Foi detectado o primeiro worm a explorar a vulnerabilidade MS06-040 da Microsoft, e que foi dado o nome de Oscarbot.KD (CME-482), para infectar sistemas, permitindo a um atacante remoto levar a cabo uma série de actos maliciosos em computadores comprometidos.

De acordo com o PandaLabs, o Oscarbot.KD procura computadores com a vulnerabilidade MS06-040. Se a encontrar causa um buffer overflow no sistema e executa o código necessário para descarregar uma cópia de si mesmo para o computador num ficheiro chamado wgareg.exe. No entanto, o Oscarbot.KD pode ainda propagar-se utilizando o serviço de mensagens instantâneas da AOL e através de unidades partilhadas.

Quando este worm é instalado num computador, abre a porta 18067 e liga-se a determinados servidores IRC. Isto pode permitir a um atacante remoto comunicar com o Oscarbot.KD para descarregar e executar todo o tipo de software no computador comprometido ou lançar ataques em outros computadores, entre muitas outras acções.

Além do mais, o worm cria um serviço no sistema com o nome wgareg ou wgavm, que pretende simular um serviço de autenticação de software Windows genuíno. O nome do serviço pode ser “Windows Genuine Advantage Registration Service” ou “Windows Genuine Advantage Validation Monitor”. Os textos explicativos do serviço são: “Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability” ou “Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability”.
Para finalizar, o Oscarbot.KD edita uma série de chaves de registo do Windows para desactivar a firewall incluída em determinadas versões do sistema operativo.

A vulnerabilidade MS06-040 da Microsoft afecta os Windows 2003, XP e 2000. A correcção da Microsoft para a resolução deste problema está em: http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx. Fonte: CDRWXP.