Недельный отчет о вирусах от 17 октября 2005

Вебпланета

≡ Архив | архивная статья | 17.10.2005 16:48

В данном недельном отчете Panda Software рассмотрен червь Sdbot.FHG, три троянца: Multidropper.AYC, Tahen.A и Tahen.B, и уязвимости, рассмотренные в бюллетенях Microsoft c MS05–044 по MS05–052.

Sdbot.FHG — это червь из плодовитого семейства Sdbot, действующий как backdoor, подключающийся к нескольким IRC-серверам для получения команд удаленного контроля. Его настраивают на скачивание и запуск файлов, а также служб Windows и т.д. Sdbot.FHG эксплуатирует уязвимости LSASS, RPC DCOM, Workstation Service и Plug and Play для распространения через интернет, поэтому пользователям рекомендуется обновить свои системы, а также установить надежное антивирусное решение для борьбы с угрозами.

Multidropper.AYC — это троянец, действующий как точка входа на компьютер для прочих вредоносных программ, как в случае с другими представителями этого семейства. Эта версия устанавливает downloader-троянец Siboco.A и шпионскую программу Omi, выполняющую на компьютере ряд действий, среди которых появление многочисленных всплывающих окон, скачивание файлов, подключение к удаленным сайтам и даже завершение процесса explorer.exe.

Tahen.A и Tahen.B похожи на троянца PSP.Format.A, заражающего игровые консоли. В отличие от последнего, который влиял на PlayStation Portable (PSP), эти версии заражают NintendoDS. Имитируя приложения для этой консоли, после установки они перезаписывают определенные области firmware (встроенного в аппаратную часть ПО), делая невозможным запуск консоли после ее выключения. Tahen часто попадает на эти устройства в виде файла r0mloader.nds (в случае с Tahen.A) taihen.zip или taihen.nds (в случае с Tahen.B) и влияет на Nintendo DS, G6, XGFlash, SuperFlash и GBAMP-устройства. Tahen.B легко опознать, поскольку он отображает на экране сообщение в виде презентации hentai. Однако Tahen.A не имеет видимых симптомов заражения.

И под конец отчета мы рассмотрим уязвимости, исправляемые бюллетенями по безопасности Microsoft. Из них критическими уязвимостями считаются:

— MS05–050 — это критическая уязвимость, влияющая на версии DirectX 7.0, 8.0, 8.1, 8.2 и 9.0, позволяющая запускать на уязвимой системе произвольный код.

— MS05–051 — это группа уязвимостей в трех службах Windows, MSDTC (Microsoft Distributed Transaction Coordinator), COM+, и TIP (Transaction Internet Protocol)

— MS05–052 — это накопительная заплатка для Internet Explorer версий 5.0, 5.5 и 6, предотвращающая изменение памяти и запуск произвольного кода COM-объектами при их реализации как в качестве элементов ActiveX.

Другие четыре уязвимости выполнения удаленного кода, считаемые критичными, влияют на Microsoft Collaboration Data Objects, Windows Shell, Client Services for NetWare и Plug and Play, в последнем случае это может позволить эскалацию локальных привилегий. Эти угрозы исправляются в бюллетенях MS05–48, MS05–49, MS05–46 и MS05–47 соответственно. Наконец, присутствуют две уязвимости, отмеченные как умеренные, которые влияют на FTP-клиент, который способен влиять на службу и Network Connection Manager, что может привести к отказу в обслуживании. Эти уязвимости исправляются бюллетенями MS05–044 и MS05–045.

комментарии(0)

разделы: Архив