Программа реализации уязвимости в службе RPC (Remote Procedure Call)
Представляет собой Windows PE EXE-файл размером 10784 байта. Файл упакован UPX. Размер распакованного файла — около 34 КБ. Написан на языке C.
Деструктивная активность
Данный эксплойт сканирует сеть на предмет уязвимых терминалов. Для этого злоумышленник задает определенный диапозон IP-адресов компьютеров сети, проверяемых на наличие уязвимости в службе RPC.
IP-адреса уязвимых машин сохраняются в файлах winxp.txt, win2k.txt, results.txt, создаваемых в том же каталоге, что и файл эксплойта.
Уязвимость является критической для следующих версий ОС семейства Windows:
* Microsoft Windows (r) NT 4.0
* Microsoft Windows NT 4.0 Terminal Services Edition
* Microsoft Windows 2000
* Microsoft Windows XP
* Microsoft Windows Server 2003
Уязвимость проявляет себя при установке удаленного соединения с машиной через порт 135 (TCP/IP). Соединение между клиентом и сервером обеспечивает служба RPC (Remote Procedure Call), которую использует архитектура DCOM.
Использование данной уязвимости дает злоумышленнику возможность послать разрушительную команду к DCOM__RemoteGetClassObject и аварийно завершить работу RPC-службы, а также всех служб, зависящих от нее.
При этом на атакованной системе, в зависимости от версии и установленного комплекта обновлений, появляется сообщение об ошибке памяти или отключении сервиса svchost.exe, в результате чего взломщик практически мгновенно может получить права администратора системы, похитить конфиденциальную информацию, установить троянские программы, клавиатурные шпионы и т.д.
Другие названия
Exploit.Win32.DCom.y («Лаборатория Касперского») также известен как: Exploit-DcomRpc (McAfee), Hacktool (Symantec), Exploit.DCom.6 (Doctor Web), Troj/Dentist-A (Sophos), Exploit:Win32/DCom.Y (RAV), HKTL_DCOM.Y (Trend Micro), Worm/Sinmsn (H+BEDV), Win32:RPCexploit-Kaht (ALWIL), Win32.Sinmsn.LCC@mm.Gen (SOFTWIN), Exploit.DCOM.Gen (ClamAV), Trj/ExplDCOM.B (Panda), Win32/DCom.Y (Eset)