Život Prešova
online
online
Nové vírusy :Win32/Sasser.A - .C
04.05.2004 Celý región
Keď sa spomenú kdekoľvek na Internete slová Microsoft a bezpečnostná chyba je používateľom počítačových systémov s OS MS Windows jasné, že to neveští nič dobré. Žiaľ, rovnako je tomu aj tentoraz!
Počas dnešného dňa sa podarilo AV-spoločnostiam identifikovať v rámci siete Internet nový internetový červ Win32/Sasser. A, ktorý sa šíri výlučne medzi nezabezpečenými systémami s OS MS Windows 2000/XP/2003 využívajúc jednu z posledne objavených bezpečnostných chýb na úrovni systémovej služby Local Security Authority Subsystem Service (LSASS). Táto bezpečnostná chyba bola objavená v prvej polovici apríla 2004, pričom do dnešných dní sa stala "zaujímavou" nielen pre tento internetový červ.
O čo vlastne ide? Bezpečnostná chyba na úrovni Local Security Authority Subsystem Service (LSASS) umožňuje vzdialenému útočníkovi prostredníctvom špeciálne upraveného sieťového packetu zaslaného na nezabezpečený počítač s OS MS Windows 2000/XP/2003 vyvolať stav označovaný ako Buffer OverFlow (t.j. pretečenie zásobníka). Týmto krokom dokáže vzdialený útočník preniesť a následne aj aktivovať na vzdialenom systéme ľubovoľný kód – napríklad škodlivý kód alebo skript, ktorý do vzdialeného počítača prenesie zadané dáta. Viac informácií o tejto bezpečnostnej chybe je možné nájsť na web stránkach spoločnosti Microsoft alebo v rámci Vulnerability Information Center, prevádzkovaného spoločnosťou Computer Associates.
Win32/Sasser. A
... tento počítačový červ bol vytvorený v programovacom jazyku MS Visual C++, pričom jeho výsledný kód bol interne komprimovaný za použitia nástroja PECompact. Ako sme už spomenuli vyššie tento škodlivý kód predstavuje riziko len pre počítačové systémy s OS MS Windows 2000/XP/2003, ktoré nedisponujú osobným firewallom blokujúcim nežiadúcu sieťovú komunikáciu alebo pre systémy, ktoré ešte stále nemajú nainštalovanú bezpečnostnú záplatu popísanú v rámci Microsoft Security Bulletin MS04-011 (835732). Červ sa medzi jednotlivými počítačmi šíri priamo prostredníctvom počítačovej siete, čo znamená, že nepotrebuje pre svoju aktiváciu "pomoc" zo strany používateľa.
Po aktivácii sa červ pokúsi vytvoriť v rámci hlavného adresára OS MS Windows kópiu svojho tela, ktorú uloží do súboru nazvaného AVSERVE. EXE (... s veľkosťou 15 872 bajtov). Následne doplní do systémových registrov novú hodnotu, ktorá mu slúži pre automatickú aktiváciu novovytvoreného súboru, pri každom ďalšom štarte systému.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
... avserve.exe = [cesta k hlavnému adresáru OS]avserve.exe
Pri snahe tohto červa preniknúť do vzdialeného nechráneného systému môže byť sprievodným javom zobrazenie dialógového okna, ktoré informuje používateľa o vzniku chyby na úrovni systémovej služby LSASS / LSA Shell, čoho následkom môže dochádzať k automatickému reštartu počítača (... pozri obrázok – v prípade OS MS Windows 2000 / pozri obrázok – v prípade OS MS Windows XP).
Vzhľadom na to, že červ Win32/Sasser nevykonáva pri svojej činnosti žiadne deštruktívne operácie je jeho jedinou úlohou preniknúť do systému a následne sa šíriť na čo najväčší počet ďalších – nechránených počítačov. Za týmto účelom červ aktivuje v infikovanom systéme malý FTP server, ktorý je dostupný na TCP porte 5554 a začne automaticky generovať náhodné IP adresy počítačov dostupných v počítačovej sieti, s ktorými sa pokúša skontaktovať cez TCP port 445. Ak sa mu podarí nadviazať spojenie s počítačom, ktorý obsahuje vyššie uvedenú bezpečnostnú chybu využije jej prítomnosť na to, aby na vzdialenom systéme vytvoril nový súbor nazvaný CMD. FTP, ktorý uloží do systémového adresára OS MS Windows. Zároveň aktivuje program FTP. EXE, ktorému ako parameter pošle obsah súboru CMD. FTP. Ten sa automaticky postará o nadviazanie spojenia s FTP serverom (... bežiacom na porte 5554), ktorý červ vytvoril a aktivoval už na infikovanom počítači a stiahne prostredníctvom neho do vzdialeného počítača výkonný kód červa. Získaný spustiteľný kód je uložený do systémového adresára OS MS Windows, do súboru generovaného podľa šablóny: [náhodné číslo]_up.exe (napríklad: 10831_UP. EXE). Nakoniec tento súbor červ aktivuje, čím sa vlastne začne celý proces opakovať od začiatku.
Na margo aktivít červa Win32/Sasser ešte spomeňme, že pri náhodnom generovaní IP adries vzdialených počítačov dochádza v infikovanom počítači k spusteniu 128 súčasne bežiacich vlákien, čo sa pri slabších počítačoch môže okamžite prejaviť rapídnym nárastom zaťaženia procesora. Mimochodom zoznam IP adries, s ktorými sa tomuto škodlivému kódu podarí skontaktovať priebežne ukladá do súboru C:WIN. LOG (... jeho veľkosť preto postupne rastie).
Win32/Sasser. B & . C
... niekoľko hodín po tom, čo sa počítačovou sieťou Internet začal šíriť internetový červ Win32/Sasser. A boli objavené jeho dva ďalšie – mierne modifikované varianty. Medzi ich najpodstatnejšie odlišnosti patrí to, že po aktivácii sa červ pokúsi vytvoriť v rámci hlavného adresára OS MS Windows kópiu svojho tela, ktorú uloží do súboru nazvaného AVSERVE2. EXE (... s veľkosťou 15 872 bajtov). Následne doplní do systémových registrov novú hodnotu, ktorá mu slúži pre automatickú aktiváciu novovytvoreného súboru, pri každom ďalšom štarte systému.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
... avserve2.exe = [cesta k hlavnému adresáru OS]avserve2.exe
Okrem týchto zmien je možné v prípade aktivity červa spozorovať ešte jednu drobnú úpravu – a tou je zmena názvu súboru C:WIN. LOG na C:WIN2. LOG, v rámci ktorého sa nachádza evidencia všetkých IP adries, s ktorými sa tomuto škodlivému kódu podarí skontaktovať. Všetky ostatné činnosti červov Win32/Sasser. B & . C sú viacmenej identické s tými, ktoré boli detailne popísané pri jeho predchádzajúcom variante – nazvanom Win32/Sasser. A.
V priebehu víkendu bolo možné zaznamenať výrazné rozšírenie počítačových červov Win32/Sasser. A - . C, no dá sa predpokladať, že k ich masovému rozšíreniu dôjde až začiatkom budúceho týždňa, kedy budú v mnohých firmách a organizáciách pripojené ďalšie nezabezpečené počítače. Všetkým používateľom preto odporúčame, aby čo najskôr vykonali aktualizáciu nimi používaného AV-systému, navštívili web stránky aktualizačného servera Microsoft Windows Update a nainštalovali si do svojich systémov všetky dostupné (... minimálne však aspoň kritické) bezpečnostné záplaty. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo aktivovať vo svojom systéme niektorý z vyššie uvedených červov ponúkame jednoúčelové AV-programy určené pre ich rýchlu elimináciu – dostupné sú v sekcii nazvanej Jednoúčelové AV-programy.
P. S. : Na záver si dovoľujeme upozorniť používateľov, že bezpečnostnú chybu objavenú v rámci systémovej služby Local Security Authority Subsystem Service (LSASS) sa pri svojom šírení snažia využívať aj nové varianty niektorých ďalších škodlivých kódov – ako sú napríklad červy: Win32/Gaobot. AFC, Win32/Gaobot. AFJ a Win32/Gaobot. AFW.
Zdroj: www.virusy.sk , Computer Associates & Trend Micro
Počas dnešného dňa sa podarilo AV-spoločnostiam identifikovať v rámci siete Internet nový internetový červ Win32/Sasser. A, ktorý sa šíri výlučne medzi nezabezpečenými systémami s OS MS Windows 2000/XP/2003 využívajúc jednu z posledne objavených bezpečnostných chýb na úrovni systémovej služby Local Security Authority Subsystem Service (LSASS). Táto bezpečnostná chyba bola objavená v prvej polovici apríla 2004, pričom do dnešných dní sa stala "zaujímavou" nielen pre tento internetový červ.
O čo vlastne ide? Bezpečnostná chyba na úrovni Local Security Authority Subsystem Service (LSASS) umožňuje vzdialenému útočníkovi prostredníctvom špeciálne upraveného sieťového packetu zaslaného na nezabezpečený počítač s OS MS Windows 2000/XP/2003 vyvolať stav označovaný ako Buffer OverFlow (t.j. pretečenie zásobníka). Týmto krokom dokáže vzdialený útočník preniesť a následne aj aktivovať na vzdialenom systéme ľubovoľný kód – napríklad škodlivý kód alebo skript, ktorý do vzdialeného počítača prenesie zadané dáta. Viac informácií o tejto bezpečnostnej chybe je možné nájsť na web stránkach spoločnosti Microsoft alebo v rámci Vulnerability Information Center, prevádzkovaného spoločnosťou Computer Associates.
Win32/Sasser. A
... tento počítačový červ bol vytvorený v programovacom jazyku MS Visual C++, pričom jeho výsledný kód bol interne komprimovaný za použitia nástroja PECompact. Ako sme už spomenuli vyššie tento škodlivý kód predstavuje riziko len pre počítačové systémy s OS MS Windows 2000/XP/2003, ktoré nedisponujú osobným firewallom blokujúcim nežiadúcu sieťovú komunikáciu alebo pre systémy, ktoré ešte stále nemajú nainštalovanú bezpečnostnú záplatu popísanú v rámci Microsoft Security Bulletin MS04-011 (835732). Červ sa medzi jednotlivými počítačmi šíri priamo prostredníctvom počítačovej siete, čo znamená, že nepotrebuje pre svoju aktiváciu "pomoc" zo strany používateľa.
Po aktivácii sa červ pokúsi vytvoriť v rámci hlavného adresára OS MS Windows kópiu svojho tela, ktorú uloží do súboru nazvaného AVSERVE. EXE (... s veľkosťou 15 872 bajtov). Následne doplní do systémových registrov novú hodnotu, ktorá mu slúži pre automatickú aktiváciu novovytvoreného súboru, pri každom ďalšom štarte systému.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
... avserve.exe = [cesta k hlavnému adresáru OS]avserve.exe
Pri snahe tohto červa preniknúť do vzdialeného nechráneného systému môže byť sprievodným javom zobrazenie dialógového okna, ktoré informuje používateľa o vzniku chyby na úrovni systémovej služby LSASS / LSA Shell, čoho následkom môže dochádzať k automatickému reštartu počítača (... pozri obrázok – v prípade OS MS Windows 2000 / pozri obrázok – v prípade OS MS Windows XP).
Vzhľadom na to, že červ Win32/Sasser nevykonáva pri svojej činnosti žiadne deštruktívne operácie je jeho jedinou úlohou preniknúť do systému a následne sa šíriť na čo najväčší počet ďalších – nechránených počítačov. Za týmto účelom červ aktivuje v infikovanom systéme malý FTP server, ktorý je dostupný na TCP porte 5554 a začne automaticky generovať náhodné IP adresy počítačov dostupných v počítačovej sieti, s ktorými sa pokúša skontaktovať cez TCP port 445. Ak sa mu podarí nadviazať spojenie s počítačom, ktorý obsahuje vyššie uvedenú bezpečnostnú chybu využije jej prítomnosť na to, aby na vzdialenom systéme vytvoril nový súbor nazvaný CMD. FTP, ktorý uloží do systémového adresára OS MS Windows. Zároveň aktivuje program FTP. EXE, ktorému ako parameter pošle obsah súboru CMD. FTP. Ten sa automaticky postará o nadviazanie spojenia s FTP serverom (... bežiacom na porte 5554), ktorý červ vytvoril a aktivoval už na infikovanom počítači a stiahne prostredníctvom neho do vzdialeného počítača výkonný kód červa. Získaný spustiteľný kód je uložený do systémového adresára OS MS Windows, do súboru generovaného podľa šablóny: [náhodné číslo]_up.exe (napríklad: 10831_UP. EXE). Nakoniec tento súbor červ aktivuje, čím sa vlastne začne celý proces opakovať od začiatku.
Na margo aktivít červa Win32/Sasser ešte spomeňme, že pri náhodnom generovaní IP adries vzdialených počítačov dochádza v infikovanom počítači k spusteniu 128 súčasne bežiacich vlákien, čo sa pri slabších počítačoch môže okamžite prejaviť rapídnym nárastom zaťaženia procesora. Mimochodom zoznam IP adries, s ktorými sa tomuto škodlivému kódu podarí skontaktovať priebežne ukladá do súboru C:WIN. LOG (... jeho veľkosť preto postupne rastie).
Win32/Sasser. B & . C
... niekoľko hodín po tom, čo sa počítačovou sieťou Internet začal šíriť internetový červ Win32/Sasser. A boli objavené jeho dva ďalšie – mierne modifikované varianty. Medzi ich najpodstatnejšie odlišnosti patrí to, že po aktivácii sa červ pokúsi vytvoriť v rámci hlavného adresára OS MS Windows kópiu svojho tela, ktorú uloží do súboru nazvaného AVSERVE2. EXE (... s veľkosťou 15 872 bajtov). Následne doplní do systémových registrov novú hodnotu, ktorá mu slúži pre automatickú aktiváciu novovytvoreného súboru, pri každom ďalšom štarte systému.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
... avserve2.exe = [cesta k hlavnému adresáru OS]avserve2.exe
Okrem týchto zmien je možné v prípade aktivity červa spozorovať ešte jednu drobnú úpravu – a tou je zmena názvu súboru C:WIN. LOG na C:WIN2. LOG, v rámci ktorého sa nachádza evidencia všetkých IP adries, s ktorými sa tomuto škodlivému kódu podarí skontaktovať. Všetky ostatné činnosti červov Win32/Sasser. B & . C sú viacmenej identické s tými, ktoré boli detailne popísané pri jeho predchádzajúcom variante – nazvanom Win32/Sasser. A.
V priebehu víkendu bolo možné zaznamenať výrazné rozšírenie počítačových červov Win32/Sasser. A - . C, no dá sa predpokladať, že k ich masovému rozšíreniu dôjde až začiatkom budúceho týždňa, kedy budú v mnohých firmách a organizáciách pripojené ďalšie nezabezpečené počítače. Všetkým používateľom preto odporúčame, aby čo najskôr vykonali aktualizáciu nimi používaného AV-systému, navštívili web stránky aktualizačného servera Microsoft Windows Update a nainštalovali si do svojich systémov všetky dostupné (... minimálne však aspoň kritické) bezpečnostné záplaty. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo aktivovať vo svojom systéme niektorý z vyššie uvedených červov ponúkame jednoúčelové AV-programy určené pre ich rýchlu elimináciu – dostupné sú v sekcii nazvanej Jednoúčelové AV-programy.
P. S. : Na záver si dovoľujeme upozorniť používateľov, že bezpečnostnú chybu objavenú v rámci systémovej služby Local Security Authority Subsystem Service (LSASS) sa pri svojom šírení snažia využívať aj nové varianty niektorých ďalších škodlivých kódov – ako sú napríklad červy: Win32/Gaobot. AFC, Win32/Gaobot. AFJ a Win32/Gaobot. AFW.
Zdroj: www.virusy.sk , Computer Associates & Trend Micro
0
www.ZIVOTPO.sk
