Pozor! Novy virus podobny Blasteru

Michal Bláha michal.blaha na mbox.dkm.cz
Neděle Květen 2 11:55:46 CEST 2004


Ahoj Fandové,

během víkendu se začal šířit nový virus s podobnou filosofií, jako MS
Blaster. Protože na http://www.viry.cz/go.php zatím o tomto červu nic není,
hodím sem informace ze serveru http://www.virusy.sk/clanok.ltc?ID=512

Počítače bez virů přeje Michal Bláha

01.05.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Sasser.A

 Keď sa spomenú kdekoľvek na Internete slová Microsoft a bezpečnostná chyba
je používateľom počítačových systémov s OS MS Windows jasné, že to neveští
nič dobré. Žiaľ, rovnako je tomu aj tentoraz! Počas dnešného dňa sa podarilo
AV-spoločnostiam identifikovať v rámci siete Internet nový internetový červ
Win32/Sasser.A, ktorý sa šíri výlučne medzi nezabezpečenými systémami s OS
MS Windows 2000/XP/2003 využívajúc jednu z posledne objavených
bezpečnostných chýb na úrovni systémovej služby Local Security Authority
Subsystem Service (LSASS). Táto bezpečnostná chyba bola objavená v prvej
polovici apríla 2004, pričom do dnešných dní sa stala "zaujímavou" nielen
pre tento internetový červ.

O čo vlastne ide? Bezpečnostná chyba na úrovni Local Security Authority
Subsystem Service (LSASS) umožňuje vzdialenému útočníkovi prostredníctvom
špeciálne upraveného sieťového packetu zaslaného na nezabezpečený počítač s
OS MS Windows 2000/XP/2003 vyvolať stav označovaný ako Buffer OverFlow (t.j.
pretečenie zásobníka). Týmto krokom dokáže vzdialený útočník preniesť a
následne aj aktivovať na vzdialenom systéme ľubovoľný kód - napríklad
škodlivý kód alebo skript, ktorý do vzdialeného počítača prenesie zadané
dáta. Viac informácií o tejto bezpečnostnej chybe je možné nájsť na web
stránkach spoločnosti Microsoft alebo v rámci Vulnerability Information
Center, prevádzkovaného spoločnosťou Computer Associates.

Počítačový červ Win32/Sasser.A bol vytvorený v programovacom jazyku MS
Visual C++, pričom jeho výsledný kód bol interne komprimovaný za použitia
nástroja PECompact. Ako sme už spomenuli vyššie tento škodlivý kód
predstavuje riziko len pre počítačové systémy s OS MS Windows 2000/XP/2003,
ktoré nedisponujú osobným firewallom blokujúcim nežiadúcu sieťovú
komunikáciu alebo pre systémy, ktoré ešte stále nemajú nainštalovanú
bezpečnostnú záplatu popísanú v rámci Microsoft Security Bulletin MS04-011
(835732). Červ sa medzi jednotlivými počítačmi šíri priamo prostredníctvom
počítačovej siete, čo znamená, že nepotrebuje pre svoju aktiváciu "pomoc" zo
strany používateľa.
Po aktivácii sa červ pokúsi vytvoriť v rámci hlavného adresára OS MS Windows
kópiu svojho tela, ktorú uloží do súboru nazvaného AVSERVE.EXE (... s
veľkosťou 15 872 bajtov). Následne doplní do systémových registrov novú
hodnotu, ktorá mu slúži pre automatickú aktiváciu novovytvoreného súboru,
pri každom ďalšom štarte systému.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
... avserve.exe = [cesta k hlavnému adresáru OS]\avserve.exe

Pri snahe tohto červa preniknúť do vzdialeného nechráneného systému môže byť
sprievodným javom zobrazenie dialógového okna, ktoré informuje používateľa o
vzniku chyby na úrovni systémovej služby LSASS / LSA Shell, čoho následkom
môže dochádzať k automatickému reštartu počítača (... pozri obrázok - v
prípade OS MS Windows 2000 / pozri obrázok - v prípade OS MS Windows XP).

Vzhľadom na to, že červ Win32/Sasser nevykonáva pri svojej činnosti žiadne
deštruktívne operácie je jeho jedinou úlohou preniknúť do systému a následne
sa šíriť na čo najväčší počet ďalších - nechránených počítačov. Za týmto
účelom červ aktivuje v infikovanom systéme malý FTP server, ktorý je
dostupný na TCP porte 5554 a začne automaticky generovať náhodné IP adresy
počítačov dostupných v počítačovej sieti, s ktorými sa pokúša skontaktovať
cez TCP port 445. Ak sa mu podarí nadviazať spojenie s počítačom, ktorý
obsahuje vyššie uvedenú bezpečnostnú chybu využije jej prítomnosť na to, aby
na vzdialenom systéme vytvoril nový súbor nazvaný CMD.FTP, ktorý uloží do
systémového adresára OS MS Windows. Zároveň aktivuje program FTP.EXE,
ktorému ako parameter pošle obsah súboru CMD.FTP. Ten sa automaticky postará
o nadviazanie spojenia s FTP serverom (... bežiacom na porte 5554), ktorý
červ vytvoril a aktivoval už na infikovanom počítači a stiahne
prostredníctvom neho do vzdialeného počítača výkonný kód červa. Získaný
spustiteľný kód je uložený do systémového adresára OS MS Windows, do súboru
generovaného podľa šablóny: [náhodné číslo]_up.exe (napríklad:
10831_UP.EXE). Nakoniec tento súbor červ aktivuje, čím sa vlastne začne celý
proces opakovať od začiatku.
Na margo aktivít červa Win32/Sasser ešte spomeňme, že pri náhodnom
generovaní IP adries vzdialených počítačov dochádza v infikovanom počítači k
spusteniu 128 súčasne bežiacich vlákien, čo sa pri slabších počítačoch môže
okamžite prejaviť rapídnym nárastom zaťaženia procesora. Mimochodom zoznam
IP adries, s ktorými sa tomuto škodlivému kódu podarí skontaktovať priebežne
ukladá do súboru C:\WIN.LOG (... jeho veľkosť preto postupne rastie).

V priebehu víkendu bolo možné zaznamenať čiastočné rozšírenie počítačového
červa Win32/Sasser.A, no dá sa predpokladať, že k jeho masovému rozšíreniu
dôjde až začiatkom budúceho týždňa, kedy budú v mnohých firmách a
organizáciách pripojené ďalšie nezabezpečené počítače. Všetkým používateľom
preto odporúčame, aby čo najskôr vykonali aktualizáciu nimi používaného
AV-systému, navštívili web stránky aktualizačného servera Microsoft Windows
Update a nainštalovali si do svojich systémov všetky dostupné (... minimálne
však aspoň kritické) bezpečnostné záplaty. Pre tých "šťastlivcov -
nešťastníkov", ktorým sa už podarilo aktivovať vo svojom systéme vyššie
uvedený červ ponúkame jednoúčelový AV-program určený pre jeho rýchlu
elimináciu - dostupný je v sekcii nazvanej Jednoúčelové AV-programy.


P.S.: Na záver si dovoľujeme upozorniť používateľov, že bezpečnostnú chybu
objavenú v rámci systémovej služby Local Security Authority Subsystem
Service (LSASS) sa pri svojom šírení snažia využívať aj nové varianty
niektorých ďalších škodlivých kódov - ako sú napríklad červy:
Win32/Gaobot.AFC, Win32/Gaobot.AFJ a Win32/Gaobot.AFW.

 Zdroj: Computer Associates & Trend Micro





Další informace o konferenci Fanda