Stardust является семейством макро-вирусов, написанных на StarBasic — похожем на Basic языке, использующемся в пакетах StarOffice / OpenOffice.

По причине наличия в коде вируса нескольких серьезных ошибок, задуманный вирусописателем функционал не работает, а вирус не способен саморазмножаться.

Особенности отдельных версий

Все версии содержат в себе следующий текст:

Некоторые версии пытаются скачивать фотографию известной порнозвезды Сильвии Сэйнт с сайта, расположенного на хостинге tripod.com. Этот сайт был закрыт 1 июня 2006 года.

Вирусы также добавляют в открытые документы следующую строку:

Прочее

По причине присутствующих в коде вируса ошибок ни один из известных на момент создания этого описания вариантов не работает. В некоторых вариантах отключена функция саморазмножения, а в одном из них она полностью отсутствует.

Функция саморазмножения вируса проверяет наличие глобального модуля «stardust» и если таковой не обнаружен, то пытается — в теории — скопировать себя в качестве такового. Кроме того, в вирусе нет кода, позволяющего рекурсивно заражать «чистые» документы из глобального модуля.

Опасность: Средняя

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности и получить доступ к важным данным на системе.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметрах команд CREATE, SELECT, DELETE, RENAME, COPY и APPEND в службе IMAP. Удаленный пользователь может с помощью символов обхода каталога просмотреть произвольные письма пользователей, создать, переименовать и удалить директории на системе.

2. Уязвимость существует из-за недостаточной проверки расширений файлов при обработке URL. Удаленный пользователь может с помощью специально сформированного запроса, содержащего точку, пробел и символ слеш, просмотреть исходный код сценариев (PHP, PL) на системе.

URL производителя: www.eserv.ru/eserv/

Решение: Установите последнюю версию (3.26) с сайта производителя.

• Eserv/3 IMAP and HTTP Server Multiple Vulnerabilities

Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет локальному пользователю повысить свои привилегии на системе.

Уязвимость существует из-за того, что флаг "mode" не передается функции "open()" сценария useradd.c во время создания почтового ящика. Это может привести к установке непредсказуемых разрешений на доступ к файлу и может позволить злоумышленнику просмотреть и изменить данные почтового ящика.

URL производителя: shadow.pld.org.pl

Опасность: Средняя

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет локальному пользователю вызвать отказ в обслуживании системы.

Уязвимость существует из-за ошибки повреждения памяти в списке "dentry_unused" в функции "prune_dcache()". Локальный пользователь может аварийно завершить работу ядра на SMP системе путем вызова уязвимости состояния операции во время чтения данных в /proc.

URL производителя: kernel.org

Решение: Способов устранения уязвимости не существует в настоящее время.

• PROBLEM: /proc (procfs) task exit race condition causes a kernel

Разработчики сказали также, что программа всегда делает пользователю запрос на запуск макроса, и ни одна команда не выполняется автоматически. Никакого патча OpenOffice выпускать не собирается, поскольку считает, что макро-вирус вряд ли можно считать настоящим вирусом, ведь без вмешательства пользователя, с настройками программы, установленными по умолчанию, он не может размножаться.