPreventTM. Она показала себя высокоэффективной, заблокировав Oscarbot.KD без наличия предварительных данных о нем, действуя как дополнительный уровень защиты традиционных антивирусных приложений“, объясняет Луис Корронс, директор PandaLabs.
Клиенты Panda Software, которые еще не обладают технологией TruPreventTM, могут скачать обновление для своих антивирусов, позволяющее установить ее и обеспечить наличие у них превентивной защиты от неизвестных вирусов и вторжений. Более подробные сведения о новой технологии TruPreventTM Вы найдете по адресу: http://www.viruslab.ru/products/tp/.
Уязвимость MS06-040 присутствует в Windows 2003, XP и 2000. Заплатка Microsoft, исправляющая проблему доступна по адресу: http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx
