Kritická chyba v MS Word

Mezi postižené produktové verze patří Microsoft Word 2003 a Microsoft Word 2002 a s nimi související balíky MS Office 2003 a MS Office XP.

Zranitelnost je způsobena blíže nespecifikovanou chybou v programovém kódu, kterou mohou potenciální útočníci zneužít ke spuštění libovolného nebezpečného kódu. Bezpečnostní společnosti již zaznamenaly první pokusy o zneužití této zranitelnosti.

Trojan používá praktiky rootkitů, pričemž tento typ infiltrace je velmi těžké odstranit ze systému. Dle stránek Heise.de ho část antivirových programů vůbec nezachytí nebo jej zachytí jen částečně. Vyplývá to z testu, při kterém byl trojský kůň ukryt do .DOC a .EXE souborů. Vždy ho odhalil antivirus BitDefender, eTrust-VET, F-Secure, Kaspersky, Microsoft OneCare, NOD32 a Norton Antivirus.

V některých případech ho objevily aplikace AntiVir, Dr. Web, eSafe, eTrust-INO, Fortinet, Ikarus, McAfee, Panda, QuickHeal, Sophos, Trend Micro a VirusBuster.

Naopak Avast!, AVG, ClamAV, Command, Ewido, F-Prot, Norman a VBA32 jej nezachytily. V tuto dobu už ale může být tento bezpečnostní problém u těchto antivirů vyřešen.

Šíření viru

Například vám přijde email s přílohou v .doc souboru. Tento .doc obsahuje uvnitř trojského koně. Ten zamaskuje své nainstalování do OS tím, že infikovaný .doc vymaže, následně způsobí pád Wordu, abyste nemohli vrátit změny a odhalit jej. Poté jste tradičně informováni o tomto pádu a dotázání na znovuspuštění a otevření souboru, ale to už je pozdě, trojan je v systému.

Po napadení komunikuje s adresou „localhost.3322.org“ přes HTTP. Projde přitom přes proxy a tento server provádí "ping" zhruba v minutových intervalech. Má přitom chování rootkitu, schovává před uživatelem binární soubory, které využívá a sám se spouští pomocí záznamu v registrech. Komunikuje se servery umístěnými v Číně a na Taiwanu, navíc IP adresa pingovaného serveru se stále mění. Také zmiňovaný email přichází ze serveru odsud.

Společnost Microsoft přinese záplatu tohoto problému pravděpodobně v rámci dalších bezpečnostních záplat v červnu. Jak postupovat do doby vydání záplaty si můžete přečíst na stránkách společnosti Microsoft zde.

zdroj: zive.sk, cdr.cz