Недельный отчет Panda Software о вирусах и вторжениях
В настоящем отчете рассматриваются три критических уязвимости, влияющие на несколько продуктов Microsoft, три новых версии червя Mytob: HT, HU и HV, троянец Bobin.A и приложение Application/SpyPc.
Три рассматриваемые бреши безопасности, могут позволить злоумышленнику получить контроль над пораженным компьютером с правами пользователя, начавшего сеанс. Другие свойства этих уязвимостей:
- Одна из них найдена в Microsoft Word и влияет на Office 2000, Office XP и Microsoft Works Suite 2001, 2002, 2003 и 2004. Злоумышленник может использовать эту уязвимость, обманом заставив пользователей открыть специально созданный документ, содержащий вредоносный код.
- Вторая брешь найдена в Microsoft Color Management Module и влияет на Windows 2000, Windows XP, Windows Server 2003, Windows 98 и Windows Me. Для ее эксплуатации злоумышленнику достаточно убедить пользователей посетить специально созданную веб-страницу.
- Третья брешь найдена в Jview Profiler и влияет на Windows 2000, Windows XP, Windows Server 2003, Windows 98 и Windows Me. Как и в предыдущем случае, для использования этой уязвимости злоумышленнику достаточно убедить пользователей посетить специально созданную веб-страницу.
Microsoft сообщает об этих уязвимостях в трех бюллетенях по безопасности - с MS05-035 по MS05-037, в которых также говорится о доступности пачтей для исправления этих проблем.
Mytob.HT, Mytob.HU и Mytob.HV - это три червя, распространяющиеся по электронной почте в сообщениях с изменяющимися свойствами. Кроме этого, у них есть общие черты:
- Они обладают backdoor-своствами. Все они способны подключаться к IRC-серверу для получения команд, которые они выполняют на пораженном компьютере.
- Они завершают процессы, принадлежащие определенным утилитам безопасности, например, антивирусам и брандмауэрам. Они также завершают процессы других вредоносных программ и запрещают пользователям доступ к определенным веб-страницам, например, страницам антивирусных компаний.
Следующий вредоносный код - троянец Bobin.A, использующий зараженные компьютеры для рассылки спама. Чтобы проверить активность Интернет-подключения, он посылает команды ping на публичный DNS-сервер. Другой интересной особенностью Bobin.A является то, что он способен к самообновлению, и соответственно увеличению своей функциональности. Для выполнения этого он проверяет наличие новой версии на сервере, и если она более поздняя, чем его код, скачивает ее.
Application/SpyPc - это программа, которая записывает нажатия клавиш для наблюдения за чат-беседами пользователя и веб-страницами, посещенными им. Она также способна записывать изображение на экране, блокировать компьютер, отключать системные функции и записывать выполненные файлы или файлы, к которым производился доступ.
Три рассматриваемые бреши безопасности, могут позволить злоумышленнику получить контроль над пораженным компьютером с правами пользователя, начавшего сеанс. Другие свойства этих уязвимостей:
- Одна из них найдена в Microsoft Word и влияет на Office 2000, Office XP и Microsoft Works Suite 2001, 2002, 2003 и 2004. Злоумышленник может использовать эту уязвимость, обманом заставив пользователей открыть специально созданный документ, содержащий вредоносный код.
- Вторая брешь найдена в Microsoft Color Management Module и влияет на Windows 2000, Windows XP, Windows Server 2003, Windows 98 и Windows Me. Для ее эксплуатации злоумышленнику достаточно убедить пользователей посетить специально созданную веб-страницу.
- Третья брешь найдена в Jview Profiler и влияет на Windows 2000, Windows XP, Windows Server 2003, Windows 98 и Windows Me. Как и в предыдущем случае, для использования этой уязвимости злоумышленнику достаточно убедить пользователей посетить специально созданную веб-страницу.
Microsoft сообщает об этих уязвимостях в трех бюллетенях по безопасности - с MS05-035 по MS05-037, в которых также говорится о доступности пачтей для исправления этих проблем.
Mytob.HT, Mytob.HU и Mytob.HV - это три червя, распространяющиеся по электронной почте в сообщениях с изменяющимися свойствами. Кроме этого, у них есть общие черты:
- Они обладают backdoor-своствами. Все они способны подключаться к IRC-серверу для получения команд, которые они выполняют на пораженном компьютере.
- Они завершают процессы, принадлежащие определенным утилитам безопасности, например, антивирусам и брандмауэрам. Они также завершают процессы других вредоносных программ и запрещают пользователям доступ к определенным веб-страницам, например, страницам антивирусных компаний.
Следующий вредоносный код - троянец Bobin.A, использующий зараженные компьютеры для рассылки спама. Чтобы проверить активность Интернет-подключения, он посылает команды ping на публичный DNS-сервер. Другой интересной особенностью Bobin.A является то, что он способен к самообновлению, и соответственно увеличению своей функциональности. Для выполнения этого он проверяет наличие новой версии на сервере, и если она более поздняя, чем его код, скачивает ее.
Application/SpyPc - это программа, которая записывает нажатия клавиш для наблюдения за чат-беседами пользователя и веб-страницами, посещенными им. Она также способна записывать изображение на экране, блокировать компьютер, отключать системные функции и записывать выполненные файлы или файлы, к которым производился доступ.