Модуль анализа поведения технологии TruPreventTM обнаружил и блокировал червя Oscarbot.KD (CME-482) - первого червя, эксплуатирующего уязвимость Microsoft MS06-040. Эта уязвимость позволяет удаленному злоумышленнику выполнять ряд вредоносных действий на уязвимых компьютерах. По данным PandaLabs, Oscarbot.KD ищет компьютеры с уязвимостью MS06-040. Если он находит их, он вызывает переполнение буфера в системе и запускает код, необходимый для скачивания своей копии на компьютер в файл wgareg.exe. Однако Oscarbot.KD также распространяется, используя службу AOL instant messenger и через диски общего пользования.

При установке на компьютер, червь открывает порт 18067 и подключается к определенным серверам IRC. Это может позволить удаленному злоумышленнику осуществлять связь с Oscarbot.KD для скачивания и запуска на компьютере любого рода программного обеспечения, или проведения атак на другие компьютеры. Более того, червь создает службу в системе под именем wgareg или wgavm, которая симулирует истинную службу аутентификации программного обеспечения Windows. Эта служба может называться “Windows Genuine Advantage Registration Service” или “Windows Genuine Advantage Validation Monitor”.

Текст, описывающий эту службу: “Проверяет, что Ваша копия Microsoft Windows является подлинной и зарегистрированной. Остановка или отключение этой службы приведет к нестабильности системы” или “Проверяет, что Ваша копия Microsoft Windows является подлинной. Остановка или отключение этой службы приведет к нестабильности системы”. Oscarbot.KD редактирует ряд ключей реестра Windows для отключения брандмауэра, включенного в определенные версии операционной системы.

Уязвимость MS06-040 присутствует в Windows 2003, XP и 2000. Заплатка Microsoft, исправляющая проблему доступна здесь