Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
22.03.2004 - Martin LEPIŠ - Novinky
Počuli ste už o riziku skrývajúcom sa pod menom Phatbot?

Počas sobotného doobedia dorazilo do našich emailových schránok niekoľko emailových správ (... ich počet postupne narastal), v ktorých sa používatelia, odvolávajúc sa na vybrané slovenské a české médiá, dožadovali informácií o novom – nebezpečnom trójskom koňovi nazvanom Phatbot. Väčšina z nich dosť pohoršene vnímala tú skutočnosť, že hoci o tomto škodlivom kóde informovalo aj Americké ministerstvo pre vnútornú bezpečnosť, na serveroch venujúcich sa problematike AV-bezpečnosti a tiež na serveroch AV-spoločností sa neobjavili žiadne konkrétne informácie. Po chvíľke pátrania po tejto príčine sme zistili, že Phatbot je vlastne novým variantom už dávno známeho červa Win32/Gaobot (... alias Win32/Agobot).

Vzhľadom na informácie, ktoré zverejnili rôzne tlačové agentúry a vyjadrenia pochádzajúce od bezpečnostných expertov z rôznych spoločností sa dá očakávať, že nový trójsky kôň Phatbot by pri svojom prípadnom masovom rozšírení mohol pre používateľov počítačov, resp. Internetu predstavovať isté riziko. To je zároveň dôvod, prečo sme sa rozhodli priblížiť Vám možnosti tohto škodlivého kódu – vychádzajúc z analýzy nazvanej "Phatbot Trojan Analysis", ktorú zverejnila na svojich stránkach spoločnosť LURHQ Corporation.

Trójsky kôň Phatbot predstavuje vylepšenú verziu existujúceho počítačového červa Win32/Agobot, ktorá má vo svojom kóde implementovaných viacero nových funkcií. Tie majú tomuto škodlivému kódu poskytnúť možnosť lepšie sa prispôsobiť "podmienkam", ktoré sa nachádzajú v infikovanom systéme, zaručiť jeho rýchlejšie a dosť efektívne šírenie prostredníctvom viacerých bezpečnostných dier objavených v OS MS Windows, umožniť zber dôležitých informácií nachádzajúcich sa v infikovanom počítači a pod.. Phatbot je univerzálne navrhnutý trójsky kôň, ktorý z najväčšou pravdepodobnosťou slúži skupine hackerov, za účelom získavania dôležitých dát... . Jeho možnosti najlepšie dokumentuje množina príkazov, ktoré umožňujú vzdialeným útočníkom ovládať tento trójsky kôň. Tu je výber aspoň tých najdôležitejších možností skrývajúcich sa za jednotlivými príkazmi:

  • zobraziť aktuálny status systému, ktorý bol infikovaný a informácie o ňom,


  • poskytnúť informácie o IP adrese a názve infikovaného systému,


  • (de-)aktivovať systém zdieľania dát dostupných v systéme,


  • dynamicky meniť konfiguráciu trójskeho koňa alebo vykonávať jeho aktualizáciu,


  • pridávať/odoberať hodnoty do systémových registrov,


  • pridávať/odoberať nové systémové služby z variabilnými názvami,


  • pridávať nové plug-in moduly k jadru trójskeho koňa,


  • sťahovať súbory z rôznych FTP/HTTP serverov, s možnosťou ich aktivácie,


  • získavať informácie z ľubovoľnej URL adresy,


  • zaznamenávať aktivitu používateľa infikovaného systému,


  • reštartovať/vynúť počítač,


  • zisťovať/deaktivovať aktívne procesy v systéme,


  • blokovať aktivitu veľkého počtu bezpečnostných a AV-systémov,


  • spúšťať vybrané operácie v predurčenom čase,


  • vykonávať cielené DDoS (Distributed Denial of Service) útoky,


  • (de-)aktivovať malé, no výkonné SOCK4/HTTP/HTTPS proxy servery,


  • presmerovávať sieťovú komunikáciu z vybraných sieťových portov,


  • získavať informácie o účastníkoch siete AOL, o sériových číslach používaných aplikácií,


  • sprístupniť emailové správy dostupné v infikovanom systéme cez HTTP protokol,


  • získavať a poskytovať svojim tvorcom emailové adresy nájdené v infikovanom systéme,


  • sledovať sieťovú komunikáciu prebiehajúcu prostredníctvom HTTP/FTP/IRC protokolu.

Samozrejme, dostupných príkazov a teda aj možností ako môže trójsky kôň zasiahnuť do súkromia používateľov je ešte oveľa viac. Poskytnutý výpis funkcií však jasne dokumentuje, že v prípade masového rozšírenia by tento škodlivý kód mohol predstavovať značné riziko pre státisíce nepozorných používateľom po celom svete. Hrozba, ktorú predstavuje je o to väčšia, že Phatbot využíva pri svojom šírení viacero v minulosti objavených bezpečnostných dier na úrovni OS MS Windows. Jedná sa konkrétne o bezpečnostné diery:

  • World Wide Web Distributed Authoring and Versioning,


  • Distributed Component Object Model,


  • Windows Workstation Service,


  • Remote Procedure Call,


  • Locator Service,


  • DameWare,


  • Network Sharing.

Navyše tento trójsky kôň dokáže v pamäti infikovaného systému vyhľadávať procesy patriace škodlivým kódom ako sú: Win32/Blaster, Win32/Welchia a Win32/Sobig.F a vykonávať ich okamžitú deaktiváciu.

Jednou z najväčších hrozieb trójskeho koňa Phatbot je jeho schopnosť vytvárať medzi všetkými aktívnymi kópiami tzv. komunikačnú sieť. Pôvodne používaná kombinácia sietí IRC a Peer-to-Peer bola nahradená kódom pochádzajúcim z projektu nazvaného WASTE (... ktorý svojho času vytvárala AOL Nullsoft divízia). Pri tomto projekte bola vytvorená komunikačná sieť postavená na princípoch šifrovanej Peer-to-Peer komunikácie, ktorá umožňuje jednotlivým účastníkom siete (... v tomto prípade aktívnym kópiám trójskeho koňa Phatbot) navzájom komunikovať a vymieňať si informácie, dáta i celé súbory potrebné pre ich ďalšie fungovanie. Keďže celá komunikácia prebieha v chránenom režime sú pri nej používané, na šifrovanie a spätné dešifrovanie a taktiež overenie autentickosti prenášaných dát, tzv. kľúčové páry (t.j. verejný a súkromný šifrovací kľúč).
Vzhľadom na to, aby pri fungovaní takejto rozsiahlej siete bolo minimalizované riziko jej úplnej deštrukcie, nie sú v nej zapojené – infikované systémy závislé na žiadnom centrálnom bode (t.j. serveri), ktorý by organizoval ich vzájomnú komunikáciu. Možno tu teda hovoriť o decentralizovanej sieti, kde deaktivácia jedného systému nemá vplyv na fungovanie iného. Jednotlivé kópie trójskeho koňa Phatbot si v tejto sieti postupne poskytujú informácie o svojich ďalších aktívnych kópiách, čím vytvárajú dokonale fungujúcu sieť podobnú tej, ktorú je možné realizovať za použitia systému Gnutella. Na margo tejto siete sa však oplatí spomenúť, že má isté obmedzenia a podľa odborníkov nie je dobre škálovateľná pri veľkom počte súčasne pripojených systémov.

V prípade, že by sa niektorým používateľom podarilo infikovať ich systémy týmto škodlivým kódom nemusia sa obávať priamej deštrukcie dát, ale skôr úniku niektorých súkromných informácií. Jeho eliminácia sa dá vykonať za použitia jednoúčelového AV-programu od spoločnosti Symantec, ktorý podporuje generickú analýzu schopnú identifikovať nielen vybrané červy Win32/Gaobot (... alias Win32/Agobot), ale aj im podobné škodlivé kódy. V prípade manuálnej eliminácie je potrebné zo systémových registrov odstrániť hodnoty "Generic Service Process" odkazujúce sa na súbory SRVHOST.EXE, SVRHOST.EXE alebo im podobné názvy. Tieto hodnoty je potrebné hľadať v nasledujúcich kľúčoch systémových registrov:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices


Po následnom reštarte je potrebné odstrániť zo systému všetky infikované súbory (... za použitia aktualizovaného AV-systému) a nainštalovať tiež do systému všetky kritické bezpečnostné záplaty poskytované aktualizačným serverom spoločnosti Microsoft, známym ako Microsoft Windows Update. Používateľom s novšími verziami OS MS Widnows XP/2003 odporúčame navyše okrem pravidelnej aktualizácie AV-systému a OS aktivovať aj v systéme integrovaný firewall. Treba si totiž uvedomiť, že prevencia je vždy lacnejšia a časovo menej náročnejšia, ako prípadné odstraňovanie následkov po útoku nového škodlivého kódu alebo vzdialeného útočníka.



Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.