Троянец, эксплуатирующий ранее объявленную уязвимость Microsoft, появился. Пока его заметили только антивирусные компании.

05 августа 2003

[05.08.2003]

Появление этого вируса ожидали, об угрозе его возникновения предупреждали ведущие специалисты и авторитетные компании в области компьютерной безопасности, департамент по вопросам внутренней безопасности США, популярные интернет-издания. Говорили в этой связи о возможной крупномасштабной атаке на всемирную сеть.

И вот первый экземпляр в ряду вирусов, эксплуатирующих критическую уязвимость в протоколе вызова удаленных процедур (RPC) OC Windows компании Microsoft (подробнее об этом читайте в нашей новости от 19 июля 2003 г.) создан. Несмотря на достаточно большой резонанс, вызванный его появлением, реального ущерба им не нанесено. Служба мониторинга вирусной активности ЗАО "ДиалогНаука" не обнаружила до настоящего момента присутствия этого троянца в "In the Wild" - то есть, на компьютерах пользователей. Не поступало сообщений о его сколько-нибудь заметном распространении и о других антивирусных компаний.

Основной программный модуль этого троянского комплекса определяется антивирусом Dr.Web®, как Win32.HLLW.Eric.40960. Другие его компоненты определялись эвристическим анализатором Dr.Web еще до выпуска специального горячего дополнения к вирусным базам, как BackDoor.ITC.Sdbot.based.

Троянец поражает компьютеры только под управлением операционных систем Windows 2000/NT/XP. Не обладает собственным механизмом распространения, а рассылается злоумышленником по различным каналам, таким как система диалогового общения в интернете IRC, файлообменные сети, проникает он в системы и используя вышеупомянутую уязвимость.

На компьютер троянец может попасть в виде файла Worm.exe, который представляет собой самораспаковывающийся архив, внутри которого находятся несколько троянских компонент, помещаемых в корневую директорию диска С: rpc.exe - троянская утилита, приводящая в действие другой файл их архива - tftpd.exe, который представляет собой обычную реализацию FTP-сервера, работающего по порту 69. При этом корневой каталог FTP-сервера устанавливается в корень диска С:\ пораженного компьютера, делая таким образом весь диск доступным для злоумышленника извне. Также эта утилита предпринимает попытки загрузить на пораженный компьютер еще один компонент вируса - файл lolx.exe. Кроме того, rpc.exe сканирует сеть в поиске уязвимых хостов через порт TCP 445. rpctest.exe - другая троянская утилита, находящяяся внутри самораспаковывающегося архива и эксплуатирующая уязвимость, описанную в бюллетене компании Microsoft MS03-026. Именно она и предоставляет злоумышленнику удаленный доступ к инфицированной системе. Таким образом получается двухступенчатая система, состоящая из нескольких компьютеров, ко всем элементам которой в той или иной степени имеет доступ злоумышленник.

ЗАО "ДиалогНаука" еще раз обращается к пользователям с призывом загрузить и установить на свои компьютеры патч, публикуемый компанией Microsoft. Вероятность того, что вслед за нынешним троянцем последуют более продуманные, изощренные, а главное, самораспространяющиейся вирусы, чрезвычайно высока.

14
;