Nowa dziura w Office

Strona głównaNowa dziura w Office
05.02.2007 03:44
Grzegorz Niemirowski
Grzegorz Niemirowski

Microsoft ostrzega przez nową dziurą w swoim pakieciebiurowym umożliwiającą zdalne wykonanie kodu. Luka dotyczy Office 2000, Office XP, Office 2003, Office 2004 forMac i Office 2004 v. X for Mac. Aplikacje Office 2007, Works 2004,2005 oraz 2006 są bezpieczne. W chwili obecnej istnieją już wirusywykorzystujące nową podatność. Chociaż dotychczas wykryto je tylkow plikach Excela inne pliki pakietu Office także mogą jeprzenosić. McAfee opisuje dokładniej działanie wirusa. Pouruchomieniu odpowiednio spreparowanego pliku XLS następujerozpakowanie zakodowanego XORem shellcode'u do pamięci. Następnieładowana jest biblioteka kernel32.dll przy użyciu zapisanego nastałe adresu specyficznego dla Windows XP Service Pack 2. Wprzypadku innych wersji wystąpi błąd w Excelu. Dzięki załadowanejbibliotece możliwe staje się wywołanie dostarczanych przez niąfunkcji GetTempPathA i CreateFileA i utworzenie dzięki nim plikuop10.exe w katalogu tymczasowym. Później dzięki funkcji GetFileSizeodszukiwany jest uchwyt do załadowanego pliku XLS z uwzględnieniemjego rozmiaru. Następnie z tego pliku pobierany jest właściwy kodwirusa, zapisywany do op10.exe i uruchamiany.

Udostępnij:
Wybrane dla Ciebie
Komentarze (26)