Security Lab

Exploit.Win32.DCom.y

Exploit.Win32.DCom.y

Программа реализации уязвимости в службе RPC (Remote Procedure Call)

Программа реализации уязвимости в службе RPC (Remote Procedure Call) (MS03-026).

Представляет собой Windows PE EXE-файл размером 10784 байта. Файл упакован UPX. Размер распакованного файла — около 34 КБ. Написан на языке C.

Деструктивная активность

Данный эксплойт сканирует сеть на предмет уязвимых терминалов. Для этого злоумышленник задает определенный диапозон IP-адресов компьютеров сети, проверяемых на наличие уязвимости в службе RPC.

IP-адреса уязвимых машин сохраняются в файлах winxp.txt, win2k.txt, results.txt, создаваемых в том же каталоге, что и файл эксплойта.

Уязвимость является критической для следующих версий ОС семейства Windows:

* Microsoft Windows (r) NT 4.0

* Microsoft Windows NT 4.0 Terminal Services Edition

* Microsoft Windows 2000

* Microsoft Windows XP

* Microsoft Windows Server 2003

Уязвимость проявляет себя при установке удаленного соединения с машиной через порт 135 (TCP/IP). Соединение между клиентом и сервером обеспечивает служба RPC (Remote Procedure Call), которую использует архитектура DCOM.

Использование данной уязвимости дает злоумышленнику возможность послать разрушительную команду к DCOM__RemoteGetClassObject и аварийно завершить работу RPC-службы, а также всех служб, зависящих от нее.

При этом на атакованной системе, в зависимости от версии и установленного комплекта обновлений, появляется сообщение об ошибке памяти или отключении сервиса svchost.exe, в результате чего взломщик практически мгновенно может получить права администратора системы, похитить конфиденциальную информацию, установить троянские программы, клавиатурные шпионы и т.д.

Другие названия

Exploit.Win32.DCom.y («Лаборатория Касперского») также известен как: Exploit-DcomRpc (McAfee), Hacktool (Symantec), Exploit.DCom.6 (Doctor Web), Troj/Dentist-A (Sophos), Exploit:Win32/DCom.Y (RAV), HKTL_DCOM.Y (Trend Micro), Worm/Sinmsn (H+BEDV), Win32:RPCexploit-Kaht (ALWIL), Win32.Sinmsn.LCC@mm.Gen (SOFTWIN), Exploit.DCOM.Gen (ClamAV), Trj/ExplDCOM.B (Panda), Win32/DCom.Y (Eset)

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!