Недельный отчет PandaLabs: уязвимость Word все еще не закрыта

В данном недельном отчее PandaLabs рассматривается троян 1Table.A и backdoor-трояны Gusi.A и Gusi.B. 1Table.A - это троян, эксплуатирующий критическую уязвимость в последних версиях Microsoft Word, для которой еще не выпущена заплатка. Троян попадает в компьютеры в виде легитимного документа Word, или любого прочего документа Microsoft Office со встроенным документом Word.

При открытии документа, троян вызывает переполнение буфера в приложении, позволяя злоумышленнику запустить произвольный код с теми же привилегиями, что и начавший сеанс пользователь - если пользователь обладает правами администратора, злоумышленник получает полный контроль над системой. Троян также эксплуатирует уязвимость для внедрения в систему backdoor-трояна Gusi (A или В версий).

1Table.A не распространяется автоматически, для проникновения в уязвимую систему и эксплуатации бреши ему требуются действия со стороны пользователя. Эти действия включают в себя открытие почтовых вложений, скачивание файлов из Интернета или пиринговых сетей и т.д.

Gusi.A это backdoor-троян, неспособный достигать компьютеров собственными силами, а внедряющийся другим вредоносным ПО, например 1Table.A. Оказавшись в системе, он внедряет себя в Internet Explorer и перехватывает некоторые функции API для того, чтобы оставаться незамеченным пользователями. После установки, он отправляет информацию о зараженном компьютере, ожидая команд от удаленного злоумышленника, включая открытие консоли Windows (cmd.exe).

Червь создает файл Winguis.dll в подпапке Windows System, файлы Etport.sys, Ispubdrv.sys и Rvdport.sys в подпапке Drivers subfolder и файл 20060424.bak, обладающий следующим значком-:. Он также создает запись AppInit_DLLs в реестре Windows для обеспечения своего запуска при каждом старте операционной системы.

Gusi.B является версией Gusi.A, которая внедряется в систему другим трояном, например 1Table.A, путем использования критической, недокументированной уязвимости Microsoft Word. Явным симптомом заражения Gusi.B является ошибка запуска Internet Explorer - он не может найти установленное подключение к Интернету. Установившись на компьютере, троян открывает ряд последовательных портов, начиная с 1032, с целью отправки информации о зараженном компьютере и получения команд для выполнения действий в системе.

Затем он инжектирует код в Internet Explorer и подключается к IP-адресу 222.9.X.X. Gusi.B использует методики руткитов для сокрытия своих файлов. Этот backdoor-троян создает файлы Zsydll.Dll и Zsyhide.Dll в подпапке Windows system на компьютере. Он также создает файл 20060426.bak со следующим значком-:. Для обеспечения своего запуска при каждом старте Windows, Gusi.B создает реестровую запись в ключе AppInit_DLLs и несколько записей в HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows NT\ CurrentVersion\ Winlogon\ Notify\ zsydll.