Технология TruPreventTM, разработанная Panda Software, обнаружила первого червя, эксплуатирующего уя

Модуль анализа поведения технологии TruPreventTM обнаружил и блокировал червя Oscarbot.KD (CME-482) - первого червя, эксплуатирующего уязвимость Microsoft MS06-040
Эта уязвимость позволяет удаленному злоумышленнику выполнять ряд вредоносных действий на уязвимых компьютерах. Учитывая то, что эта технология обнаружила червя без наличия предварительной информации о нем, пользователи, установившие ее, были защищены с момента его появления.
Екатеринбург,15 августа 2006

С помощью глобальной сети сенсоров TruPreventTM, распределенных на миллионах компьютеров пользователей, установивших эту технологию, лаборатория PandaLabs (www.viruslab.ru) зафиксировала ряд инцидентов с этим новым червем.

По данным PandaLabs, Oscarbot.KD ищет компьютеры с уязвимостью MS06-040. Если он находит их, он вызывает переполнение буфера в системе и запускает код, необходимый для скачивания своей копии на компьютер в файл wgareg.exe. Однако Oscarbot.KD также распространяется, используя службу AOL instant messenger и через диски общего пользования.

При установке на компьютер, червь открывает порт 18067 и подключается к определенным серверам IRC. Это может позволить удаленному злоумышленнику осуществлять связь с Oscarbot.KD для скачивания и запуска на компьютере любого рода программного обеспечения, или проведения атак на другие компьютеры.

Более того, червь создает службу в системе под именем wgareg или wgavm, которая симулирует истинную службу аутентификации программного обеспечения Windows. Эта служба может называться “Windows Genuine Advantage Registration Service” или “Windows Genuine Advantage Validation Monitor”. Текст, описывающий эту службу: “Проверяет, что Ваша копия Microsoft Windows является подлинной и зарегистрированной. Остановка или отключение этой службы приведет к нестабильности системы” или “Проверяет, что Ваша копия Microsoft Windows является подлинной. Остановка или отключение этой службы приведет к нестабильности системы”.

Oscarbot.KD редактирует ряд ключей реестра Windows для отключения брандмауэра, включенного в определенные версии операционной системы.

“Потребовалось всего лишь несколько дней для появления вредоносного кода, эксплуатирующего уязвимость MS06-040. Однако пользователям следует не ослаблять бдительности, поскольку, скорее всего, появятся новые виды вредоносного ПО, использующего эту брешь безопасности. Кроме скачивания и установки заплатки для исправления этой проблемы, также важно обладать обновленным антивирусом и, по возможности, предупреждающей технологией, подобной TruPreventTM. Она показала себя высокоэффективной, заблокировав Oscarbot.KD без наличия предварительных данных о нем, действуя как дополнительный уровень защиты традиционных антивирусных приложений", объясняет Луис Корронс, директор PandaLabs.

Клиенты Panda Software, которые еще не обладают технологией TruPreventTM, могут скачать обновление для своих антивирусов, позволяющее установить ее и обеспечить наличие у них превентивной защиты от неизвестных вирусов и вторжений. Более подробные сведения о новой технологии TruPreventTM Вы найдете по адресу: http://www.viruslab.ru/products/tp/..

Уязвимость MS06-040 присутствует в Windows 2003, XP и 2000. Заплатка Microsoft, исправляющая проблему доступна по адресу:
http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx

Чтобы помочь как можно большему количеству пользователей проверить и вылечить свои системы, Panda Software Russia предлагает воспользоваться бесплатным антивирусом Panda ActiveScan, который теперь способен обнаруживать шпионское ПО, по адресу http://www.viruslab.ru/service/check/. Веб-мастеры, желающие разместить ActiveScan на своих сайтах могут бесплатно получить HTML-код по адресу: http://www.viruslab.ru/partners/portal/.

О PandaLabs
С 1990 года ее миссией был как можно более быстрый анализ новых угроз для защиты клиентов. Несколько команд, каждая из которых специализируется на конкретном типе вредоносного ПО (вирусы, черви, трояны, шпионы, фишинг, спам и т.д.), работают круглосуточно, предоставляя непрерывную техническую поддержку. В достижении этого, им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным компании Av.Test.org, на настоящий момент PandaLabs является быстрейшей лабораторией по предоставлению обновлений пользователям во всей отрасли
(более подробная информация по адресу: www.viruslab.ru ).
10:22
1927
RSS
Нет комментариев. Ваш будет первым!
Загрузка...
X
X