Oscarbot.KD – nowy groźny robak

20 sierpnia 2006 0 przez Michał Tomaszkiewicz

Wykryto pierwszego robaka wykorzystujący lukę MS06-040 w zabezpieczeniach Windows.

Oscarbot.KD otwiera na zainfekowanym komputerze port 18067, a następnie łączy się z kilkoma serwerami IRC, umożliwiając hakerowi wydawanie zdalnych poleceń administracyjnych, takich jak pobieranie i uruchamianie różnego rodzaju oprogramowania, atakowanie innych komputerów i inne szkodliwe działania.

Dodatkowo, robak tworzy usługę systemową o nazwie wgareg lub wgavm, która podszywa się pod usługę Genuine Windows, weryfikującej legalność zainstalowanej kopii systemu operacyjnego Microsoft. Fałszywa usługa może nazywać się Windows Genuine Advantage Registration Service lub Windows Genuine Advantage Validation Monitor wraz z opisem „Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability” lub „Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability”.

„Pojawienie się złośliwego kodu, wykorzystującego lukę w zabezpieczeniach Windows było tylko kwestią czasu. Biuletyn zabezpieczeń MS06-040 ukazał się 8 sierpnia, a więc hakerzy potrzebowali zaledwie tygodnia na napisanie niebezpiecznego programu. Użytkownicy powinni być czujni, ponieważ w najbliższym czasie mogą pojawić się kolejne złośliwe kody wykorzystujące tę lukę w zabezpieczeniach. Oprócz pobrania i zainstalowania nakładki do sytemu Windows, eliminującej lukę w zabezpieczeniach, zalecamy aktualizację aplikacji antywirusowych. Bardzo przydatne okazują się również technologie proaktywne, które są w stanie wykryć nieznane zagrożenia” – mówi Piotr Walas, kierownik PogotoVia AntyVirusowego Panda Software Polska.
Oscarbot.KD zmienia również kilka kluczy Rejestru systemowego Windows w celu wyłączenia zapory Windows, będącej elementem najnowszych systemów operacyjnych z rodziny Windows.

Więcej informacji o Oscarbot.KD oraz sposobach jego usunięcia znajduje się na stronie internetowej Pogotovia AntiVirusowego Panda Software. W przypadku problemów ze złośliwym kodem można zadzwonić pod numer (022) 540 18 08 lub wysłać zapytanie pocztą elektroniczną i bezpłatnie uzyskać pomoc. PogotoVie AntyVirusowe czynne jest całą dobę.


Źródło: informacja prasowa