Технология TruPreventTM обнаружила первого червя, эксплуатирующего уязвимость Microsoft MS06-040
Модуль анализа поведения технологии TruPreventTM обнаружил и блокировал червя Oscarbot.KD (CME-482) - первого червя, эксплуатирующего уязвимость Microsoft MS06-040.
Эта уязвимость позволяет удаленному злоумышленнику выполнять ряд вредоносных действий на уязвимых компьютерах. Учитывая то, что эта технология обнаружила червя без наличия предварительной информации о нем, пользователи, установившие ее, были защищены с момента его появления.
С помощью глобальной сети сенсоров TruPreventTM, распределенных на миллионах компьютеров пользователей, установивших эту технологию, лаборатория PandaLabs зафиксировала ряд инцидентов с этим новым червем.
По данным PandaLabs, Oscarbot.KD ищет компьютеры с уязвимостью MS06-040. Если он находит их, он вызывает переполнение буфера в системе и запускает код, необходимый для скачивания своей копии на компьютер в файл wgareg.exe. Однако Oscarbot.KD также распространяется, используя службу AOL instant messenger и через диски общего пользования.
При установке на компьютер, червь открывает порт 18067 и подключается к определенным серверам IRC. Это может позволить удаленному злоумышленнику осуществлять связь с Oscarbot.KD для скачивания и запуска на компьютере любого рода программного обеспечения, или проведения атак на другие компьютеры.
Более того, червь создает службу в системе под именем wgareg или wgavm, которая симулирует истинную службу аутентификации программного обеспечения Windows. Эта служба может называться “Windows Genuine Advantage Registration Service” или “Windows Genuine Advantage Validation Monitor”. Текст, описывающий эту службу: “Проверяет, что Ваша копия Microsoft Windows является подлинной и зарегистрированной. Остановка или отключение этой службы приведет к нестабильности системы” или “Проверяет, что Ваша копия Microsoft Windows является подлинной. Остановка или отключение этой службы приведет к нестабильности системы”.
Oscarbot.KD редактирует ряд ключей реестра Windows для отключения брандмауэра, включенного в определенные версии операционной системы.