22 maja 2003

Trojan.StartPage - jest luka, jest wirus, łaty brak!

"Start Page" jest pierwszym szkodnikiem wykorzystującym nową lukę w zabezpieczeniach popularnej przeglądarki Internet Explorer - "Exploit.SelfExecHtml". Szczególnie niepokojący jest fakt, iż firma Microsoft nie opublikowała jeszcze odpowiedniej łaty co powoduje, że użytkownicy są bezbronni wobec tego i innych, potencjalnie bardziej niebezpiecznych wirusów korzystających z nowej luki.

"Start Page" jest klasycznym koniem trojańskim, rozsyłanym bezpośrednio przez twórcę. Nie jest wyposażony w funkcję automatycznego rozprzestrzeniania. Pierwsze wystąpienie nowego trojana zostało odnotowane 20 maja 2003 w Rosji. Teksty zaszyte w kodzie robaka napisane są w języku rosyjskim, co dość dokładnie określa miejsce jego "narodzin".

"Start Page" ma postać archiwum ZIP składającego się z dwóch plików - HTML oraz EXE. Otwarcie pliku HTML powoduje aktywację kodu, który korzystając z luki "Exploit.SelfExecHtml" w zabezpieczeniach przeglądarki Internet Explorer uruchamia plik EXE zawierający właściwego trojana.

Nowy trojan nie jest niebezpieczny. Jedyną wykonywaną przez niego czynnością jest zmiana strony startowej przeglądarki Internet Explorer. Jednak korzystanie z luki, dla której nie istnieje jeszcze łata czyni go prekursorem.

Zgodnie informacjami statystycznymi zgromadzonymi przez firmę Kaspersky Lab ponad 85% incydentów związanych z wirusami komputerowymi w roku 2002 wywołały szkodniki takie, jak 'Klez' oraz 'Lentin', które wykorzystują lukę IFRAME w zabezpieczeniach przeglądarki Internet Explorer. Luka ta została wykryta ponad dwa lata temu, w związku z czym użytkownicy mieli mnóstwo czasu na "załatanie" swoich systemów. W przypadku trojana "StartPage" mamy do czynienia z wykorzystaniem otwartej luki. Użytkownicy mogą oczywiście chronić swoje komputery przy użyciu programów antywirusowych, jednak nie wszystkie z nich wyposażone są w odpowiednio skuteczną heurystykę, która mogłaby stanowić zabezpieczenie przed nowymi wirusami.

Luka "Exploit.SelfExecHtml" występuje w następujących wersjach programów firmy Microsoft:

  • Microsoft Internet Explorer 5.0 dla Windows 2000
  • Microsoft Internet Explorer 5.0 dla Windows 95
  • Microsoft Internet Explorer 5.0 dla Windows 98
  • Microsoft Internet Explorer 5.0 dla Windows NT 4.0