Activehijack

Az Activehijack trójai a Microsoft Office egyik sérülékenységét használja ki a számítógépek megfertőzéséhez.
 

Az Activehijack trójai a nem megfelelően frissített rendszereken egy olyan biztonsági rést képes kihasználni, amelyet a Microsoft már tavaly szeptemberben befoltozott. Akkor a cég azt közölte, hogy a sérülékenység az Office egyes komponenseinek DLL-kezelési rendellenességére vezethető vissza, és speciálisan szerkesztett Word állományok révén tetszőleges kódok jogosulatlan távoli futtatására nyílhat lehetőség. Mindezt az Activehijack trójai igyekszik is bebizonyítani.

Az Activehijack egy report.zip állományban érkezhet meg a számítógépekre. A tömörített fájl egy Word és egy DLL-fájlt tartalmaz. Amennyiben a dokumentum - felhasználói közreműködéssel - betöltődik, akkor azzal együtt a DLL-állomány is bekerül a memóriába, legalábbis abban az esetben, ha az Offie frissítésére korábban nem került sor.

Az Activehijack trójai egy szolgáltatást hoz létre a Windows-ban, majd csatlakozik egy távoli szerverhez, amelyről különféle állományokat képes letölteni.


Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Kitömöríti a report.zip fájlt, amelynek révén létrejön a következő két állomány:
%aktuális könyvtár%/report.doc
%aktuális könyvtár%/fputlsat.dll

2. A report.doc állomány megnyitásakor megkísérel kihasználni egy Microsoft Office sebezhetőséget.

3. Betölti a memóriába a DLL-állományát.

4. Letörli a következő fájlt, amennyiben az létezik:
%aktuális könyvtár%/Thumbs.db

5. Létrehozza a következő állományt a Windows Temp könyvtárába:
%Temp%/~MS[véletlenszerű karakterek].tmp

6. A Windows két könyvtárába bemásolja az alábbi két fájlt:
%Windir%/iede32.ocx
%System%/iede32.ocx

7. Létrehoz egy windows-os szolgáltatást IPv6 Stack Local Support néven.

8. Csatlakozik egy távoli szerverhez.