Тази седмица във вирусния бюлетин ще ви представя IFRAME.BoF експлойта, както и червеите Mydoom.AE, Mydoom.AF и Gavir.A.
IFRAME.BoF е buffer overrun (препълване на буфера) експлойт, открит в Internet Explorer версия 6.0. Пролуката позволява на атакуващия да изпълни отдалечено определен код на машината на жертвата. Уязвимостта е със статус "Extremely Critical" ("Изключително критична").
Експлойтът може да бъде включен в уеб страница или към email съобщения в HTML формат, което съдържа изпълним код. Този изпълним код е автоматично изпълняван, когато препълването на буфера настъпи и може да бъде от всякакъв вид!
Тъй като още няма кръпка, която да оправи проблема, ви съветваме да поддържате антивирусния си софтуер максимално ъпдейтнат. Добра идея е също и да се изключи "Active Scripting" функцията в IE, както и да настроите email клиента си да преглежда съобщенията като plain text (чист текст), а не HTML.
Новите AE и AF варианти на добре познатия червей Mydoom вече използват гореописаната IFRAME.BoF пролука. И двата са много подобни, разпространяват се по email в съобщения, които те самите са генерирали на други машини. За да могат да направят това те създават HTTP сървър на порт 1639.
Съобщенията, които Mydoom.AE и Mydoom.AF изппращат, включват линк към файлове, които съдържат IFRAME.BoF експлойта на други компютри! Ако потребителят получи писмото, кликне директно на линка и компютърът му е уязвим на този тип атака червеят ще бъде автоматично свален и задействан.
Mydoom.AE и Mydoom.AF установяват връзка и с голям брой IRC сървъри през порт 6667.
И накрая: Gavir.A е червей с единствена цел да свали вариант от Legmir семейството троянци. Gavir.A се разпространява през споделените мрежови ресурси, създавайки свои копия в IPC$ и ADMIN$ ресурсите, които открие.
Също така червеят генерира и скрипт в temporary папката, за да се самоизтрие веднъж изпълнил се.
Източник -
http://security.ibgforum.com
Влез
Въпроси/Отговори
Търсене
