Poważna dziura w Microsoft Word Strona główna Aktualności20.05.2006 02:13 Udostępnij: O autorze Grzegorz Niemirowski Firmy antywirusowe ostrzegają przed nową dziurą w Wordzie, która jako pierwsza została wykorzystana do włamań w Chinach i Taiwanie a niedługo stanie się groźna w innych krajach. Użytkownicy otrzymują e-mail ze spreparowanym załącznikiem .doc, który po uruchomieniu dzięki obecności dziury w MS instaluje backdoora, który maskuje się w systemie korzystając z technik typowych dla rootkitów. Word w międzyczasie wykonuje nieprawidłową operację i oferuje ponowne otwarcie pliku. Co ciekawe po infekcji wirus tworzy dokument na nowo, już bez wirusa i Word otwiera już całkiem normalny plik. Jest to dodatkowy sposób na ukrycie się przez użytkownikiem i antywirusami. Następnie wysyła do chińskiego serwera informacje o zarażonym komputerze i oczekuje na polecenia. Wśród tych poleceń może znaleźć się otwieranie, zapisywanie i wyszukiwanie plików, dostęp do rejestru, uruchamianie i zatrzymywanie usług i innych procesów, wykonywanie zrzutów ekranu, pobieranie listy okien, tworzenie własnych okien, a także blokowanie, zamykanie i restartowanie Windows. Shellcode (kod maszynowy wykonywany przez program na skutek ataku) uruchamiany jest przez Word 2003 i 2002 (XP). W przypadku Worda 2000 co prawda następuje crash ale shellcode nie zostaje wykonany i wirus nie uaktywnia się. Microsoft został poinformowany o luce i pracuje nad poprawką. Jej wydanie jest planowane razem z innymi poprawkami czyli 13 czerwca. Użytkownicy powinni pamiętać, że wirusy mogą się rozprzestrzeniać nie tylko przez dziury w programach sieciowych albo po prostu pliki wykonywalne, ale też dokumenty, które otworzone w dziurawych programach mogą spowodować wykonanie szkodliwego kodu. Więcej informacji na ten temat znajduje się na stronie SANS ISC. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Microsoft Office na Androida: jedna aplikacja zamiast Worda, Excela i PowerPointa 18 lut 2020 Oskar Ziomek Oprogramowanie 54 Kolejny łatkowy wtorek i aktualizacje od Microsoftu. Wśród nich są niespodzianki 11 lut 2020 Kamil J. Dudek Oprogramowanie Bezpieczeństwo IT.Pro 67 Microsoft i Samsung pracują razem nad mobilnym graniem 12 lut 2020 Jakub Krawczyński Gaming SmartDom 12 Gdy chmura szwankuje, produkty Microsoftu przestają działać. Przedsmak ponurej przyszłości? 7 lut 2020 Kamil J. Dudek Oprogramowanie IT.Pro 112
Udostępnij: O autorze Grzegorz Niemirowski Firmy antywirusowe ostrzegają przed nową dziurą w Wordzie, która jako pierwsza została wykorzystana do włamań w Chinach i Taiwanie a niedługo stanie się groźna w innych krajach. Użytkownicy otrzymują e-mail ze spreparowanym załącznikiem .doc, który po uruchomieniu dzięki obecności dziury w MS instaluje backdoora, który maskuje się w systemie korzystając z technik typowych dla rootkitów. Word w międzyczasie wykonuje nieprawidłową operację i oferuje ponowne otwarcie pliku. Co ciekawe po infekcji wirus tworzy dokument na nowo, już bez wirusa i Word otwiera już całkiem normalny plik. Jest to dodatkowy sposób na ukrycie się przez użytkownikiem i antywirusami. Następnie wysyła do chińskiego serwera informacje o zarażonym komputerze i oczekuje na polecenia. Wśród tych poleceń może znaleźć się otwieranie, zapisywanie i wyszukiwanie plików, dostęp do rejestru, uruchamianie i zatrzymywanie usług i innych procesów, wykonywanie zrzutów ekranu, pobieranie listy okien, tworzenie własnych okien, a także blokowanie, zamykanie i restartowanie Windows. Shellcode (kod maszynowy wykonywany przez program na skutek ataku) uruchamiany jest przez Word 2003 i 2002 (XP). W przypadku Worda 2000 co prawda następuje crash ale shellcode nie zostaje wykonany i wirus nie uaktywnia się. Microsoft został poinformowany o luce i pracuje nad poprawką. Jej wydanie jest planowane razem z innymi poprawkami czyli 13 czerwca. Użytkownicy powinni pamiętać, że wirusy mogą się rozprzestrzeniać nie tylko przez dziury w programach sieciowych albo po prostu pliki wykonywalne, ale też dokumenty, które otworzone w dziurawych programach mogą spowodować wykonanie szkodliwego kodu. Więcej informacji na ten temat znajduje się na stronie SANS ISC. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji