Oscarbot.KD – nowy robak rozprzestrzeniający się przez Internet – umożliwia zdalne przejecie kontroli nad zaatakowanym komputerem – ostrzegają analitycy firmy informatycznej Panda Software.

Według komunikatu, Internet, wykorzystując lukę w zabezpieczeniach systemu operacyjnego Microsoft Windows poprzez komunikatory internetowe oraz za pośrednictwem współdzielonych zasobów sieciowych.
Po udanym ataku, Oscarbot.KD otwiera na zainfekowanym komputerze port 18067, a następnie łączy się z kilkoma serwerami IRC, umożliwiając hakerowi wydawanie zdalnych poleceń administracyjnych, takich jak pobieranie i uruchamianie różnego rodzaju oprogramowania i atakowanie innych komputerów.

Robak wykorzystuje lukę w zabezpieczeniach systemów Microsoft Windows, opisaną w biuletynie Microsoft MS06-040. Umożliwia ona zdalne przejęcie kontroli nad komputerem ofiary. Haker może instalować programy, zmieniać i usuwać dane, a nawet zakładać nowe konta z uprawnieniami administratorskimi.

Dodatkowo, Oscarbot.KD tworzy fałszywą usługę systemową, która podszywa się pod usługę Genuine Windows, weryfikującą legalność zainstalowanej kopii systemu operacyjnego Microsoft.

Fałszywa usługa może nazywać się: "Windows Genuine Advantage Registration Service" lub "Windows Genuine Advantage Validation Monitor" wraz z opisem "Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability" lub "Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability".

Oprócz pobrania i zainstalowania nakładki do sytemu Windows, eliminującej lukę w zabezpieczeniach, warto aktualizować aplikacje antywirusowe – podkreśla Piotr Walas z Panda Software Polska.

PAP - Nauka w Polsce, Marek Meissner
reo