Firmy antywirusowe ostrzegają przed nową dziurą w Wordzie, którajako pierwsza została wykorzystana do włamań w Chinach i Taiwanie aniedługo stanie się groźna w innych krajach. Użytkownicy otrzymują e-mail ze spreparowanym załącznikiem .doc,który po uruchomieniu dzięki obecności dziury w MS instalujebackdoora, który maskuje się w systemie korzystając z techniktypowych dla rootkitów. Word w międzyczasie wykonuje nieprawidłowąoperację i oferuje ponowne otwarcie pliku. Co ciekawe po infekcjiwirus tworzy dokument na nowo, już bez wirusa i Word otwiera jużcałkiem normalny plik. Jest to dodatkowy sposób na ukrycie sięprzez użytkownikiem i antywirusami. Następnie wysyła do chińskiegoserwera informacje o zarażonym komputerze i oczekuje na polecenia.Wśród tych poleceń może znaleźć się otwieranie, zapisywanie iwyszukiwanie plików, dostęp do rejestru, uruchamianie izatrzymywanie usług i innych procesów, wykonywanie zrzutów ekranu,pobieranie listy okien, tworzenie własnych okien, a takżeblokowanie, zamykanie i restartowanie Windows. Shellcode (kodmaszynowy wykonywany przez program na skutek ataku) uruchamianyjest przez Word 2003 i 2002 (XP). W przypadku Worda 2000 co prawdanastępuje crash ale shellcode nie zostaje wykonany i wirus nieuaktywnia się. Microsoft został poinformowany o luce i pracuje nadpoprawką. Jej wydanie jest planowane razem z innymi poprawkamiczyli 13 czerwca. Użytkownicy powinni pamiętać, że wirusy mogą się rozprzestrzeniaćnie tylko przez dziury w programach sieciowych albo po prostu plikiwykonywalne, ale też dokumenty, które otworzone w dziurawychprogramach mogą spowodować wykonanie szkodliwego kodu. Więcej informacji na ten temat znajduje się na stronie SANS ISC.
